Menü
IT Sicherheit ist ein Weg, kein Ziel!
05.07.2018

Licht und Schatten - MSS

IT Sicherheit ist eine elementare Komponente im Geschäftserfolg. Denn ohne eine sichere IT geht heutzutage beinahe gar nichts mehr!

Überall sind digitale Komponenten beteiligt, die von der Forschung, über die Fertigung bis hin zur Auslieferungslogistik den gesamten Prozess unterstützen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Auch im Umfeld agiert die IT, denn die Verwaltung von Rohstoffen, die Lagerhaltung, dass Marketing und auch die Planung der Mitarbeiter überall ist die IT beteiligt.

Da ist es nur naheliegend, wenn sich ein Geschäftsführer darüber Gedanken darüber macht, wie er seinen Fertigungsprozess und die IT-Landschaft bestmöglich vor Security-Risiken schützen kann. Die meistgegebene Antwort auf die Frage nach einer bezahlbaren, zuverlässigen IT-Sicherheit lautet oftmals MSS – Managed Security Services.

Darunter versteht man einen spezialisierten Dienstleister, der für einen Kunden die IT-Security betreibt und ggf. auch weiterentwickelt. Die Vorteile sind schnell aufgezählt und bieten Unternehmen einen Mehrwert.

  • Kalkulierbare Ausgaben
  • 7x24 Service
  • Nutzung von etablierten Standards
  • Leistungserbringung aus eigenen Standorten (Keine Platzanforderung beim Kunden)
  • Frühe Erkennung von Gefahren durch eine umfangreiche Kundenanzahl
  • Genormte Strategien und Vorgehensweisen

Diese Aufzählung lässt sich noch durch eine Vielzahl weiterer positiver Aspekte ergänzen. Doch wie so oft, ist dort, wo das Licht ist auch ein Schatten.

Im Fall eines MSS sind dies unter Umständen die Vorteile, die für den MSS ins Feld geführt werden. Beispielsweise die kalkulierbaren Ausgaben. Alles ist kalkulierbar, was dem Standard entspricht. Will der Kunde aber etwas, dass vom Standard abweicht oder individuelle Maßnahmen bedarf, erfordert dies Aufwendungen beim MSS-Dienstleister. Dieser muß zusätzlich bezahlt werden, da es eben KEIN Standard ist – auch wenn der Kunde dies eventuell anders sieht.


Auch die Leistungserbringung 7x24 aus einem zentralen MSS-Standort hat seine Vorteile. Aber wenn dann die Dienstleister-Anbindung per Internet nicht mehr funktioniert, da gerade ein DDOS-Angriff auf den Kunden läuft, ist dies fatal.
Ebenso, wenn beispielsweise aufgrund eines Malwareangriffs, ein manueller Eingriff am PC zur Rekonstruktion oder Beseitigung erforderlich ist. Wenn dies der PC-Nutzer nicht selbst erledigen kann oder keine entsprechender PC-Support vor Ort verfügbar ist, wird es einen Bearbeitungsstau geben. Denn dann muss der MSS Personal vor Ort zum Einsatz bringen oder das eigene IT-Personal des Kunden „Management by Turnschuh“ betreiben.

MSS hat zweifelsohne seine Vorteile, man denke nur an den Wegfall von 24h-Rufbeeitschaften für Security-Vorfälle, die ein 7x24 Dienstleister wesentlich schneller und vermutlich auch preiswerter abdecken kann, als das Unternehmen selbst.
Jedoch ist man als Unternehmen nur ein Kunde unter vielen. Dies bedeutet, dass man jedwede IT-Eventualität detailliert beschreiben muss. Gibt es beispielsweise einen Angriff auf dem Standard SQL- Server-Port 1433, kann der MSS sich zurücklehnen, da der Kunde einen anderen Standard-Port nutzt … aber dies muss dokumentiert sein.

Leider neigen IT-Abteilungen, bedingt durch die Dynamik und knappe Ressourcen dazu, Dokumentationen auf das Mindestmaß zu beschränken. Dies genügt auch oft, wenn Insider am Werk sind. Bei einem MSS sitzen jedoch firmenfremde Personen, die ggf. nicht mal das Unternehmen kennen, für das sie Security-Leistungen erbringen. Ohne Dokumentation und festgeschriebene Prozesse, ist der MSS aufgeschmissen und kann nicht wirkungsvoll agieren.

Es gibt viele Punkte, die für einen MSS sprechen, aber wahrscheinlich auch ebenso viele die dagegen votieren. Wichtig ist jedoch, wenn man sich mit dem Gedanken trägt, die IT Security ganz oder teilweise an einen MSS auszulagern, sich und seine Prozesse zu kennen und die Erwartungen genau zu spezifizieren.

Tut man dies nicht, wird es zu Problemen und Fehlern kommen – aber die kann sich IT Sicherheit nicht leisten!