Die vergangenen Monate waren für die IT-Verantwortlichen vieler Unternehmen sehr unruhig. Zunächst wütete in den Wintermonaten die Emotet-Angriffswelle in der Schweiz besonders stark. Danach veränderten die Eindämmungsmassnahmen rund um die Corona-Pandemie die Anforderungen an die IT radikal: Innerhalb kürzester Zeit musste den Mitarbeitern das Arbeiten von zu Hause ermöglicht werden – auch in Unternehmen, für die Home Office bisher kein Thema war.
Beide Entwicklungen verdeutlichen auch, warum die Aufrechterhaltung von Cybersicherheit für KMU eine besondere Herausforderung darstellt: Einerseits stehen sie – entgegen weitverbreiteter Annahmen – nicht weniger im Fokus von Cyberkriminellen als grosse Unternehmen. Andererseits verfügen sie in der Regel über geringere personelle, finanzielle und technische Ressourcen für die IT-Sicherheit. Das führt dazu, dass viele Hacker inzwischen sogar bevorzugt kleinere Unternehmen angreifen, da sie bei ihnen eine geringere Gegenwehr erwarten. Nicht umsonst ergab die Studie «Cyberrisiken in Schweizer KMU», dass bereits jedes dritte Schweizer KMU Opfer einer Cyber-Attacke wurde.
Cyber Security als Dienstleistung
Eine mögliche Lösung für dieses Problem können Managed Security Services sein, bei denen die IT-Sicherheit ausgelagert wird. Ein IT-Dienstleister übernimmt dann die Verantwortung für die Bereitstellung und den zuverlässigen Betrieb der IT-Sicherheitslösungen. Dieses Modell kann für viele Unternehmen bedeutende Vorteile mit sich bringen: Der offensichtlichste Effekt eines Umstiegs auf Security-as-a-Service besteht in der Verlagerung der Ausgaben von der Investitionsseite (CAPEX) auf die Betriebsseite (OPEX). Durch die Anmietung der notwendigen Soft- und Hardware können Unternehmen damit einmalige, teilweise hohe Investitionskosten hin zu
operativen Ausgaben verlagern. Anbieter von Managed Services haben durch ihr Mietmodell zudem oftmals Preisvorteile bei Software-Lizenzen, die sie an ihre Kunden weitergeben können.
Den Fachkräftemangel umgehen
Doch nicht nur in der Bilanz können sich solche Services positiv auswirken: Gerade für kleinere Firmen ist die Qualität, die diese Dienste bieten, beispielsweise hinsichtlich Verfügbarkeit, Update-Zyklus und Qualitätssicherung, kaum selbst umsetzbar. Denn anders als in manchen Grossunternehmen haben Administratoren in KMU in der Regel mehr als nur eine dedizierte Aufgabe. In vielen Fällen reicht das Spektrum
Fachspezifisches von der Netzwerkverkabelung bis hin zum Office-Helpdesk – die Sicherheit verkommt dabei oft zur Randnotiz. Zudem ist die ITSicherheit besonders stark vom globalen Fachkräftemangel betroffen. Selbst wenn ein KMU eigene Cyber-Security-Fachleute beschäftigen möchte, wird es deshalb grosse Probleme haben, überhaupt qualifiziertes Personal zu finden. Gerade vor diesem Hintergrund ist die Qualität der als Service gelieferten Sicherheitsleistungen in der Regel höher als beim Eigenbetrieb und wird zudem durch Service Level Agreements (SLAs) vertraglich garantiert.
Um den für sie passenden Anbieter zu finden, sollten sich Unternehmen an einigen Kriterien orientieren:
> Die Qualität eines Dienstes ist eines der wichtigsten Entscheidungskriterien überhaupt. Anbieter sollten von ihrem Dienst so überzeugt sein, dass sie dafür bestimmte Qualitätslevel garantieren. Das können «einfache» Dinge sein wie die Verfügbarkeit, Geschwindigkeit und Reaktionsgeschwindigkeit der Server. Aber auch die (messbare) Supportqualität sollte hier nicht zu kurz kommen.
> Datenschutz: Insbesondere bei Security-Diensten kommen Anbieter häufig mit persönlichen und personenbezogenen Daten in Kontakt. Hier empfiehlt sich über die (eigentlich selbstverständliche) Einhaltung der gesetzlichen Bestimmungen hinaus auch ein offener Umgang mit Fragen und Anforderungen von Kundenseite. Das «Einmauern» hinter Floskeln wie einer langen Liste von ComplianceRichtlinien und Verweisen auf gesetzliche Bestimmungen ersetzt nicht den offenen Umgang mit Fragen nach Vorgehensweisen, geografischen Lokationen oder Prozessen.
> Transparenz: Die Nutzung von externen Sicherheitsangeboten ist in erster Linie ein Vertrauensbeweis des Kunden an den Dienstleister. Ob der Kunde sich mit dem Dienst wohlfühlt, hängt in der Regel massgeblich von der Transparenz des Dienstleisters ab.
Die Wahl des Partners
Bei der Entscheidung für Managed Security Services spielt neben der Wahl des richtigen IT-Dienstleisters auch die Entscheidung für die passenden Sicherheitslösungen eine zentrale Rolle. Da Unternehmen die Verantwortung für ihre Cybersicherheit in fremde Hände legen, kommt es dabei nicht nur auf technische Details, sondern vor allem auch auf Vertrauen an.
Als einer der weltweiten Marktführer kann Trend Micro auf über 30 Jahre Erfahrung im Security-Markt zurückblicken und bietet ein umfangreiches Portfolio an Lösungen, die als Service betrieben werden können. Partner von Trend Micro werden damit in die Lage versetzt, Managed Security Services anbieten und damit verschiedenste Kundenanforderungen erfüllen zu können.
Leistungsfähiges Angebot
Unter anderem steht Partnern und Kunden mit Worry-Free Services eine umfassende Sicherheitslösung für E-Mail und Endpunkte zur Verfügung, die vollständig als Service betrieben wird. Die Lösung ist speziell auf die Bedürfnisse von kleinen und mittleren Unternehmen mit begrenzten internen Ressourcen ausgerichtet. Sie kann zudem mit Worry-Free XDR um zusätzliche Funktionen für Detection and Response erweitert werden. Damit können gezielte Angriffe auf Endpunkte und E-Mail schneller erkannt und effektiv bekämpft werden. Für seine herausragenden Fähigkeiten im Bereich Detection and Response wurde Trend Micro erst im März 2020 vom renommierten Analystenhaus Forrester als «Leader» ausgezeichnet.
Gerade in der momentanen Situation, in der plötzlich eine grosse Anzahl von Mitarbeitern von zu Hause aus arbeitet, gewinnen auch Cloud- und Collaboration-Plattformen, wie Office 365, die G Suite oder Dropbox massiv an Bedeutung. Leider stehen diese auch besonders im Fokus von Cyberkriminellen. Trend Micro Cloud App Security erhöht die Sicherheit dieser Plattformen, unter anderem mittels Künstlicher Intelligenz, Sandboxing, Data Loss Prevention und der Erkennung von Business-E-MailCompromise-Versuchen.
Die Entscheidung, die eigene IT-Sicherheit in fremde Hände zu legen, will gut überlegt sein. Wenn sich Unternehmen jedoch für Dienstleister und Hersteller entscheiden, denen sie vertrauen können, bieten Managed Security Services das Potenzial, Geld zu sparen und gleichzeitig das Schutzniveau zu steigern.