Die neue Rolle

IT-Dienstleister als Sicherheitsberater

13.04.2015
Von Christian Töpfer
Viele IT-Dienstleister und Managed Service Provider (MSP) stellen bei ihren Kunden das Fehlen einer IT-Abteilung fest, die Sicherheitsprotokolle implementieren kann und darf. Dadurch übernehmen sie die Rolle des Sicherheitsberaters. Doch wie sieht es dann mit der Verantwortung aus?

Wenn sich bei Unternehmen niemand für die Implementierung der Sicherheitsprotokolle und die Information der Mitarbeiter über Gefahrenpotenziale zuständig fühlt, können vermehrt Sicherheitslecks auftreten – ausgelöst durch Mitarbeiter, die auf infizierte Links klicken, Sicherheitsrisiken unterschätzen oder bewährte Sicherheitsverfahren nicht beachten. Dadurch finden sich MSPs und andere IT-Dienstleister zwangsläufig in der Rolle des Sicherheitsberaters wieder. Was wiederum Fragen aufwirft, inwieweit sie dafür verantwortlich sind, ihren Kunden ein Bewusstsein für das Thema Sicherheit zu vermitteln und sie im Rahmen von Weiterbildungsmöglichkeiten in den täglichen Sicherheitsroutinen zu schulen.

Um besser verstehen zu können, wie MSPs ihre Managed-Services-Angebote durch die Unterstützung ihrer Kunden im Bereich Sicherheit aufwerten können, sprachen wir mit Dave Sobel von LogicNow, Leiter der Partner-Community von MAXfocus. MAXfocus von LogicNow bildet das Herzstück einer globalen Community von mehr als 10.000 der weltweit führenden MSPs sowie eines Netzwerks von Partnern in mehr als 100 Ländern.

Dave Sobel, Leiter der Partner Community von MAXfocus von LogicNow: "Sicherheit ist kein Produkt, das man kaufen und dann abhaken kann."
Dave Sobel, Leiter der Partner Community von MAXfocus von LogicNow: "Sicherheit ist kein Produkt, das man kaufen und dann abhaken kann."
Foto: LogicNow

Aus der Channel-Perspektive betrachtet: Ist Managed Security ein Bereich, dem MSPs und Fachhändler, die ManagedServices anbieten, Beachtung schenken sollten und der Gewinne verspricht?
Dave Sobel: Definitiv ja,denn der Bedarf nach Managed Security wächst stetig und ist zurzeit ein wichtiges Thema. Wann immer ich über Sicherheit spreche, weise ich darauf hin: Sicherheit ist kein Produkt, das man kaufen und dann abhaken kann. Es gibt leider keine ganzheitliche Lösung, die automatisch für Sicherheit in allen Bereichen sorgt. Denn die Sicherstellung konstanter Sicherheit ist nur als Serviceleistung möglich, weil es dabei eben nicht um ein einmaliges Einrichten von Workflows geht, sondern um eine permanente Überprüfung und Aktualisierung. Daher bedarf es eines fortlaufenden Risiko-Managements und kontinuierlicher Prozesssteuerungsaktualisierungen.
Wir betrachten beispielsweise viele Geschäftsprozesse und -systeme unter dem Aspekt der Sicherheit. Um diese zu erlangen, müssen kleine und mittelständische Unternehmen sowie auch ihre IT-Dienstleister eine ganze Reihe von Lösungen kombinieren, und es gibt natürlich auch unterschiedliche Herangehensweisen. So gilt es, nicht nur ein Malware-Management – inklusive geeignetem Patch-Management und Perimetersicherheit wie bei E-Mails – zu gewährleisten, sondern gleichzeitig auch die Anwender zu betreuen und sicherzustellen, dass diese sich sicher im Netz bewegen und keine fragwürdigen Websites besuchen. Diese Kombination aus technischen Dienstleistungen und der Fähigkeit, Nutzern ein Policy-Management an die Hand zu geben, um sicherzustellen, dass die Anwender sämtliche Technologien gefahrlos und richtig nutzen, versteht man unter Managed Security.

Also sehen Sie Sicherheitsdienstleistungen als ein separates Angebot an?
Sobel: Sie können Sicherheitsdienstleistungen als eine eigenständige Dienstleistung verkaufen. Sie kann aber auch als Bestandteil eines Angebots zur Infrastruktur-Betreuung und des Managements einer IT-Umgebung angeboten werden. Außerdem bieten wir neben Anwenderunterstützung auch alle weiteren Komponenten an, die beim Betreiben eines Netzwerkes zum Einsatz kommen. Die Sicherheitsdienstleistungen umfassen weiterhin die Bereiche Disaster Recovery und Backup Management, sowohl vor Ort, als auch in der Cloud.

Sehen kleinere Unternehmen das auch so bzw. verstehen sie, dass sie sich um die IT-SicherheitGedanken machen und hier auch investieren müssen?
Sobel: Das tun sie, insbesondere, je mehr man sie über Compliance-Fragen und gesetzliche Bestimmungen aufklärt. Wenn sie Kreditkarten akzeptieren, sollten dieseUnternehmen zumindest den PCI-Standard (Sicherheitsstandard zur Abwicklung von Kreditkartentransaktionen) erfüllen. Meine Empfehlung ist, das Thema für die Kunden so praxisnah wie möglich aufzubereiten. Es geht nicht darum, sich hinzustellen und zu sagen "Ich werde überall für Sicherheit sorgen". Sprechen Sie mit Ihren Kunden darüber, inwieweit diese Sicherheitsbelange ihre Unternehmen betreffen und erklären Sie ihnen, wie sie vorgehen müssen und welche Maßnahmen für ihre Absatzmärkte relevant sind.

Was Ihre Aufklärungsarbeit im Channel betrifft: Wie schaffen Sie es, bei Ihren Channel-Partnern ein Verständnis dafür zu entwickeln, worauf sie achten sollten und wie sie ihren Kunden das Thema Managed Security am besten präsentieren?
Sobel: Wir erreichen dies auf unterschiedliche Arten und Weisen. Wir haben eine Reihe von Produkten und Maßnahmen, die den IT-Dienstleistern bei der Überzeugungsarbeit helfen können. Viel wichtiger ist es aber, dass wir ihnen helfen zu verstehen, wie sie die Angebote zu einer echten Dienstleistung zusammenfassen können. Dazu bieten wir auch Onlinekurse, Lernvideos und White Papers sowie Workshops auf unseren Channel-Events an. Wir tauschen uns außerdem mit befreundeten Communities aus, wie zum Beispiel mit CompTIA und deren IT-Sicherheits-Community. Es gibt viele verschiedene Wege, all diese Punkte miteinander zu verbinden, um sicherzustellen, dass wir die MSPs und IT-Dienstleister bestmöglich darin schulen, diese Serviceangebote im IT-Markt zu platzieren.

Können Sie zu den eben erwähnten Produkten einige Beispiele nennen?
Sobel: Wir haben verschiedene Softwarelösungen, die kombiniert all das abdecken, was KMUs im Bereich Managed Security benötigen: Remote-Management, Patch-Management, MaxMail für E-Mail-Sicherheit und einen in die MAXRM-Lösung integrierten Web-Schutz.

Was die Schulungsmaßnahmen für den Channel betrifft: Müssen sie dazu aktiv auf Ihre Channel-Partner zugehen oder kommen diese zu Ihnen und fragen die Schulungen an, wenn die Vermarktung der Managed-Security-Angebote ja offensichtlich so entscheidend ist?
Sobel: Wir bieten die Schulungen quasi als Bestandteil unseres Softwareangebots an, da wir dies als wichtigen Punkt betrachten. Für einige Spitzenanbieter ist ein solcher Vermarktungsansatz sehr leicht erfassbar und gehört für sie zum Tagesgeschäft, andere Dienstleister benötigen etwas mehr Unterstützung. Deshalb tun wir alles, um sicherzustellen, dass unsere Partner sämtliche Ressourcen zur Verfügung haben, die sie benötigen. Aus diesem Grund haben wir mit Ian Trump auch einen erfahrenen Security-Experten in unserem Team.

Ist das etwas, was Sie von Ihren Mitbewerbern unterscheidet?
Sobel: Ich denke schon – es ist auch einer der Gründe, warum ich für MAXfocus arbeite. Ich war selber gut zehn Jahre als Managed Services Provider tätig und hatte eine eigene Firma in Washington, DC. Jeder in meinem heutigen Community-Team hat einen Channel-Hintergrund. Wir haben ein Team von vier Kundendienstmitarbeitern, die zusammen gerechnet fast 60 Jahre Channel-Erfahrung haben.

Zur Startseite