Das Spiel der Schuldzuweisungen Falsche und richtige Gründe einen MSSP zu nutzen

Von Sascha Giese

Anbieter zum Thema

Es gibt viele gute Gründe dafür, die Cyber­sicherheit an einen Managed Security Services Provider (MSSP) auszulagern. Ihre Dienst­leistungen sind nur schwer zu übertreffen und häufig kosten sie weniger, als wenn man die Arbeit selbst erledigen würde. Doch einige scheinen in MSSPs noch einen anderen Vorteil zu sehen: Man kann ihnen die Schuld zuweisen.

Auch Technikexperten spielen das ungute Spiel der Schuldzuweisungen gerne mit und ein MSSP scheint oft ein leichtes Opfer.
Auch Technikexperten spielen das ungute Spiel der Schuldzuweisungen gerne mit und ein MSSP scheint oft ein leichtes Opfer.
(Bild: gemeinfrei / Pixabay)

MSSPs überwachen die Sicherheit eines Unternehmens. Manchmal handelt es sich um eine zusätzliche Dienstleistung eines Managed Services Provider (MSP), in anderen Fällen ist der MSSP ein separater externer Auftragnehmer. Je nach angebotenem Paket können die Dienstleistungen beispielsweise Threat Intelligence, Intrusion Detection, Virenschutz, Spam-Blockierung, eine Firewall und ein VPN umfassen.

MSSPs sind zumeist auf dem neuesten Stand und nutzen die Vorteile neuer Technologien. Außerdem sind sie auf die meisten Anwendungsfälle vorbereitet, sofern gesetzliche Vorschriften und Compliance es erlauben, Daten an einen externen Vertragspartner weiterzugeben.

Doch einige scheinen in MSSPs noch einen anderen Vorteil zu sehen: Man kann ihnen die Schuld zuweisen.

Das Spiel der Schuldzuweisungen

Über die üblichen Schuldzuweisungen in Unternehmen wurde schon viel geschrieben: Etwas geht schief und Angestellte versuchen, die Verantwortung auf andere zu schieben. In unseren Jobs wissen wir, wer zu Schuldzuweisungen neigt, und meiden diese Personen lieber – schließlich kann das geradezu ansteckend sein.

Auch Technikexperten spielen dieses ungute Spiel gerne mit. In unserem Arbeitsalltag wandeln sich Prioritäten sehr schnell und nur selten haben wir das Budget, das Personal und die Zeit, die wir benötigen, um Schritt zu halten. Noch schlimmer werden die Dinge dadurch, dass wir oft nicht nach unseren Erfolgen, sondern nach unseren Fehlern beurteilt werden. Ein einziger Fehler kann für uns alles zum Einsturz bringen. Schieben wir in einer solchen Situation den Fehler auf Faktoren wie unqualifiziertes Personal? Oder stehen wir zu unserer Verantwortung?

Nicht ohne Grund schon hat man Technikexperten dazu geraten, gelegentlich das „Gelassenheitsgebet“ zu sprechen: „Gib mir die Gelassenheit, Dinge hinzunehmen, die ich nicht ändern kann, den Mut, Dinge zu ändern, die ich ändern kann, und die Weisheit, das eine vom anderen zu unterscheiden!“ Schuldzuweisungen jedenfalls sind niemals produktiv. Sie funktionieren einfach nicht.

Um sie zu vermeiden, braucht man eine bessere Kommunikation zwischen den Mitarbeitern und durchdachte Managementtechniken. Kurz gefasst könnte man sagen: Die Grundlage ist geschaffen, wenn man respektvoll mit den eigenen Mitarbeitern umgeht und sie dazu bringt, auch gegenüber allen anderen respektvoll zu sein.

Es gibt jedoch noch eine andere Art von Schuldzuweisungen: Man findet sie vor allem in der Vorstandsebene von Großunternehmen, die sich eigentlich eine eigene Sicherheitsabteilung leisten könnten. Sie suchen nach einem Sündenbock, der bei Sicherheitsfehlschlägen die Schuld auf sich nehmen kann. Bei einem solchen Vorgehen wurde zweifellos nicht richtig verstanden, was eigentlich der Sinn hinter einem MSSP ist, und die Gelegenheit wird verpasst, wegen seiner Dienstleistungen einen Nutzen aus ihm zu ziehen.

Gute (und richtige) Gründe für einen MSSP

Üblicherweise sind es zwei Teams, die MSSPs an Bord holen: die Rechtsabteilung und die IT. Anwälte haben ihre Gründe dafür, die Verantwortung bei anderen zu suchen, schließlich ist viel Geld im Spiel. Darüber hinaus jedoch gibt es auch eine Menge wirklich guter Gründe für die Zusammenarbeit mit einem MSSP, zum Beispiel:

Ein zentraler Fokus: MSSPs stellen Technologien für Kunden der verschiedensten Größen mit ganz unterschiedlichen Problemen und Schwachstellen bereit. Sie haben Erfahrungen gesammelt und sind alltagserprobt. E-Mails sind zwar dem Verizon 2019 Data Breach Investigations Report zufolge immer noch das häufigste Einfallstor für Malware (mit ganzen 94 Prozent), doch gibt es noch viele andere Bereiche, die das Sicherheitspersonal im Auge behalten muss.

Dabei werden Ihre Mitarbeiter mit großer Wahrscheinlichkeit in verschiedene Richtungen gezogen. Wenn Sie in einem kleinen oder mittleren Unternehmen tätig sind, sind Sie wahrscheinlich ein IT-Generalist. Sie sind Netzwerkexperte, Ansprechpartner für die Virtualisierung und vielleicht sogar die Person hinter dem Helpdesk.

Sicherheit ist komplex, und um gut darin zu sein, müssen Sie die neuesten Schwachstellen jederzeit im Blick haben. Das geht nur, wenn Sie tagtäglich Zeit für Recherchen aufbringen. Zeit, die Sie nicht haben. Managed Security Services Providers hingegen machen es sich zur Aufgabe, sich nur um eine einzige Sache zu kümmern.

Zugriff auf geschultes Personal: Qualifiziertes Personal zu finden ist nicht einfach. So sieht sich mehr als Dreiviertel der im SolarWinds IT Trends Reports 2019 befragten Technikexperten bis dato nicht gewappnet für die Zukunft. Und die Situation wird schlimmer.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Löhne sind hoch, und dazu kommen noch die Kosten für Softwarelizenzen. MSSPs hingegen haben rund um die Uhr Personal über alle üblichen Supportkanäle verfügbar. Ihr Team braucht auch mal eine Pause. Anrufe um Mitternacht kommen vielleicht nicht bei ihm an. Der MSSP dagegen ist rund um die Uhr da.

Zugang zu Tools: Sicherheitstools sind meist teurer als andere IT-Lösungen. Viele Unternehmen haben den Eindruck, sich diese Ausgaben nicht leisten zu können – erst recht nicht, was die nötigen Schulungen betrifft. Erweiterte Technologien wie Verhaltensanalysen sind für durchschnittliche KMUs unerreichbar. MSSPs stellen die entsprechenden Tools ganz selbstverständlich bereit.

Flexibilität: Ihr Unternehmen kann seine Sicherheitsfunktionen ganz oder teilweise an einen MSSP auslagern und dabei eine breite Palette an Dienstleistungen von der Überwachung bis zum Virenschutz in Anspruch nehmen. Einige MSSPs bieten auch spezialisierte Dienstleistungen an, um die Compliance mit unterschiedlichen Gesetzen zu gewährleisten.

Verantwortung akzeptieren

Die rechtlichen Gründe für das Vermeiden von Schuldzuweisungen können Anwälte nennen, doch ganz offensichtlich kann der Versuch nur schiefgehen, Sicherheitsverletzungen zu verbergen oder andere zu beschuldigen. Nutzte Marriott einen externen Dienstleister, als es zu der massiven Datensicherheitsverletzung kam? Ich weiß es nicht, und genau das macht deutlich: Ihr Unternehmen wird in jedem Fall beschuldigt werden. Wer im Scheinwerferlicht steht und die Schuld auf andere schiebt, macht alles nur noch schlimmer.

In Europa gilt seit 2016 die DSGVO, seit 25. Mai 2018 ist die Übergangsfrist beendet – und dabei geht es um viel mehr als nur das Recht auf Vergessenwerden. Auch der Umgang mit Sicherheitsverstößen spielt eine zentrale Rolle: Sie müssen nach Bekanntwerden schnellstmöglich (und auf informative Weise) öffentlich gemacht werden.

Es wird unvermeidlich zu Untersuchungen kommen. Die zugrunde liegende Ursache wird analysiert. Das ist nicht schön und der einzig sinnvolle Umgang mit der Situation besteht darin, der Öffentlichkeit gegenüber offen, direkt und ehrlich aufzutreten, denn die Verantwortung liegt bei demjenigen, der die Daten besitzt.

Doch Ihre erste Aufgabe besteht nun darin, den richtigen MSSP zu finden. Sobald der Dienstleistungsvertrag unterzeichnet ist, sodann geht es auf beiden Seiten um Vertrauen. Sie müssen Ihrem Vertragspartner vertrauen können, wenn Sie ihm Zugang zu Ihren Daten gewähren. Sie müssen darauf vertrauen, dass er die zugesagte Arbeit erledigen wird. Doch Sie müssen dies auch überprüfen. Schließlich ist es Ihr Team, dem am Ende die Schuld zugewiesen wird, also schrecken Sie nicht vor der Verantwortung zurück. Denn, wie gesagt: Es funktioniert sowieso nicht, die Schuld auf jemand anderen zu schieben.

Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.

(ID:46617729)