Managed Security Services

Gibt es bald den “CISO-as-a-Service”?

Als CEO bei Datagroup hat Andreas Baresel täglich Einblick in verschiedene Unternehmen und weiß, wieviel Outsourcing nötig und möglich ist.
Von 
CSO | 24. August 2022 05:39 Uhr
Andreas Baresel, Datagroup: "Wir müssen unsere Kunden nicht mehr belehren, dass IT-Security wichtig ist."
Andreas Baresel, Datagroup: "Wir müssen unsere Kunden nicht mehr belehren, dass IT-Security wichtig ist."
Foto: Datagroup

Laut Lünendonk gehört Datagroup mit 29 Standorten und einem Umsatz im Geschäftsjahr 2020/2021 von 444,7 Millionen Euro zu den Top 5 IT-Service-Unternehmen in Deutschland. Und am stärksten gewachsen bei dem IT-Dienstleister ist in den vergangenen 24 Monaten das Themenfeld IT-Security. Mittlerweile gehören sieben Security Services zum Portfolio: Data Security, Security Information and Event Management (SIEM), Managed Net Security, Immutable Backup, Kompromittierungsscanner,Vulnerability Management und Managed Mail Security. "Wir müssen unsere Kunden nicht mehr belehren, dass IT-Security wichtig ist", sagt CEO Andreas Baresel. Die Nachfrage spreche für sich.

CISOs liefern die nötige Sichtweise

Rund 3.500 Mitarbeiter kümmern sich deutschlandweit um die Kunden, die hauptsächlich aus dem gehobenen Mittelstand kommen, und setzen mit ihnen Projekte um. "Im Optimalfall sprechen wir dabei mit dem CISO und dem CEO. Wir bekommen aber auch viele Anfragen von Unternehmen, die noch nicht so reif sind und noch keinen CISO haben", erklärt der Datagroup-CEO. "Oft gibt es diese Position zwar auf dem Papier, aber noch nicht in der Praxis und es ist noch niemand explizit für die IT-Sicherheit verantwortlich."

Im gehobenen Mittelstand sei es für Unternehmen schon recht gängig, einen Chief Information Security Officer zu haben, aber noch kein Standard. "Diese Position ist immer noch recht neu. Ich würde sagen, dass gut zwei Drittel unserer Kunden schon einen CISO haben." Für die Planung von Managed Security Services würde es dem Dienstleister jedoch helfen, mehr als nur die Business-Sicht des CEOs zu haben. Der CISO liefere Baresel zufolge die fachliche IT-Sicht und könne den Nutzen und die Notwendigkeit bestimmter Services besser einschätzen als der Geschäftsführer. Je konkretere Vorstellungen und die Roadmap des CISOs ist, desto einfacher ist es für den IT-Dienstleister.

IT-Sicherheit komplett outsourcen?

Die Vorteile von Managed Security Services sind nicht von der Hand zu weisen: Unternehmen müssen keine eigenen Ressourcen aufwenden, wie Security-Experten, Software und Hardware. Dadurch sparen sie Zeit und Geld, und können beides in ihr Kerngeschäft investieren. Doch die Service Provider bieten nicht nur einzelne Dienstleistungen an, sondern können mit dem Kunden ganze IT-Sicherheitskonzepte erarbeiten. "IT-Dienstleister können sehr umfangreich beraten und sehr viele Services übernehmen, auch in der IT- und Datensicherheit", sagt Baresel.

Was CISOs Baresels Meinung nach auf jeden Fall auslagern sollten, ist der Betrieb eines Security Operations Centers (SOC). Denn kleine und mittelständische Unternehmen können es sich in der Regel schlichtweg nicht leisten, die für ein SOC notwendigen Security-Experten rund um die Uhr vorzuhalten. "Zudem finden Sie am Arbeitsmarkt die Fachkräfte oft gar nicht mehr", ergänzt Baresel. Werden als Folge Unternehmen in Zukunft ihre komplette IT-Security auslagern? "Von einer Art CISO-as-a-Service sind wir gar nicht so weit weg", gibt der CEO zu. Er gibt jedoch zu bedenken, dass die Datenhoheit und die Verantwortung im Unternehmen bleiben sollten. Seiner Meinung nach schadet es auch nicht, wenn im Unternehmen Grundkenntnisse über IT-Sicherheit vorhanden sind, auch wenn viele Aufgaben der IT-Dienstleister übernimmt.

Lesetipp: Nicht mehr ohne meinen Berater

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.