IDG-Studie zu Managed Security Services

Deutsche Unternehmen offen für externe IT-Sicherheitsservices

27.11.2018 von Bernd Reder
Mehr als die Hälfte der deutschen Unternehmen greift auf IT-Security-Services von externen Dienstleistern zurück. Herausforderungen dabei: Kleinere Unternehmen können sich diese oft nicht leisten und Führungskräfte streiten, was nötig ist und was nicht.
Weil sie ihre IT-Systeme nicht alleine absichern können oder wollen, greifen Unternehmen zunehmend auf Managed-Security-Service-Provider zurück.
Foto: Timofeev Vladimir - shutterstock.com

Der Schutz von IT-Systemen, Daten, Applikationen und Benutzerkonten vor dem Missbrauch durch externe oder interne Angreifer zählt die den wichtigsten Aufgaben der IT-Abteilung, aber auch zu den schwierigsten. Daher greift eine wachsende Zahl von Unternehmen in Deutschland auf die Hilfe von Spezialisten zurück, die IT-Sicherheitsservices als Dienstleistung bereitstellen. Das ergab die Studie "Managed Security Services 2018"von IDG Research Services, von COMPUTERWOCHE, CIO und CHANNELPARTNER.

Laut der Untersuchung nutzt bereits mehr als die Hälfe der Unternehmen (54 Prozent) externe IT-Sicherheitsdienste. Fast 40 Prozent greifen sogar auf die Unterstützung von zwei bis drei Anbietern von Managed Security Services zurück. Der Trend in Richtung IT-Sicherheit als Dienstleistung ist auf mehrere Faktoren zurückzuführen.

Einer ist der hohe organisatorische Aufwand, der mit der Einführung von IT-Sicherheitsstandards und deren Umsetzung in der Praxis verbunden ist. Vor allem für CIOs, Chief Technology Officers (CTOs) und IT-Sicherheitsverantwortliche (46 Prozent) ist dies ein maßgeblicher Grund dafür, externe Dienstleister einzuschalten.

Die Studie Managed Security Services finden Sie hier in unserem Studienshop

Mehr Sicherheit - weniger Risiken

Der Studie zufolge haben vor allem verschärfte Datenschutzregelungen wie die EU-Datenschutzgrundverordnung (DSGVO) sowie das IT-Sicherheitsgesetz die Attraktivität von gemanagten IT-Security-Diensten erhöht. Ein zentrales Ziel, das die Nutzer solcher Services erreichen möchten, ist eine Minimierung der rechtlichen Risiken. Speziell kleinere Unternehmen wollen diese Aufgabe einem Dienstleister übergeben. Dieser verfügt sowohl über die Expertise als auch die personellen Ressourcen, um Firmen beispielsweise bei der Umsetzung der DSGVO zu unterstützen.

Hinzu kommen technische Aspekte. Denn die Hälfte der befragten Führungskräfte gab an, dass die wachsende Komplexität von Cyber-Attacken für die IT-Abteilungen ein immer größeres Problem darstellt. Ein aktuelles Beispiel, das in der IT-Sicherheitsbranche derzeit die Runde macht, ist das Credential Stuffing, also der Missbrauch von gestohlenen Zugangsdaten wie Benutzernamen und Passwörtern. Angreifer setzen dabei verstärkt auf automatisierte Verfahren mithilfe von Bots.

Diese starten mit den entwendeten Account-Daten in großem Maßstab Anfragen bei IT-Systemen und Web-Applikationen, die ein Unternehmen einsetzt. Solche Angriffe bauen darauf, dass Nutzer häufig dieselben Login-Informationen für die Anmeldung bei unterschiedlichen Anwendungen oder Systemen verwenden. Mithilfe von externen Spezialisten wollen Unternehmen diese Art Angriffe abwehren und das IT-Sicherheitsniveau erhöhen.

Gleichzeitig soll die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) die IT-Abteilung entlasten. Vor allem größere Unternehmen (38 Prozent) sehen in entsprechenden Services ein Mittel, den Mangel an IT-Sicherheitsspezialisten zu kompensieren. Für kleinere Unternehmen, die in der Regel über kleinere IT-Abteilungen verfügen, ist dieser Aspekt interessanter Weise weniger relevant (27 Prozent).

Ein Großteil der deutschen Unternehmen arbeitet bereit mit einem oder mehreren Anbietern von Managed Security Services zusammen.
Foto: IDG Research Services / Patrick Birnbreier Grafikdesign

Gegenargument: Komplexität der IT-Infrastruktur

Nur ein Fünftel der befragten Firmen lehnt laut der Studie ein Outsourcing von Aufgaben im Bereich IT-Security ab. Ein Argument, das aus Sicht dieser Unternehmen gegen gemanagte Sicherheitsservices spricht, sind die Kosten. Speziell kleinere Unternehmen mit weniger als 500 Mitarbeitern (45 Prozent) führen hohe finanzielle Aufwendungen dafür an, dass sie bislang auf Managed-Security-Dienste verzichtet haben. Dagegen ist der Kostenfaktor nur für 27 Prozent der großen Firmen ein Hinderungsgrund.

Vor allem kleinere Mittelständler (bis 500 Mitarbeiter) verzichten wegen der Kosten auf externe IT-Sicherheitsdienstleistungen.
Foto: IDG Research Services / Patrick Birnbreier Grafikdesign

Insbesondere Geschäftsführer (40 Prozent) haben wegen der Kosten Vorbehalte gegenüber solchen Services. Das sehen jedoch nur 25 Prozent der IT-Fachbereichsleiter so. Zwischen den Einschätzungen von Finanzverantwortlichen und IT-Spezialisten herrscht somit eine deutliche Diskrepanz. Unternehmen, die sich gegen gemanagte IT-Security-Services entschieden, führen zudem die hohe Komplexität ihrer IT-Umgebung als Argument an.

Rund 36 Prozent wiederum argumentieren, dass Sicherheitsanalysen ergeben hätten, dass solche Dienste nicht erforderlich seien. Allerdings vertreten vor allem IT-Führungskräfte wie IT-Leiter und Fachbereichsverantwortliche diese Meinung. Das deutet möglicherweise darauf hin, dass ein Teil der internen IT-Experten in Managed Security Services eine unerwünschte Konkurrenz sieht, die sie unter Umständen sogar ihren Job kosten könnte.

Viele Aufgaben lassen sich auslagern

Einig sind sich die Teilnehmer der Studie darin, dass ein beträchtlicher Teil der Aufgaben im Bereich IT-Sicherheit externen Dienstleistern übergeben werden kann. Das Spektrum umfasst nicht nur komplexe Maßnahmen wie das Erstellen und Überwachen von Security Policies und die Analyse von Angriffen. Unternehmen können sich zudem vorstellen, weniger komplizierte, dafür aber zeitaufwändige Aufgaben einem Dienstleister zu übertragen. Dazu zählen die Unterstützung bei der Auswahl und Implementierung von IT-Sicherheitslösungen (28 Prozent) sowie das Backup von Daten.

Dagegen würden nur 16 Prozent der CIOs vorbeugende Sicherheitsmaßnahmen wie eine IT-Bedrohungsanalyse einem Dienstleister übergeben. Dieselbe Auffassung vertreten Mitglieder der Geschäftsführung. Zu einer anderen Einschätzung kommen dagegen IT-Leiter (31 Prozent) und die Chefs von Fachbereichen (41 Prozent): Ein beträchtlicher Teil befürwortet eine Bedrohungs- und Risikoanalyse durch externe Spezialisten. Dies deutet auf einen unterschiedlichen Wissensstand bei den hauseigenen Fachleuten, die näher an der "IT-Praxis" angesiedelt sind, und den Mitarbeitern auf der Führungsebene hin. Um potenzielle IT-Sicherheitsrisiken auszuschalten, ist es offenkundig notwendig, den Informationsaustausch zwischen beiden Ebenen zu verbessern.

Der IT-Leiter trifft die Entscheidung

Ob ein Managed Security Service zum Zuge kommt und welche IT-Sicherheitslösungen eingesetzt werden, entscheidet in rund 46 Prozent der Unternehmen der IT-Leiter. Damit spielt er eine wichtigere Rolle als der CIO (36 Prozent) und der Geschäftsführer. Bemerkenswert ist zudem, dass nur in 20 Prozent der Firmen der CISO (Chief Information Security Officer) oder Information Security Officer das entscheidende Wort haben, wenn das Outsourcing von Aufgaben an einen IT-Sicherheitsdienstleister zur Diskussion steht. Außen vor sind außerdem die Leiter von Rechenzentren.

Anders stellt sich Situation in kleineren Unternehmen dar. Dort behalten sich Finanzvorstände und Geschäftsführer in stärkerem Maße ein Mitspracherecht vor, wenn es um Managed Security geht.

Gefordert: Gutes Know-how und faire Preise

Bei der Auswahl eines MSSP achten Unternehmen vor allem auf drei Faktoren:

Bei Unternehmen mit weniger als 500 Mitarbeitern kommt ein weiterer Punkt hinzu: Mehr als ein Drittel von ihnen wünscht sich einen IT-Sicherheitsdienstleister, dessen Firmensitz in Deutschland liegt. Das kommt deutschen Systemhäusern und IT-Dienstleistern zugute, die ihr Geschäft um Services im Bereich Managed Security erweitern möchten. Dies gilt umso mehr, als ein Viertel der Befragten im Bereich IT-Sicherheitsservices am liebsten mit einem IT-Unternehmen zusammenarbeiten möchten, mit denen sie bereits in anderen Bereichen gute Erfahrungen gemacht haben.

Das Know-how, der Preis und ein deutschsprachiger Support sind die wichtigsten Kriterien bei der Auswahl eines Anbieters von gemanagten IT-Sicherheitsdiensten.
Foto: IDG Research Services / Patrick Birnbreier Grafikdesign

Diese Einschätzung stößt bei IT-Dienstleistern naturgemäß auf offene Ohren. Denn sie sehen in Managed Security Services ein Geschäftsfeld mit großem Potenzial. So will mehr als ein Fünftel der Anbieter den Umsatz mit gemanagten IT-Security-Diensten im laufenden Jahr um mindestens zehn Prozent steigern. Das gilt vor allem für Dienstleister, die kleine Unternehmen zu ihren Kunden zählen. Diese Anbieter haben allerdings einen hohen Nachholbedarf. Denn bei der Hälfte der größeren Systemhäuser und Service-Provider entfallen bereits heute bis zu 25 Prozent des Umsatzes auf den Bereich Managed Security. Auf vergleichbare Werte kommt nur ein Drittel der kleineren IT-Dienstleister.

Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?

Fazit: Noch etliche "Baustellen"

Unternehmen in Deutschland haben offenkundig erkannt, dass sie die komplexen Herausforderungen im Bereich IT-Security nicht um jeden Preis im Alleingang bewältigen müssen. Das belegt der hohe Anteil von Firmen, die bereits Managed Security Services nutzen. Neben der wachsenden Bedrohung durch Cyber-Angriffe spielt dabei auch der Mangel an IT-Sicherheitsfachkräften eine Rolle.

Es gibt jedoch noch etliche "Baustellen". Dazu zählen die teilweise erheblichen Unterschiede bei der Einschätzung des Nutzens und der Notwendigkeit von Managed-Security-Diensten. Das gilt beispielsweise für wichtige Bereiche wie die Schwachstellen- und Risikoanalyse. CIOs und Geschäftsführer tendieren zu einem "Nein", während IT-Leiter und Fachbereiche den Einsatz externer Experten forcieren. In solchen zentralen Fragen sollten alle Beteiligten einen gemeinsamen Nenner finden.

Zu hinterfragen ist zudem die Einschätzung eines beträchtlichen Teils der Unternehmen, dass externe IT-Sicherheitsdienste generell nicht erforderlich sind. Denn in der Praxis zeigt sich immer wieder eine gewisse "Betriebsblindheit" bei IT-Verantwortlichen, CIOs und Geschäftsführern. Die Folgen: Das IT-Sicherheitsniveau im eigenen Haus wird überschätzt; Defizite bleiben unerkannt. Besser ist, wenn eine neutrale Instanz regelmäßig die eingesetzten IT-Security-Maßnahmen überprüft und dadurch Hacker-Angriffen und dem Verlust von Geschäftsdaten vorbeugt.

Die Studie Managed Security Services finden Sie hier in unserem Studienshop

Vorstellung der Studienergebnisse auf der it-sa

Auf der IT-Sicherheitsmesse it-sa stellte die COMPUTERWOCHE zusammen mit drei Studienpartnern ausgewählte Studienergebnisse vor. Den Videomitschnitt dieser Präsentation können Sie hier sehen:

Zum Video: Deutsche Unternehmen offen für externe IT-Sicherheitsservices

Studiensteckbrief

Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner

Studienpartner:

Gold-Partner: Rackspace Germany GmbH, SECUINFRA GmbH, TREND MICRO Deutschland GmbH

Silber-Partner: FireEye GmbH, NTT Security Germany GmbH

Bronze-Partner: Capgemini Outsourcing Services GmbH, HP Deutschland GmbH, SHE Informationstechnologie AG

Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.

Gesamtstichprobe: 357 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 20. Juni bis 31. Juni 2018

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern

Durchführung: IDG Research Services