
Sicherheit in der Informationstechnik („IT Security“) hat sich zu einer der zentralen Herausforderungen für Unternehmen und auch Verbraucher entwickelt. Auch wenn der erste nachgewiesene „Hack“ vor über 30 Jahren stattgefunden hat, hat sich die Bedrohungslage in den letzten Jahren dramatisch verschärft und ein Ende dieser Entwicklung ist nicht absehbar.
Im Ergebnis ist die Anzahl der Angriffe auf Unternehmen in den letzten zwei Jahren dramatisch gestiegen. 50 Prozent aller Angriffe treffen dabei Unternehmen zwischen 100 und 10.000 Mitarbeiterinnen und Mitarbeiter - also den Mittelstand.
Natürlich haben IT- und Compliance-Abteilungen in den letzten Jahren erhebliche Aufwände betrieben, um der steigenden Bedrohungslage Herr zu werden:
Doch da auch die Angreifer nicht untätig geblieben sind, stellt sich die Frage, ob dies ausreicht.
Über SOCs, Abkürzung für Security Operation Center (auch Cyber Defense Center), können signifikante Verbesserungen zum optimierten Schutz der Systeme und die Umsetzung effizienter Gegenmaßnahmen erreicht werden. Da die Ursprünge von Bedrohungen globaler Natur sind und viele Systeme heute schon rund um die Uhr arbeiten, ist ein 7x24 Betrieb an 365 Tagen im Jahr eine zentrale Voraussetzung.
Allerdings wächst die Bedrohungslage derartig schnell und verfügbare personelle Ressourcen in der IT Security sind insbesondere für den Mittelstand noch deutlich schwerer zu gewinnen als für Großunternehmen und internationale Konzerne. Ohne diese Expertinnen und Experten, die dann noch in ausreichender Zahl 7X24X365 zur Verfügung stehen müssen, ist der Aufbau und Betrieb eines SOC nicht möglich.
Aus diesem Grund ist der Markt für das Outsourcing von SOC Dienstleistungen (auch als MSS für Managed Security Services bezeichnet) erheblich gewachsen und insbesondere für den Mittelstand eine sinnvolle und manchmal auch die einzige Option für den angemessenen Schutz einer komplexen und kritischen Systemlandschaft.
Im Folgenden soll das Vorgehen für ein Outsourcing insbesondere aus Sicht des mittelständischen Unternehmens beleuchtet werden.
Nach Schätzungen der Cassini bietet in Deutschland ein breites Spektrum an Unternehmen ein solches Dienstleistungspaket an. Die Anbieter lassen sich dabei in den folgenden Clustern zusammenfassen:
Dabei reicht die Größenordnung der potenziellen Partner von mittelständischen Unternehmen bis zu globalen Konzernen mit mehreren 24x7x365 Lokationen. Dabei ist davon auszugehen, dass trotz der Komplexität der Dienstleistung und einem gewissen Individualisierungsgrad die großen Player überdurchschnittlich über Economies of Scale (Skaleneffekte) profitieren werden.
Derzeit wird das Gesamtvolumen für IT Security Dienstleistungen auf 3,8 Mrd. EUR bei Zuwachsraten von 23 % p.a. (für 2020; https://www.computerwoche.de/a/deutscher-security-markt-waechst-stark,3546021) geschätzt. Zusammenfassend lässt sich festhalten, dass der Markt bereits die notwendige Breite hergibt, um potenziellen Auftraggebern eine breite Auswahl sowie einen passgenauen Partner zu garantieren.
Besonders im Mittelstand wird der Mangel an Fachkräften – wie oben beschrieben – ein starkes Argument für ein Outsourcing dieser Dienstleistung sein. Allerdings werden die Herausforderungen normaler Sourcingprojekte im Bereich SOC durch Rahmenbedingungen verstärkt bzw. potenziert:
Die erfolgreiche Auswahl des Partners und der Abschluss eines Dienstleistungsvertrages, der für beide Parteien Bestand hat, beginnt wie so häufig mit der Definition der Ziele und des Scopes (Betrachtungsumfang) für den zu erbringenden Service. Die Frage nach dem Scope bezieht sich dabei insbesondere auf die Abgrenzung des Verantwortungsbereiches des externen SOCs zu den Abteilungen des Auftraggebers. An dieser Stelle ist zu klären, welche Bereiche des Spektrums der Provider beobachten soll und welche internalisiert bleiben. Dabei stehen die Anzahl und der Umfang der kritischen Systeme („Kronjuwelen“) im Vordergrund. Damit einher geht auch der Fokus der Schutz und Präventionsmaßnahmen. Hier unterscheiden sich die Ansätze in Bezug auf Netzwerk-, Endpoint- sowie SIEM-Lösungen und sind je nach Bedarf zu wählen.
Aufgrund von stark anbieterlastigen Verträgen ist eine sehr starke Verhandlungsposition des Auftraggebers erforderlich. Letztlich bedeutet dies, dass eine entsprechende Sorgfalt bzw. ein angemessener Aufwand bei der Wahl des Dienstleisters und der Gestaltung der Verträge gerade in diesem Kontext mehr als berechtigt ist, um im Ernstfall nicht durch schlechte Service Level doch massiven Schaden zu erleiden (z. B. durch verspätete Reaktionen und ausbleibende Lösungen).
Auch wenn das Geschäftsvolumen ggf. niedriger als bei anderen IT Outsourcingprojekten ist, sollten IT und Einkauf beim Vergabeprozess die Investition in die Beschreibung des Scopes und der sonstigen Leitplanken und in ein relativ umfangreiches Anbieterfeld nicht scheuen.
Bei den Kosten ist zu berücksichtigen, dass die Anbieter für SOC Dienstleistungen diese aus offensichtlichen Gründen prozessual und technologisch in sehr hohem Maße standardisieren müssen. Dies führt im Umkehrschluss dazu, dass Abweichungen von eben jenem Standard mit sehr hohen Kosten für die Kunden verbunden sind und daher eine sehr vorsichtige Abwägung der Sinnhaftigkeit für maßgeschneiderte Lösungen erfolgen muss.
Im Rahmen des Prozesses ist auch zu berücksichtigen, dass die Angebote bzw. die Dokumentation vieler Dienstleister nur von Spezialisten verstanden werden können und – so der Eindruck – auch nur von Spezialisten verstanden werden sollen. Unmengen von individuellen Abkürzungen, umfangreiche Unterlagen für relativ unwichtige Leistungselemente und hochkomplexe Dokumentationsstrukturen tun ihr Übriges dazu. Bei der Auswahl des Teams ist dies daher zwingend zu berücksichtigen.
Bei der Vertragsgestaltung für SOC sind – neben den klassischen Anforderungen für die Vertragsgestaltung für Dienstleistungen – insbesondere die folgenden Aspekte zu berücksichtigen:
Der Bedarf im Bereich der IT-Sicherheit steigt exponentiell und eines der Elemente zur Lösung dieser Herausforderung ist das Sourcing von IT Security-Leistungen, insbesondere die Implementierung eines Security Operations Centers. Die prozessuale, operative und technologische Herausforderung des Betriebes eine SOCs verbunden mit dem Fachkräftemangel in der IT, besonders für den Mittelstand, macht ein Outsourcing zu einer sinnvollen Option. Wichtigster Erfolgsfaktor ist der Cultural Fit zwischen den beiden Organisationen, um in kritischen Situationen durch ein gemeinsames Verständnis und Arbeitsumfeld erfolgreich reagieren zu können. Die Komplexität der Dienstleistungen und der vertraglichen Regelungen macht aber einen Prozess erforderlich, der auf den ersten Blick aufwändig im Vergleich zum Geschäftsvolumen erscheint. Wichtig ist, diesen Weg nicht allein zu beschreiten, sondern gemeinsam mit einem erfahrenen und unabhängigen Sourcing Advisor die bekannten Herausforderungen zu bewältigen. In der Praxis macht sich dieses Investment sowohl bei der Konzeption als auch der Angebotsbewertung und Verhandlung bezahlt, da der Aufwand für Implementierung und Wechsel des Dienstleisters dadurch signifikant sinkt, Service Level und Leistungsumfang erhöht werden und somit in Summe spätere Betriebsrisiken deutlich gesenkt werden können.