Partnerschaft mit Managed Services-Anbieter rechnet sich Sicherheit versus Effizienz?
25. September 2017
Der deutschen Wirtschaft entsteht jährlich ein Schaden von 55 Milliarden Euro durch Spionage, Sabotage und Datendiebstahl. Das hat eine Studie des Branchenverbandes Bitkom vom Juli 2017 ergeben. Daraus geht weiterhin hervor, dass jedes zweite Unternehmen in den beiden vergangenen Jahren angegriffen wurde, aber nur jedes dritte den Vorfall meldet. Aus Furcht vor einem potenziellen Imageschaden beispielsweise. Betroffen sind Firmen aus unterschiedlichen Branchen, und auch die Größe des betreffenden Unternehmens spielt eine eher untergeordnete Rolle.
Enormer Schaden
Unternehmen kämpfen in aller Regel mit komplexer werdenden Netzen und sinkenden oder doch wenigstens stagnierenden Budgets sowie fehlendem Fachpersonal. Kein Wunder, dass gerade kleine und mittelständische Unternehmen beim Thema IT-Sicherheit vor allem an die Kosten denken und nicht an Sicherheit als essentiellen Bestandteil des Wirtschaftsschutzes. Generell nimmt IT-Sicherheit in verschiedenen Branchen einen unterschiedlich hohen Stellenwert ein.
Etwa in Firmen, deren Geschäftsmodell ausschließlich auf E-Business ausgerichtet ist oder solchen, die in erster Linien mit sensiblen Informationen zu tun haben. Zugespitzt gilt das für Unternehmen und Geschäftsmodelle, die beides vereinen. Hier sind Vermögenswerte genauso unmittelbar betroffen wie Kundendaten. Dazu kommen die digitale Transformation, das Internet der Dinge und das industrielle Internet der Dinge. Diese Faktoren haben zusammen genommen dazu geführt, dass bisher geltende IT-Paradigmen sich stark verändert haben.
Eine effektive und sichere IT-Infrastruktur aufzubauen ist für kleine und mittelständische Unternehmen (KMUs) nicht ganz leicht. Sei es, dass man keine geeigneten externen Berater findet, sei es, dass die IT-Abteilung nur aus wenigen, ohnehin schon überlasteten Mitarbeitern besteht. Um technologisch auf dem aktuellen Stand zu bleiben und den nötigen Support zu bekommen, wenden sich KMUs daher oft an Managed Services-Anbieter (MSP). Sie werben mit den entsprechenden Experten und Technologiekonzepten. Aber welcher MSP ist der richtige und welche Kriterien helfen bei der Auswahl?
Manche Firmen unterschreiben einen Managed Services-Vertrag, wenn auch ein Technischer Support Partner die Bedürfnisse hätte abdecken können. Die Unterschiede zwischen beiden Diensten sind nicht immer hinreichend klar: So kauft man bei einem Technischen Support Partner ein Stundenkontingent, das man im Bedarfsfall und nach eigenem Ermessen einsetzt. Managed Services weisen auf einen fortlaufenden Vertrag mit dem Kunden hin. Die Managed Services-Anbieter erfüllen bestimmte wiederkehrende Aufgaben für den Kunden, wie etwa Monitoring oder Wartung innerhalb eines fortlaufenden Vertrages.
Fünf Kriterien
Wenn sich eine Firma auf die Suche nach einem geeigneten Managed Services-Anbieter macht, sollte sie auf die folgenden fünf Punkte achten:
1. Passgenau: Keine zwei IT-Umgebungen sind vollkommen identisch. Das sollte sich im Vertrag mit dem Managed Services-Anbieter widerspiegeln. Seriöse Anbieter bemühen sich um einen maßgeschneiderten Vertrag, der die bestehenden Lücken füllt. Beispielsweise gibt es bereits einen hervorragenden Netzwerkadministrator, aber niemanden der die Applikationen in punkto Sicherheit und Leistungsfähigkeit überwacht. Wie Managed Services funktionieren sollten, lässt sich recht gut am Beispiel des altgedienten Spiels „Tetris“ erläutern. Manchmal muss man nur eine kleine Lücke füllen und manchmal fallen die Blöcke unkontrolliert und schnell, so dass man sofort reagieren muss. Je nach aktuellem Anforderungsprofil muss man die Komponenten innerhalb eines Systems gegebenenfalls neu anordnen und anpassen.
2. König Kunde – Nachfragen erlaubt: Bei einem guten Managed Services-Anbieter besteht die Tätigkeit zur einen Hälfte aus technischem Support und zur anderen Hälfte aus Kundendienst. Zwar wird jeder IT-Verantwortliche von einem MSP verlangen, dass er die vertraglich zugesicherten Leistungen erfüllt. Aber zu wenige Kunden bestehen explizit auf einem entsprechend hochwertigen Kundendienst. Man sollte bei der Auswahl des MSP darauf achten, dass der Anbieter ausführlich darlegt wie sein Kundensupport im Detail aussieht, Service Level Agreements (SLAs) erstellen und die Kommunikationsstrategie des internen Teams erläutern.
Für manche Accounts sind monatliche Meetings die richtige Frequenz, für manche sogar wöchentliche. Etwa um dringende Angelegenheiten zeitnah zu besprechen und Handlungsempfehlungen bei aktuellen Sicherheitsbedrohungen zu geben. Ziel ist es, eine offene und transparente Beziehung zum Managed Services-Anbieter zu etablieren. Wenn man zumindest teilweise die Zügel für die eigene IT-Umgebung aus der Hand gibt, sollte man sicherstellen, dass die Kommunikationskanäle dementsprechend gut funktionieren.
3. Klar definierte Vorgehensweise bei Benachrichtigungen und Eskalation: Man kann davon ausgehen, dass ein Managed Services-Anbieter Warnungen in der Netzwerkumgebung eines Kunden an diesen weiterleitet, sobald sie auftauchen. Das reicht aber nicht. Sie sollten von ihrem Anbieter erwarten, dass er exakt definiert wie im Falle auftretender Warnungen verfahren werden soll. Auch für den Eskalationsfall sollte ein klar definierter Prozess vorliegen. Selbst im besten anzunehmenden Fall kommt es vor, dass der MSP ein Problem nicht sofort beheben kann. Welche Notfallpläne greifen dann? Verlassen Sie sich nicht auf vage Vereinbarungen, sondern bitten Sie Ihren potenziellen MSP, den Eskalationsprozess zu beschreiben und verankern sie das schriftlich im Vertrag. Bei einem Notfall wird beispielsweise automatisch ein Stellvertreter benachrichtigt, falls der erste Ansprechpartner nicht innerhalb einer festgelegten Zeit reagiert. Bei einigen Managed Services-Anbietern wird im Ernstfall sogar die Unternehmensleitung kontaktiert.
Zertrifiziert?
4. Zertifizierungen und technische Qualifizierung: Man sollte nicht darauf verzichten, die technische Qualifikation und tatsächliche Erfahrung des Anbieters genau zu prüfen. Einer der wichtigsten Vorteile eines Managed-Services-Vertrages besteht darin, dass der Kunde sich auf die Erfahrung von IT-Sicherheitsspezialisten verlassen kann, und das deutlich günstiger als in einer Variante vor Ort.
Deshalb der Rat: Suchen Sie sich einen Anbieter, der Sie mit seinem technischen Wissen überzeugt. Und ganz wichtig: suchen Sie einen Anbieter, der bestehende Beziehungen und/oder Zertifizierungen des Technologieentwicklers und Anbieters aufweisen kann, dessen Lösungen Sie bereits nutzen. Für KMUs die beispielsweise Cisco-Hardware oder Lösungen nutzen, ist es hilfreich mit einem Managed Services-Anbieter zusammenzuarbeiten, der Cisco-Partner ist.
5. Partnerschaft auf Augenhöhe: Ein letzter Tipp gilt für KMUs insbesonders: Man sollte sich einen Partner suchen, mit dem man wirklich gut zusammenarbeiten kann und will. Denn man übertragt ihm einen wichtigen Verantwortungsbereich. Der passende Partner wird klar mit Ihnen kommunizieren und Lösungen aufzeigen, statt auftretende Probleme als Ausrede zu nutzen.
Zusätzliche IT-Sicherheitsmaßnahmen und Technologien gehören zwingend zu einem ganzheitlichen und nachhaltigen Wirtschaftsschutz. So vorbereitet schaffen es auch kleine und mittlere Unternehmen, die Balance zwischen Effizienz und der IT-Sicherheit zu finden.
Lea Toms, GlobalSign
