Angesichts hunderter potenzieller Anbieter und einer Menge an Marketing-Buzz ist der Request for Proposal-(RFP)-Prozess zur Auswahl des besten Managed Security Service Providers (MSSP) für die speziellen Anforderungen eines Unternehmens keine leichte Aufgabe.
Da sich Vorstände jedoch zunehmend gegen Sicherheitsausgaben wehren und Beweise für eine tatsächliche Risikominderung wollen, ist die Bewertung eines geeigneten Partners nicht allzu leicht. Entscheidungen sollen nach objektiven und evidenzbasierten Kriterien getroffen werden.
Um den Dschungel an Angeboten und Dienstleistern besser durchdringen zu können, zeigen die Spezialisten von Kudelski Security acht Überlegungen auf, die bei der Bewertung von Managed Security Services beachtet werden sollten.
1. Sollen Angriffe erkannt und unschädlich gemacht werden oder geht es nur um die Erfüllung von Compliance-Zielen?
Welches Ziel soll mithilfe des Dienstleisters erfüllt werden? Geht es vor allem um die Einhaltung von Vorschriften oder soll die Zahl der Angriffe tatsächlich verringert werden? Die bedauerliche Realität der aktuellen Bedrohungslage ist, dass Compliance den Angriffstaktiken meist hinterherhinkt. Bis zum Erlass der Vorschriften haben sich die Methoden der Hacker bereits weiterentwickelt. Einfach ausgedrückt: Wenn es nur um die Einhaltung von Vorschriften geht, sollte der billigste Anbieter gewählt werden.
Falls eine sorgfältige Bewertung der Cybersicherheit allerdings ergibt, dass die Organisation von einer besseren Sicherheit profitieren kann, sollte der Partner gewählt werden, der Risiken und Angriffe am besten erkennen und darauf reagieren kann. Die Kosten sind wahrscheinlich höher als bei der bloßen Befolgung der Vorschriften, jedoch wird das Risiko eines Angriffs effektiver und nachhaltiger reduziert, als wenn es nur um Compliance geht.
2. Mehr Transparenz führt zu besserer Erkennung und Reaktion
Ein entscheidender Faktor in heutigen IT-Umgebungen ist, dass die Infrastrukturen immer vielfältiger und dezentraler werden, die Systeme zunehmend miteinander verbunden sind und die Angriffsflächen immer größer werden. Allerdings ist es unmöglich, eine effektive Überwachung und Erkennung von Bedrohungen zu gewährleisten, wenn keine Sicherheitstelemetrie und Transparenz gegeben ist. Hier kann es sinnvoll sein, einen unabhängigen Experten mit einer Bewertung zu beauftragen. So erhalten Entscheider einen besseren und objektiveren Überblick.
Sicherheitsbeauftragte sollten einem Anbieter wählen, der blinde Flecken entdeckt und beseitigt, um Transparenz zu schaffen und die gesetzten Ziele zu erreichen. Der Dienstleister sollte zudem Expertise und Erfahrung in mehreren Technologieumgebungen haben, wie zum Beispiel On-Premises-Infrastrukturen, Cloud-Umgebungen, Endpoints, Industrial Control Systems (ICS) und Operational Technology (OT). Zudem sollte sichergestellt werden, dass der Security-Anbieter über Erfahrung mit dem System verfügt, das im Unternehmen eingesetzt wird. So können Protokolldaten gesammelt und Schwachstellen beseitigt werden.
3. Nur das bezahlen, was gebraucht wird
Ist ein Anbieter gefunden, der den Anforderungen entspricht, die Ziele erfüllen kann und bereits Erfahrung mit ähnlichen Umgebungen hat, sollten weitere Gespräche geführt werden. Selbst wenn das erste Angebot nicht dem Budget entspricht, lässt sich vielfach noch einiges durch geschicktes Verhandeln bewegen. Oft reicht es, den Umfang des Vertrags zu reduzieren. Die wertvollsten Funktionen sind auf die Erkennung und Reaktion ausgerichtet. Taktische Aktivitäten auf niedrigerer Ebene – beispielsweise die Verwaltung von Kennwortrücksetzungen, Schwachstellenmanagement oder eine IAM-Lösung – können aus dem Vertrag gekürzt werden, ohne dass die Leistung des Managed Detection and Response Anbieters darunter leidet. Jedoch sollte das nicht auf Kosten der Sicherheitstransparenz der essenziellen Geschäftsfunktion gehen. Der Hauptanbieter muss stets den kompletten Überblick über alle Prozesse haben. Wenn entscheidende Funktionen an andere Unternehmen ausgelagert werden, kann der Dienstleister nicht mehr so schnell und effektiv auf Angriffe reagieren wie nötig.
4. Genau abwägen: Funktionen behalten oder auslagern
In manchen Fällen ist es sinnvoll, dass das interne IT- oder Sicherheitsteam einige Routineaufgaben übernimmt. Zum einen ist dies billiger, zum anderen verfügen die eigenen Mitarbeiter über Unternehmensexpertise, die sie viel effektiver macht als externe Anbieter.
Besonders Erkennungsingenieure sind heiß begehrt, schwierig zu finden und nur mit großem Aufwand aus- und weiterzubilden. Da sie umfassende Kenntnisse über Endgeräte, Betriebssysteme, Cloud-Infrastrukturen und all die anderen Tools und Technologien haben müssen, ist es oft sinnvoll, diese Aufgabe an einen MDR-Dienstleister abzugeben, der Zugang zu den Talenten hat. Die Teams haben meist schon langjährige Erfahrung und werden kontinuierlich beschäftigt und fortgebildet.
5. Ergebnisse sind entscheidend, nicht die attraktivsten Technologien
Die Cybersicherheitsbranche entwickelt sich weiterhin mit halsbrecherischer Geschwindigkeit. Dabei sollte man sich jedoch nicht von den Versprechungen neuer Technologien blenden lassen. Oft bringt bereits die konsequente Umsetzung der grundlegenden Maßnahmen die erhoffte Wirkung. Das bedeutet, dass die Transparenz und die Fähigkeit der Teams, Bedrohungen zu erkennen und darauf zu reagieren, verbessert werden müssen, anstatt auf trendige neue Technologien zu setzten.
6. Alte Technologien nur ersetzen, wenn es sinnvoll ist
Die neuesten und besten Tools und Technologien bieten Unternehmen nicht automatisch einen Mehrwert. In manchen Fällen kann sich ein Update allerdings lohnen. In keinem Fall kann es schaden, sich wieder auf die Sicherheitsziele zu fokussieren. Es ist es unwahrscheinlich, dass ein hochwertiger MDR-Anbieter mit jeder SIEM- oder Cloud-Sicherheitsplattform gut arbeiten kann. Im Gegenteil: Wer behauptet, er unterstütze alle Technologien, die seine Kunden einsetzen, ist entweder unehrlich oder ineffektiv. Entscheider sollten einen ehrlichen Dialog über die Möglichkeiten und Grenzen ihrer Systeme führen und abwägen, welcher Anbieter sie optimal unterstützen kann.
7. Angebote und SOWs anhand von aussagekräftigen SLAs bewerten: Zahlen diese auf die Sicherheitsziele ein?
Service level agreements, die nicht aussagekräftig sind, sind in der heutigen Welt allzu häufig. Wenn das gewünschte Ergebnis darin besteht, die Ausbreitung von Ransomware in der Unternehmensumgebung schnell genug zu erkennen und darauf zu reagieren, spielt dann der Umfang der dem Account zugewiesenen Ressourcen eine Rolle? Es sollten nur Kennzahlen verwendet werden, die aussagekräftig sind und gemessen werden können.
8. Entscheidungen sollten diejenigen treffen, die sowohl die Geschäftsrisiken als auch die angestrebten Ergebnisse verstehen
Allzu oft hat der Einkauf das letzte Wort bei der Auswahl eines Dienstleisters. Die Beschaffungsabteilungen sind oft bestrebt, die Geschäftsziele zu möglichst niedrigen Kosten zu erreichen, und verstehen möglicherweise nicht die nuancierten Unterschiede zwischen den Anbietern oder die Sicherheitsziele, die das Unternehmen erreichen möchte. Sicherheitsbeauftragte sollten die endgültige Entscheidung treffen oder zumindest stark an ihr beteiligt sein. Nur sie können genau einschätzen, wie gut der Dienstleister unterstützen kann und welche Auswirkungen ein Versagen der Sicherheitssysteme auf die Geschäftsziele hat.
www.kudelskisecurity.com/de