Von Richard Ruf

Längst ist klar: Cyberkriminalität hat die Welt der Science-Fiction hinter sich gelassen. Einzelpersonen, Unternehmen und staatliche Institutionen werden zunehmend Ziel von Angriffen über das Internet. „Die Situation in Sachen Computersicherheit hat ein Allzeithoch erreicht“, hebt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der Computersicherheit in Deutschland im Jahr 2022 hervor.

Auch deutsche Unternehmen spüren die wachsende Bedrohung durch Cyberkriminelle: Fast 77 % melden für 2022 eine steigende Zahl von Cybervorfällen im Vergleich zum Vorjahr, wie die Studie „Cybersecurity 2022“ von CIO, CSO und COMPUTERWOCHE in Kooperation mit Arctic zeigt Wolf, Damovo und AWS. Einer anderen Studie zufolge wird der durch Cyberkriminalität verursachte Schaden allein im Jahr 2022 auf mehr als 200 Milliarden Euro geschätzt.

Wie können Unternehmen angesichts des immer größer werdenden Risikos mit dieser rasanten Entwicklung Schritt halten? Wie verändert sich die Rolle von Sicherheitsdienstleistern, wenn es in den IT-Abteilungen von Unternehmen aufgrund von Fachkräftemangel an Personal und technischem Know-how mangelt? Das Expertenpanel der COMPUTERWOCHE diskutierte das Thema Security as a Service (SECaaS).

Mehr Akzeptanz und Aufmerksamkeit im Management

Die gute Nachricht ist, dass die Debatte längst die Herzen der Unternehmen erreicht hat, es herrscht diesbezüglich Konsens. Das liegt vor allem daran, dass die Sichtbarkeit des Themas deutlich zugenommen hat. In den letzten Jahren gab es immer wieder Berichte über namhafte Unternehmen, die Opfer von Cyberkriminellen wurden – darunter Adobe, Sony und eBay. Aber auch der Dialog zwischen Unternehmen schafft ein größeres Bewusstsein für IT-Sicherheit und sorgt für ein besseres Verständnis der eigenen Konfiguration.

Wo also vor Jahren mangelndes Bewusstsein Diskussionen über notwendige Cybersecurity-Maßnahmen erschwerte, betrachten viele Entscheider das Thema heute oft ganzheitlich. „Wir sehen eine zunehmende Akzeptanz und das Bewusstsein für Sicherheit bei Führungskräften“, erklärt Florian Macher, Teamleiter Infrastruktur & Arbeitsplatzsicherheit bei Bechtle. Die Nachfrage nach Sicherheitsdienstleistungen ist in den letzten Jahren massiv gestiegen.

Privatwirtschaft vor öffentlicher Hand

Allerdings sehen Experten in dieser Hinsicht große Unterschiede zwischen dem privaten und dem öffentlichen Sektor. Obwohl private Unternehmen die Notwendigkeit von Cybersicherheit weitgehend verstanden haben, scheint sich dieses Bewusstsein in öffentlichen Institutionen nicht immer durchgesetzt zu haben. Consulting4IT-Geschäftsführer Mirko Oesterhaus zeigt sich besorgt über diese Situation, da börsennotierte Unternehmen gerade angesichts der weltpolitischen Lage ein besonders beliebtes Ziel sind. „Dort werden nicht Einzelpersonen oder Unternehmen angegriffen, sondern Staaten mit schier unerschöpflichen Ressourcen“, beschreibt Oesterhaus. Wenn staatliche Angriffe zur Norm würden, würde die gesamte Computersicherheit auf den Kopf gestellt.

Neben fehlender Rechenschaftspflicht und geringerer wirtschaftlicher Dringlichkeit im öffentlichen Sektor nennt das Expertengremium als Hauptgrund mangelnde Flexibilität. Während innerhalb der IT-Abteilungen der Institution teilweise der Wille zum Handeln vorhanden ist, sorgen langwierige Entscheidungswege und langsame Ausschreibungen oft dafür, dass sich öffentliche Unternehmen im Bereich der Cybersicherheit zu langsam bewegen.

Fachkräftemangel erhöht die Nachfrage nach Beratungs- und Managementleistungen

Ein weiteres Problem betrifft jedoch sowohl private als auch öffentliche Unternehmen: der Mangel an qualifizierten Arbeitskräften. Denn um den immer komplexer werdenden Werkzeugkasten beherrschbar zu machen, brauchen Unternehmen nicht nur zuverlässige Technologien, sondern vor allem ausreichend personelle Ressourcen in den IT-Abteilungen. Und genau das fehlt oft.

Aus diesem Grund verändert sich die Rolle von Security-as-a-Service-Anbietern immer mehr. Längst fragen Kunden nicht nur nach Lösungen, sondern setzen zunehmend auch auf das Know-how von Dienstleistern. Peter Lehmann, Inside Sales Specialist for Security bei Dell Technologies, sagt: „Kunden werden mit einer enormen Komplexität konfrontiert und erkennen, dass sie diese personell nicht mehr bewältigen können.

Viele Unternehmen erkennen, dass Technologie allein nicht zum gewünschten Ergebnis führt, sagen Experten. Auch die Schulung und Sensibilisierung der Mitarbeiter sowie die entsprechende Rekrutierung neuer Kollegen sind fester Bestandteil der Funktionsweise von IT-Sicherheit. „Gerade wenn Kunden in die Cloud wechseln, sind sie oft damit beschäftigt, sicherzustellen, dass das System überhaupt funktioniert. Die Folge: Sicherheit rückt in den Hintergrund, weil die notwendigen Mitarbeiter mit entsprechendem Know-how entweder zu involviert sind oder fehlen“, erklärt Ibrahim Koese, Associate Partner bei Spike Reply. Dienstleister sind daher verpflichtet, diese Aufgaben zu übernehmen und zu unterstützen.

Auch Hannes Hahn, Berater & Wirtschaftsprüfer bei Rödl & Partner, sieht einen wachsenden Beratungs- und Managementbedarf bei Kunden. Angebote für technische Tools sind oft verfügbar, aber nicht für Neueinstellungen. „Wir Dienstleister können nicht mehr nur die Technik liefern, sondern müssen auch die notwendigen Managementfähigkeiten bereitstellen“, erklärt Hahn.

Erweitern Sie internes Know-how nach außen

Werden SECaaS-Anbieter also langfristig Sicherheitsexperten in IT-Abteilungen ersetzen? Für Cornelius Kölbel, geschäftsführender Gesellschafter, CEO und Inhaber von NetKnights, stellt sich eine solche Frage gar nicht. Es geht vielmehr darum, Redundanzen zu schaffen. „Für Unternehmen ist es sehr schwierig vorherzusagen, wie lange sie internes Know-how behalten können. Externe Dienstleister hingegen sind eine dauerhaft planbare Wissensressource“, ergänzt Kölbel. Ziel sollte es sein, externes Know-how auszubauen und nicht internes Know-how zu eliminieren.

Den Zuschlag erhält er von Michael Herfordt, Projektleiter / Senior Consultant bei DATAGROUP Business Solutions, der ebenfalls die Vorteile des Teil-Outsourcings sieht. „Unternehmen ziehen externe Steuerberater hinzu, auch wenn das nötige Fachwissen im Rechnungswesen vorhanden ist. Das gilt auch für die Computersicherheit“, sagt Herfordt. Natürlich gibt es auch Kunden, die ihren Sicherheitsbetrieb komplett auslagern. SaaS-Anbieter müssen heute mehr denn je flexibel auf unterschiedlichste Anforderungen reagieren und Kunden vor Ort zufrieden stellen können.

Ohne fremde Hilfe kaum zu bewältigen

Für Sicherheitsdienstleister reicht es nicht mehr aus, nur gute Technik bereitzustellen. Beratung, Betrieb und Support sind wesentliche Anforderungen, die sie erfüllen müssen, da Kunden diese oft nicht mehr vollständig abbilden können. Dabei stellt sich zwangsläufig die Frage, ob die Digitalisierung überhaupt ohne Sicherheitsdienstleister zu bewältigen ist. Experten beantworten diese Frage mit einem klaren Nein.

Ramon Weil, Gründer und CEO von SECUINFRA, sieht die Notwendigkeit von Sicherheitsanbietern einfach deshalb, weil Behörden im Fall von Cyberkriminalität oft machtlos sind. Wenn Kriminelle mit einem Lastwagen in ein Kaufhaus einbrechen und den Laden räumen, wäre sofort die Polizei zur Stelle. „Im Internet passiert so etwas jeden Tag, da kann die Polizei gar nicht helfen“, erklärt Weil. Daher müssen Unternehmen ein funktionierendes Sicherheitssystem schaffen, was unter Berücksichtigung der technologischen und personellen Anforderungen oft nicht realisierbar ist. Moderne Sicherheitsdienstleister agieren in diesen Fällen als privater Sicherheitsdienst im Netz.

Bechtle-Experte Florian Macher sagt, dass die digitale Transformation die gesamte Substanz des Unternehmens betrifft und daher bereits viele Ressourcen bündelt. Darüber hinaus ist es für viele Unternehmen einfach nicht machbar, eine State-of-the-Art-Security-Landschaft aufzubauen. Macher ist sich sicher, dass SaaS-Anbieter auch in Zukunft eine extrem wichtige Rolle für Unternehmen spielen werden: „Sicherheitsdienstleister bringen Wissen und Erfahrung mit. Damit sind sie in der Lage, ihren Kunden einen relevanten Mehrwert zu bieten.“

Der Bedarf an leistungsfähiger IT-Sicherheit wird daher in Zukunft weiter drängender und die Rolle der Dienstleister noch komplexer. Unternehmen und SaaS-Anbieter müssen enger zusammenrücken, um die Herausforderungen der Cybersicherheit zu meistern.