IDG-Studie zu Managed Security Services
Deutsche Unternehmen offen für externe IT-Sicherheitsservices
Der IT-Leiter trifft die Entscheidung
Ob ein Managed Security Service zum Zuge kommt und welche IT-Sicherheitslösungen eingesetzt werden, entscheidet in rund 46 Prozent der Unternehmen der IT-Leiter. Damit spielt er eine wichtigere Rolle als der CIO (36 Prozent) und der Geschäftsführer. Bemerkenswert ist zudem, dass nur in 20 Prozent der Firmen der CISO (Chief Information Security Officer) oder Information Security Officer das entscheidende Wort haben, wenn das Outsourcing von Aufgaben an einen IT-Sicherheitsdienstleister zur Diskussion steht. Außen vor sind außerdem die Leiter von Rechenzentren.
Anders stellt sich Situation in kleineren Unternehmen dar. Dort behalten sich Finanzvorstände und Geschäftsführer in stärkerem Maße ein Mitspracherecht vor, wenn es um Managed Security geht.
Gefordert: Gutes Know-how und faire Preise
Bei der Auswahl eines MSSP achten Unternehmen vor allem auf drei Faktoren:
eine hohe technische Kompetenz (36 Prozent),
ein gutes Preis-Leistungsverhältnis (31 Prozent) sowie
einen technischen Support in Deutsch (31 Prozent).
Bei Unternehmen mit weniger als 500 Mitarbeitern kommt ein weiterer Punkt hinzu: Mehr als ein Drittel von ihnen wünscht sich einen IT-Sicherheitsdienstleister, dessen Firmensitz in Deutschland liegt. Das kommt deutschen Systemhäusern und IT-Dienstleistern zugute, die ihr Geschäft um Services im Bereich Managed Security erweitern möchten. Dies gilt umso mehr, als ein Viertel der Befragten im Bereich IT-Sicherheitsservices am liebsten mit einem IT-Unternehmen zusammenarbeiten möchten, mit denen sie bereits in anderen Bereichen gute Erfahrungen gemacht haben.
Diese Einschätzung stößt bei IT-Dienstleistern naturgemäß auf offene Ohren. Denn sie sehen in Managed Security Services ein Geschäftsfeld mit großem Potenzial. So will mehr als ein Fünftel der Anbieter den Umsatz mit gemanagten IT-Security-Diensten im laufenden Jahr um mindestens zehn Prozent steigern. Das gilt vor allem für Dienstleister, die kleine Unternehmen zu ihren Kunden zählen. Diese Anbieter haben allerdings einen hohen Nachholbedarf. Denn bei der Hälfte der größeren Systemhäuser und Service-Provider entfallen bereits heute bis zu 25 Prozent des Umsatzes auf den Bereich Managed Security. Auf vergleichbare Werte kommt nur ein Drittel der kleineren IT-Dienstleister.
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Fazit: Noch etliche "Baustellen"
Unternehmen in Deutschland haben offenkundig erkannt, dass sie die komplexen Herausforderungen im Bereich IT-Security nicht um jeden Preis im Alleingang bewältigen müssen. Das belegt der hohe Anteil von Firmen, die bereits Managed Security Services nutzen. Neben der wachsenden Bedrohung durch Cyber-Angriffe spielt dabei auch der Mangel an IT-Sicherheitsfachkräften eine Rolle.
Es gibt jedoch noch etliche "Baustellen". Dazu zählen die teilweise erheblichen Unterschiede bei der Einschätzung des Nutzens und der Notwendigkeit von Managed-Security-Diensten. Das gilt beispielsweise für wichtige Bereiche wie die Schwachstellen- und Risikoanalyse. CIOs und Geschäftsführer tendieren zu einem "Nein", während IT-Leiter und Fachbereiche den Einsatz externer Experten forcieren. In solchen zentralen Fragen sollten alle Beteiligten einen gemeinsamen Nenner finden.
Zu hinterfragen ist zudem die Einschätzung eines beträchtlichen Teils der Unternehmen, dass externe IT-Sicherheitsdienste generell nicht erforderlich sind. Denn in der Praxis zeigt sich immer wieder eine gewisse "Betriebsblindheit" bei IT-Verantwortlichen, CIOs und Geschäftsführern. Die Folgen: Das IT-Sicherheitsniveau im eigenen Haus wird überschätzt; Defizite bleiben unerkannt. Besser ist, wenn eine neutrale Instanz regelmäßig die eingesetzten IT-Security-Maßnahmen überprüft und dadurch Hacker-Angriffen und dem Verlust von Geschäftsdaten vorbeugt.
Die Studie Managed Security Services finden Sie hier in unserem Studienshop
Vorstellung der Studienergebnisse auf der it-sa
Auf der IT-Sicherheitsmesse it-sa stellte die COMPUTERWOCHE zusammen mit drei Studienpartnern ausgewählte Studienergebnisse vor. Den Videomitschnitt dieser Präsentation können Sie hier sehen:
Studiensteckbrief
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Studienpartner:
Gold-Partner: Rackspace Germany GmbH, SECUINFRA GmbH, TREND MICRO Deutschland GmbH
Silber-Partner: FireEye GmbH, NTT Security Germany GmbH
Bronze-Partner: Capgemini Outsourcing Services GmbH, HP Deutschland GmbH, SHE Informationstechnologie AG
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich
Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.
Gesamtstichprobe: 357 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 20. Juni bis 31. Juni 2018
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern
Durchführung: IDG Research Services