CISO as a Service Security Management Services können nicht nur die Beratungshäuser

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Sylvia Lösel

Viele KMU haben Probleme, einen Security-Verantwortlichen zu finden. Der Channel kann hier mit Security Management as a Service punkten. Dabei helfen Management-Tools, die die Identifizierung und Priorisierung der Risiken sowie die Auswahl und Kontrolle von Security-Lösungen unterstützen.

Firmen zum Thema

We können Systemhäuser das Konzept eines CISO as a Service umsetzen?
We können Systemhäuser das Konzept eines CISO as a Service umsetzen?
(Bild: Gajus - stock.adobe.com)

Laut einer Bitkom-Umfrage befürchten 83 Prozent der Unternehmen, die Zahl der Angriffe werde bis Ende dieses Jahres zunehmen, 45 Prozent rechnen dabei sogar mit einer starken Zunahme. Besonders bedroht sehen sich neben den Betreibern kritischer Infrastrukturen die mittleren Unternehmen mit 100 bis 499 Mitarbeiterinnen und Mitarbeitern, 50 Prozent davon erwarten eine starke Zunahme der Cyberattacken.

Auch die EU-Agentur für Cybersicherheit ENISA hat die KMU im Blick, nicht nur die Angreifer. Wie eine ENISA-Studie ergeben hat, erklären 85 Prozent der befragten KMU, dass Cybersicherheitsprobleme schwerwiegende nachteilige Auswirkungen auf ihr Unternehmen haben würden, und 57 Prozent sagen, dass sie höchstwahrscheinlich ihre Geschäftstätigkeit einstellen würden. Von fast 250 befragten KMU gaben 36 Prozent an, in den letzten fünf Jahren einen Vorfall erlebt zu haben.

Fachkräftemangel erschwert Security-Verantwortung

ENISA nennt als ersten Schritt zur Verbesserung der Cybersicherheit bei KMU die Regelung der Security-Verantwortung: „Gute Cybersicherheit ist ein Schlüsselelement für den anhaltenden Erfolg jedes KMU. Die Verantwortung für diese kritische Funktion sollte einer Person innerhalb der Organisation übertragen werden, die angemessene Ressourcen sicherstellen sollte, wie Verfügbarkeit von geeignetem Personal, Cybersicherheitssoftware, Services und Hardware, Schulung des Personals und die Entwicklung wirksamer Richtlinien für die Cybersecurity.“

Es steht außer Frage, dass die verantwortliche Person, die letztlich die Entscheidungen trifft, im Unternehmen selbst sein sollte, doch diese Person braucht Unterstützung. Oftmals ist es die IT-Leitung, die Security nebenbei verantworten soll. Eine oder einen CISO haben viele Unternehmen noch nicht, das gilt natürlich besonders für den Mittelstand. Grund genug, über das Angebot CISO as s Service nachzudenken.

Security Management Services aus dem Channel

Nun gibt es natürlich schon Angebote, Unternehmen einen externen CISO, virtuellen CISO, einen CISO auf Zeit oder Interims-CISO zu stellen, wie es Beratungshäuser häufig tun. Allerdings haben viele Mittelständler die Sorge, dass solche Beraterinnen und Berater sehr kostspielig werden könnten und verzichten dann lieber auf Security Management Services.

Der eigene IT-Dienstleister oder das Systemhaus, mit dem man bereits lange auf Augenhöhe zusammenarbeitet, hat da eine andere Ausgangsposition. Die Leistungen, die für ein externes Security Management notwendig sind, lassen sich durchaus von Vertretern des Security-Channels erbringen. Dazu gehören Services wie Definition und Aufbau der Security-Organisation, Data Discovery, Bedrohungs- und Risikoanalysen, Bewertung und Priorisierung der Risiken, Erstellung eines Security-Konzepts mit angemessenen Maßnahmen für Protection, Detection, Response und Prevention (darunter Security Awareness), die Prüfung der Wirksamkeit der Maßnahmen, das Management-Reporting, Security-Beratung für das Management, die Vorbereitung und Reaktion mit Blick auf Vorfälle, um wesentliche Elemente zu nennen.

Ein Blick in das Security-Portfolio zeigt in den meisten Fällen, dass man sogar mehrere Lösungen für die einzelnen Aufgaben im Programm hat. Entscheidend ist dann aber noch die übergreifende Sicht auf die Security beim Kunden und die operative, zentrale Umsetzung von Maßnahmen. Hier aber können die Security-Management-Plattformen und Konsolen der Security-Hersteller helfen, die vielfach offen dafür sind, auch Lösungen anderer Anbieter zu verwalten.

CISO as a Service

Auch wenn eine Security-Management-Plattform, die man als Dienstleister für seine Kunden betreibt, keine oder keinen CISO komplett ersetzen kann, bildet sie doch eine gute Grundlage für ein Angebot wie CISO as a Service. Kann man als Channel-Partner zum Beispiel bestimmte Consulting-Leistungen nicht selbst erbringen, bietet es sich an, entsprechende Services der Hersteller zu vermitteln.

Beispiele für Security-Management-Plattformen gibt es reichlich, darunter F-Secure Elements, das sich als vollständig verwalteter Abonnementservice von zertifizierten Partnern verkaufen lässt, Bitdefender GravityZone Ultra als Managed Service, McAfee Mvision ePO, Splunk Enterprise Security, Check Point Unified Security Management, SentinelOne Singularity und die Eset Protect-Konsole, um einige Beispiele zu nennen.

Wie sich Security Management in der Praxis anbieten und betreiben lässt, zeigen Dienstleister wie Serviceware SE, NetUse, NVISO, Orange Cyberdefense, TerreActive, Tiggs, InfoGuard oder IS4IT.

„Für mittelständische Unternehmen ist es oft nicht wirtschaftlich, diese Rolle durch einen eigenen Mitarbeiter zu adressieren, so dass sie nach unserer Erfahrung immer wieder einzelne Aufgaben punktuell durch den Zukauf von Dienstleistungen abdecken müssen. Diese Vorgehensweise ist aber nicht kosteneffizient, gleichzeitig fehlt einem externen Berater häufig der notwendige Gesamtüberblick. Mit ‚CISO as a Service‘ schaffen wir hier Abhilfe“, erläutert Johann Troppmann, Geschäftsführer von IS4IT, das Angebot.

Wer bereits Managed Security Services (MSS) anbietet, kann diese Security-Dienste noch um das Security Management oder CISO as a Service erweitern. Die genaue Aufgabenverteilung zwischen Dienstleister und Kunden im Security Management muss vertraglich genau fixiert sein, damit klar ist, wo die Leistungen aufhören und die alleine Verantwortung des Kunden beginnt. Die CISOs der Kunden brauchen Entlastung, gerade die, die weder den Titel CISO tragen noch die Erfahrung von CISOs haben. CISO as a Service ist deshalb eine wichtige Ergänzung eines MSSP-Programms.

(ID:47595832)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research