In einer zunehmend digitalisierten Welt verlassen sich Unternehmen oft auf externe Dienstleister, um Kosten zu senken und sich auf ihr Kerngeschäft konzentrieren zu können. Bei der Auslagerung Ihrer IT an Dienstleister gehen Unternehmen oft davon aus, dass mit dem Vertrag auch das Thema Security vollständig abgedeckt ist. Warum dies ein Fehlschluss ist und welche Gefahren Unternehmen dadurch eingehen, erfahren Sie in diesem Artikel.

Cyber Security kann nicht zu 100% an Dienstleister ausgelagert werden

• Professionelle externe IT-Dienstleister mit gutem Security Know-How setzen einzelne IT-Systeme sicher auf und halten diese auch up to date (Patch Management).
• Oft ist das Budget von IT-Dienstleistern auf das einmalige Aufsetzen und den laufenden Betrieb ausgerichtet. Eine aktive Suche nach systemübergreifenden Schwachstellen, insbesondere nach grösseren IT-Änderungen oder neuen System-Releases, findet nicht statt. Ein regelmässiger Schwachstellenscan kann dabei keinen Penetration Test ersetzen (siehe Artikel).
• Wer sich selbst kontrolliert, neigt dazu, Fehler zu übersehen oder Risiken weniger kritisch zu betrachten. Dies gilt auch für IT-Dienstleister, die ihre eigens aufgesetzten und gewarteten Systeme prüfen.
• IT-Dienstleister beraten den Kunden klassischerweise nicht in den für die Cyber Security ebenfalls wichtigen Bereichen Organisation, Prozesse und Security Awareness Kultur.
• Cyber Security ist eine Führungsaufgabe. Da es keine 100% Sicherheit gibt, sind Trade-offs abzuwägen. Wenn sich der Auftraggeber nicht aktiv einbringt und die beteiligten Lieferanten steuert, wird der Einsatz der Mittel nach dem Standard des Dienstleisters erfolgen. Dieses Vorgehen muss jedoch nicht optimal für das Geschäft und die effiziente Reduzierung der damit verbundenen Risiken sein.

Selbst im Bereich IT keine vollständige Sicherheit: Schleichende Fehler und Sicherheitslücken

• Suboptimale organisatorische Massnahmen und Prozesse führen zu einer suboptimalen Security-Maturität und bieten Hackern trotz gut abgesicherter IT unnötig viele Angriffspunkte.
  
• Auch bei sorgfältiger IT-Betreuung können sich im Laufe der Zeit Fehler einschleichen. Konfigurationsänderungen, Software-Updates oder neue Systeme bergen stets Risiken.
• Ein externer Cyber Security Consultant identifiziert diese IT-Schwachstellen durch Penetrationstests, die automatische Scans und menschliche Erfahrung und Intelligenz kombinieren. So können potenzielle Angriffsvektoren geschlossen werden, bevor Schaden entsteht.
• Aus der Praxis heraus wissen wir, dass Sicherheitsrisiken dazu tendieren, sich über die Zeit der Partnerschaft mit einem IT-Dienstleister zu akkumulieren. Ein sporadischer externer Test kann dies verhindern.
  

Forensik: Ein Spezialbereich für den Ernstfall:

• Im Falle eines Cyber-Angriffs ist schnelles und präzises Handeln entscheidend. Hier kommen die digitale Forensik und Security Spezialkenntnisse ins Spiel.
• Der externe IT-Dienstleister ist der wichtigste externe Mitspieler, wenn es um einen Cyber Incident geht. So stellt er z. B. Systeme aus einem Backup wieder bereit und installiert Systeme neu. Incident Responder verfügen über das spezielle Wissen und die Geräte, um digitale Beweise zu sichern, Angriffe zu analysieren und die Täter zu identifizieren. Diese spezifische Expertise geht in der Regel weit über die Fähigkeiten eines regulären IT-Dienstleisters hinaus.

Fazit

Eine professionell outgesourcte IT ist vorteilhaft, ersetzt aber nicht alle notwendigen Cyber Security Massnahmen. Um eine hohe Cyber Security Maturität zu erreichen, geht es eben nicht nur um Systeme, sondern auch um die Organisation, Prozesse und die Mitarbeitenden. Darüber hinaus muss sich der Auftraggeber aktiv in den Prozess einbringen, um eine ressourcenoptimierte Reduktion der mit seinem Geschäft verbundenen Risiken zu erreichen.

Unabhängige externe Experten können auch in den über die IT hinaus reichenden Themenbereichen beraten. Für die Bewertung der IT-Sicherheit bringen sie eine neutrale und objektive Perspektive ein, decken blinde Flecken auf und bieten so eine unverzichtbare zusätzliche Sicherheitsebene. Besonders nach signifikanten IT-Veränderungen, sollte über eine Überprüfung der Systeme durch einen Spezialisten nachgedacht werden.

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Optimierung Ihrer Cybersicherheit? Wir freuen uns auf Ihre Kontaktaufnahme.

---

This blog post is also available in english:

Does cyber security consulting also make sense for outsourced IT?

---