365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Dienstleistungen spielen in der IT-Security eine wichtige Rolle – schließlich sehen sich viele Unternehmen schlicht nicht in der Lage, ohne externe Unterstützung für die Sicherheit zu sorgen. Auf der it-sa Expo&Congress präsentierten viele Anbieter Outsourcing-Lösungen bis hin zu SOC-as-a-Service (SOCaaS). Dabei setzen die einzelnen Anbieter unterschiedliche Schwerpunkte.
Die Entwicklungen im Bereich Cybercrime erfordern angepasste Reaktionen. Die Abwehr von Angriffen wird zunehmend komplexer und aufwendiger. Der permanenten Aufrüstung der Security-Bereiche sind allerdings finanzielle Grenzen gesetzt. Unternehmen reagieren daher häufig mit Outsourcing. Insbesondere kostenintensive Bereiche wie der Betrieb eines eigenen Security Operations Center (SOC) können externe Anbieter übernehmen. Auf der it-sa Expo&Congress wurden zahlreiche Dienstleistungsangebote vorgestellt.
Das Bundeskriminalamt (BKA) meldet einen signifikanten Anstieg der Cyberkriminalität um rund ein Drittel im Vergleich zum Vorjahr. “Cybercrime ist geprägt von einer Underground Economy, die ihre kriminellen Dienstleistungen inzwischen in einem industriellen Maßstab anbietet”, heißt es im BKA-Jahresbericht. Das BKA ergänzt, dass das Geschäftsmodell 'Cybercrime-as-a-Service' von zentraler Bedeutung bleibt und einer weiteren Professionalisierung unterliegt.
Der Hintergrund dieser Entwicklung: Die Komplexität der Angriffe nimmt permanent zu, Angreifer spezialisieren sich auf Teilbereiche. Dadurch können Angriffe leichter erfolgreich sein. Während beispielsweise die einen in Systeme eindringen, suchen andere anschließend darin nach verwertbaren Daten.
Damit steigt der Aufwand für Unternehmen zur Abwehr von Angriffen und Sicherung der IT-Systeme kontinuierlich. Insbesondere kleinere Betriebe sind dem häufig nicht gewachsen, da sie nicht über hinreichend Personal verfügen, das sich dem Thema widmen kann, beziehungsweise das vorhandene IT-Personal nicht in der Lage ist, die Security-Aufgaben zusätzlich zu bewältigen. Außerdem sind Fachkräfte schwer zu finden und teuer. Deshalb werden immer mehr Teilbereiche durch Dienstleister abgedeckt. Die Security-Branche reagiert darauf. Wie die diesjährige it-sa Expo&Congress kürzlich zeigte, hat sich das Feld Security-as-a-Service (SECaaS) beziehungsweise Managed Security Service stark erweitert. Neue Angebote sind hinzugekommen, zum Beispiel SOC-as-a-Service (SOCaaS).
Der Betrieb eines eigenen SOC ist sehr kostspielig und meist nur etwas für größere Unternehmen. Normalerweise wird hier im Schichtbetrieb rund um die Uhr gearbeitet. Es braucht daher hinreichend geeignetes Fachpersonal. Doch die Bedeutung eines Security Operations Center (SOC) ist nicht zu unterschätzen: Es dient als taktisches Kontrollzentrum, hier laufen alle Security-Daten zusammen. Es sollte jederzeit den aktuellen Überblick über die Sicherheitslage des Unternehmens besitzen.
Security-Anbieter in diesem Feld betreiben ein einziges SOC für möglichst viele Kunden. So lassen sich die Kosten für den Personalbedarf abfedern. Gleichzeitig setzen sie eine Vielzahl von Tools ein, um einen hohen Automatisierungsgrad zu erreichen. Etliche neue Angebote sind in letzter Zeit auf den Markt gekommen. Für Kunden ist es nicht leicht, einen Überblick zu bekommen. Dabei sei es schon schwierig genug, überhaupt die richtigen Kriterien für eine Auswahl zu finden, weil diese nicht bei jedem Unternehmen gleich sind, erläutert Stefan Strobel, Geschäftsführer und Gründer des Security-Spezialisten cirosec. Für die Auswahl einer SOCaaS-Lösung rät er: „Kunden sollten darauf achten, dass das Architekturmodell zur eigenen IT-Landschaft passt“. Ein wichtiges Kriterium ist die im Unternehmen eingesetzte Software, etwa der Endgeräteschutz („Endpoint Detection and Response“, EDR). Dazu erläutert Strobel: „Wenn man zum Beispiel als EDR 'Defender' von Microsoft einsetzt, dann befinden sich schon Security-Daten in der Microsoft-Cloud, daher liegt es nahe, Microsoft-Sentinel zu nutzen“. Sentinel basiert auf einem cloud-basierten SIEM (Security Information and Event Management), das Log-Daten der Unternehmens-IT sammelt und aggregiert, daraus im Ernstfall Alarme generiert sowie Maßnahmen veranlasst und koordiniert. So entstehen große Datenmengen, für deren Analyse häufig KI genutzt wird. „Viele SOCaaS-Anbieter haben ihr Angebot auf Microsoft-Sentinel aufgebaut“, sagt Strobel.
Einer dieser Anbieter ist beispielsweise Getronics. Deren Angebot basiert auf Sentinel und ist in verschiedenen Ausbaustufen verfügbar. Das reicht bis hin zur Übernahme sämtlicher Security-Tätigkeiten. „Viele Kunden haben kein Personal und sind froh, wenn wir alles machen; andere benötigen zum Beispiel nur Hilfe bei der Erstellung von Konzepten“, erläutert Gerald Eid, Regional Managing Director DACH bei Getronics. Zudem arbeitet der Anbieter mit Partnern, die auch vor Ort eingreifen können. Eid ergänzt dazu: „Es gibt Kunden, die melden sich erst, wenn etwas passiert ist“, dann sind Incident-Response-Fachleute gefragt, die wissen, wie auf Notfälle zu reagieren ist. Eid weiter: „Wir haben die Kapazitäten, um jederzeit schnell zu reagieren; dazu halten wir ein Expertenteam vor, das sofort in ein Unternehmen hinein gehen kann“.
Ähnlich verfährt auch der US-Anbieter BlueVoyant. Kunden können verschiedene EDR- und SIEM-Lösungen einsetzen, deren Daten in Sentinel zusammenlaufen. Überwacht werden kann alles, „was Daten an die MS-Azure- oder AWS-Cloud liefert“, erklärt Markus Auer, Vertriebsleiter für die DACH-Region. Für alles andere brauche es Konnektoren, um Daten an Sentinel zu liefern. „BlueVoyant baut auch eigene Konnektoren“, führt Auer aus. Das Unternehmen ist zwar darauf spezialisiert, die Überwachung der Auswertungen in Sentinel und notwendige Reaktionen vorzunehmen, das muss jedoch nicht exklusiv erfolgen: „Wir verfolgen ein 'shared-model', das heißt, der Kunde kann genauso auf Sentinel zugreifen und auch eingreifen“, führt Auer aus. Die Aufgabenteilung sei granular definierbar, „das geht so weit, dass vor Ort nur noch normale Admins notwendig sind, aber keine Security-Spezialisten“, ergänzt er.
Eine Alternative zu Microsofts Sentinel ist Chronicle, eine vergleichbare Security-Plattform von Google. Der deutsche Anbieter Indevis arbeitet mit dieser Plattform. Sie wurde ursprünglich nur von Google für die eigene Cloud genutzt, bis man sich entschied, daraus auch ein Angebot für Kunden zu gestalten. „Zu den Features von Chronicle zählen neben hoher Speicherkapazität und schneller Suche auch die lange Vorhaltung der Daten, sodass Analysen bei Security-Vorfällen weit in die Vergangenheit reichen können“, betont Wolfgang Kurz, Gründer und bis vor kurzem auch Geschäftsführer von Indevis. Google strukturiert die Log-Daten für Analysen und bietet Tools zur Auswertung. Indevis kann sich zusätzlich auch um Patch-Management, Firewalls, Endgeräteschutz und dergleichen kümmern.
Ein vergleichbares Angebot liefert die Firma Spacenet. Sie setzt ebenfalls auf Googles Chronicle und hat ihren Ursprung im Bereich Colocation und Hosting. Daher kennt sich das Unternehmen mit Schnittstellen zwischen internen und externen Datenflüssen aus. „Der externe Datenverkehr vom und zum Kunden läuft zwecks Monitoring über Spacent, wo Sicherheitsmaßnahmen greifen und die Firewalls des Kunden betrieben werden“, erläutert Ingo Lalla, Vorstand Vertrieb und Marketing bei Spacenet. Ergänzt wird das Angebot beispielsweise durch Ransomware-Schutz auf der Basis von sicheren Snapshots. „Das erkennt auch Versuche, Dateien mit verschlüsselten Variationen zu überschreiben“, führt Lalla aus. Viele Kunden des Unternehmens stammen aus dem öffentlichen Nahverkehr, ÖPNV, darunter die Münchener Verkehrsverbund (MVV), aber auch der Radiosender Antenne Bayern gehört dazu.
Einen ganz anderen Weg geht Aryaka, ein US-Unternehmen aus dem Silicon Valley, das seine Ursprünge im WAN-Sektor hat. „Wir stellen insbesondere für Kunden mit mehreren Standorten oder Filialen eine sichere, stabile Netzwerkleistung zur Verfügung“, erklärt Klaus Schwegler, Senior Director of Product Marketing bei Aryaka. Doch mit der Zeit kamen weitere Anforderungen hinzu, so mussten Mitarbeiter im Homeoffice oder Partner sicher mit dem Firmennetz verbunden werden. Das alles erfolgt nicht über das Internet, sondern über ein privates, eigenes Netzwerk, in dem auch die Sicherheitsanalysen und -maßnahmen umgesetzt werden. In Europa hat Aryaka dazu als Partner die Deutsche Telekom an Bord. Aryaka managt auch die Netzwerkkomponenten bei den Kunden. „Im Unterschied zu unseren Konkurrenten haben wir die volle Kontrolle über das Netzwerk, weil es über unsere eigenen Verbindungen läuft“, merkt Schwegler an. Er bezeichnet diese Lösung daher als „Zero-Trust-WAN“.
Die Beispiele zeigen, viele Angebote wurden in Verbindung mit weiteren Dienstleistungen gestaltet. Andere Anbieter bieten weitere SOCaaS-Lösungen an und es dürften künftig noch mehr dazu kommen. Zunehmende Komplexität und Angriffe dürften Anbietern im Bereich Managed Security Service eine rosige Zukunft bescheren.
Autor: Uwe Sievers
Für die Erstellung des Beitrags verwendete Quellen:
