Interviews - News - Analysen: Für erfolgreiches Wachstum mit Managed Security Services

Das Lebenswerk könnte in Gefahr sein

Alles über Managed Detention and Response: von der Kundenkommunikation, dem Gesprächseinstieg über die Sichten der Kunden bis zu möglichen Einwandbehandlungen.

MSP Journey · Managed Security Services · Sophos & Olaf Kaiser · Interview

Die Evolution der Sicherheitsstrategien: Vom Tool-Wildwuchs zur integrierten Lösung

Früher setzten Unternehmen auf eine Vielzahl von Sicherheits-Tools, um sich gegen verschiedene Angriffsvektoren zu schützen. Jedes neue Tool brachte jedoch zusätzliche Komplexität und oft auch Redundanz mit sich. Gartner erkannte diese Problematik und etablierte ein neues Vorgehen: Es reicht nicht mehr aus, nur zu erkennen – Unternehmen müssen auch in der Lage sein, schnell und effizient zu reagieren. Hier setzt MDR an, indem es die Erkennung und Reaktion auf Bedrohungen integriert und somit eine ganzheitliche Sicherheitsstrategie ermöglicht.

Von der Erkennung zur Reaktion: Der Mehrwert von MDR

MDR geht über herkömmliche Sicherheitslösungen hinaus, indem es nicht nur Bedrohungen identifiziert, sondern auch proaktive Maßnahmen zur Bekämpfung ergreift. IT-Dienstleister profitieren davon, dass sie nicht mehr in Silos arbeiten müssen. Ein typisches Beispiel: Ein Angriff wird am Endpoint erkannt, aber ohne MDR bleibt oft unklar, ob er über eine E-Mail, die Firewall oder ein mobiles Gerät eingedrungen ist. MDR bietet eine erweiterte Erkennung und Reaktion (Extended Detection & Response, XDR), die diese Informationslücken schließt und eine umfassende Bedrohungsanalyse ermöglicht.

Die Nadel im Heuhaufen finden: Effizienz durch Automatisierung

Ein zentrales Element von MDR ist die effiziente Alarmverwaltung. Statt IT-Dienstleister mit einer Flut von Warnungen zu überfordern, filtert MDR die relevanten Bedrohungen heraus und priorisiert diese. Dies ermöglicht es den IT-Teams, sich auf die wirklich kritischen Vorfälle zu konzentrieren und schneller zu reagieren. Dabei wird oft das Bild der “Nadel im Heuhaufen” verwendet: MDR sucht nicht nur diese Nadel, sondern legt sie dem Kunden gut sichtbar und verständlich dar, sodass sofortige Maßnahmen ergriffen werden können.

Offene Fragen als Türöffner: Der Dialog mit potenziellen Kunden

Ein erfolgreicher Einstieg in ein Gespräch über MDR beginnt mit offenen Fragen. IT-Dienstleister sollten beispielsweise nach der Größe des IT-Teams, der Anzahl der Mitarbeiter mit Zugang zu sensiblen Daten oder der bisherigen Sicherheitsstrategie fragen. Dies schafft Vertrauen und zeigt das Interesse an den spezifischen Bedürfnissen des Kunden. Häufig führt dieser Ansatz zu einem tiefgehenden Dialog, der die Pain Points und Wünsche des Kunden offenbart.

Bedrohungsinformationen als Mehrwert: Zusammenarbeit mit Behörden

IT-Dienstleister, die MDR anbieten, arbeiten oft eng mit Ermittlungsbehörden wie dem BKA, LKA und Europol zusammen. Diese Kooperation ermöglicht es, aktuelle Bedrohungstrends zu erkennen und Kunden entsprechend zu sensibilisieren. Ein prägnantes Beispiel: Angreifer bewegen sich heutzutage oft 30 bis 60 Tage unerkannt im Unternehmensnetzwerk, bevor sie zuschlagen. MDR hilft dabei, solche Angriffe frühzeitig zu erkennen und zu neutralisieren.

Vertrauen schaffen: Umgang mit Einwänden und Rückfragen

Ein weiterer wichtiger Aspekt im MDR-Verkaufsgespräch ist der Umgang mit typischen Einwänden und Rückfragen. Kunden fragen oft nach der Sicherheit ihrer Daten, der DSGVO-Konformität oder den Kosten. Hier gilt es, Transparenz zu schaffen und die Vorteile von MDR klar zu kommunizieren. Ein erfolgreiches Gespräch kann auch sehr schnelle Verkaufszyklen zur Folge haben – von der ersten Anfrage bis zum Abschluss vergehen oft nur 45 Tage, manchmal sogar weniger.

“Das Opfer hat zumeist viel größere Angst davor, dass sein Lebenswerk zerstört wird, als dass man 100.000 € oder 500.000 € verliert.“

Sophos Technology GmbH
Olaf Kaiser:

Bitte beschreibe die wesentlichen Punkte, die einen Managed Detection & Response Service ausmachen?

Markus Muth:
Lass uns die MDR Journey hier mit reinbringen. Früher war es so, dass du eigentlich für jeden neuen Angriffsvektor ein neues Tool gekauft hast. Und wenn du nach BSI Vorgabe gearbeitet hast, dann war es sogar so, dass du vielleicht manchmal zwei oder drei Hersteller oder Technologien an einem Angriffsvektor aufgestellt hast. Im Firewall-Bereich war das ganz oft so das Thema. Irgendwann hat Gartner gesagt, so können wir nicht weiterarbeiten und haben eine neuartige Definition der Vorgehensweise in den Markt gebracht. Ihr müsst Dinge erkennen, aber ihr müsst auch darauf reagieren.

Aber auch hier hat man wieder erkannt, dass man eigentlich mehr in Silos Security macht. Und was hilft es mir, wenn ich weiß, dass ich am Endpoint etwas erkenne, aber nicht weiß, wo kommt es eigentlich her? Kam das per Email? War das ein Angriff, der vielleicht über die Firewall reinkam? Kam der übers Gateway? Kam er über Mobile, wo auch immer? Also hat man gesagt, wir müssen weiterdenken und hat das X aus dem EDR gemacht, Extended Detektion Response

Und dann kam das Thema: Wer kümmert sich denn jetzt eigentlich um diese Alarme? Wer macht jetzt die Detektion und Response? Wir suchen die Nadel im Heuhaufen und legen dem Kunden oder dem Partner die heißen Nadeln auf den Tisch und machen ihm sogar noch kleine Zettelchen dran, um welche Nadeln er sich als erstes kümmern soll.

,
Olaf Kaiser:

Wie bereite ich mich auf ein konkretes Interessentengespräch vor? Oder schaltet ihr euch live ins Lab und zeigt etwas? Was ist so das Toolset, das man in ein Gespräch mitnimmt?

Markus Muth:
Gehen wir mal davon aus, wir sind in einer Neukundensituation. Und ich spreche das erste Mal über das Thema Security und Managed Security. Dann sollte man mit offenen Fragen arbeiten. Wie viele Mitarbeiter hast du eigentlich in der IT? Wie viele deiner Mitarbeiter greifen auf schützenswerte Ressourcen zu? Wie viele deiner IT oder deiner Mitarbeiter können eigentlich IT Security? Wie viele davon können tiefgreifend auch Threat Hunting? Und wenn es dazu kommen sollte, dass ein Angreifer wirklich mal durchkommt, wie reagierst du dann? Wen schaltest du ein? Wie ist dein Notfallplan? Da kommt ganz, ganz viel Dialog auf.

Wenn ich in das Gespräch mit involviert bin, dann ist es so, dass ich aus Herstellersicht auch immer ein Stück weit die Bedrohungsinformation aufzeige. Wie ist eigentlich die aktuelle Situation da draußen? Wir arbeiten sehr intensiv mit den Ermittlungsbehörden zusammen BKA, LKA, manchmal auch Europol. Da sehen wir Tendenzen, in welche Richtung gerade Angriffswellen laufen und dann geht es dahingehend zu sensibilisieren. Wir haben nicht mehr die Situation, dass die Angreifer reinkommen und sofort Ransomware reinschmeißen, sondern wir haben ganz oft die Situation, dass sie sich 30 bis 60 Tage im Unternehmen bewegen. Dann haben wir auch eine Demo, wo wir uns Angriffsbilder anschauen und auch aufzeigen, wie unser Team unterstützt.

,
Olaf Kaiser:

Siehst du Unterschiede, wer sensibel für das Thema Security ist? Wenn ich dich jetzt fragen würde, woran ich die 30 spannendsten meiner 500 CRM Kontakte erkenne, wie lautet Deine Antwort?

Markus Muth:
Es hängt an der Individualität. Wir haben schon oft die Fälle gehabt, dass die beiden Geschäftsführer miteinander Golf spielen und der eine Geschäftsführer darüber berichtet, dass bei ihm der Angriff durchgeschlagen ist. Und dann jetzt der andere Geschäftsführer auf einmal sehr ansprechbar ist. Es ist ganz oft so, dass diese Angst, mein Lebenswerk, das vielleicht in der zweiten oder dritten Generation läuft, einen treibt. Dass man eine viel größere Angst davor hat, dass ein Lebenswerk zerstört wird durch einen Angriff, als dass man vielleicht 100.000 € oder unter 500.000 € verliert, wo die Summe gar nicht so das Wichtige ist, sondern wo viel Image mitschwingt,

Ich sage mal, das kann der Zahnarzt sein. Das kann aber genauso gut auch der Hidden Champions sein, der vielleicht mit seinen 100 Mitarbeitern auf der Schwäbischen Alb sitzt und da ein ganz besonderes Produkt herstellt, das er weltweit vermarktet.

,
Olaf Kaiser:

Welche Einwände oder typischen Rückfragen haben Kunden im Gespräch?

Markus Muth:
Natürlich gibt es Einwände. Natürlich gibt es Rückfragen, was auch in Ordnung ist. Sind denn meine Daten auch sicher? Wie ist es denn mit der DSGVO? Was passiert denn, wenn der Angreifer durchkommt? Legt ihr mir dann meine ganze Produktion lahm? Wie teuer ist denn das? Also ich, wie kann ich das Ganze denn jetzt meiner Geschäftsleitung gegenüber vermitteln, dass die mir auch vielleicht ein doppeltes Budget zustimmen von dem, was ich vorher bezahlt habe?

Also das sind so die Themen. Durch die Basisarbeit mit den offenen Fragen berichtet der Interessent schon ganz viel, was ihm gerade auf der Leber brennt, wo vielleicht seine Schmerzen sind, wo seine Wünsche sind. Und wenn man das mitnimmt, dann verkauft es einem eigentlich der Kunde, was er haben möchte.

Und wir haben unwahrscheinlich kurze Sales Cycles. Wir haben von einer Opportunity bis zum Abschluss in der Regel im Schnitt 45 Tage Zyklen. Und wir haben auch schon nach 24 Stunden entschlussfreudige Kunden gehabt, die sagen: Ja, ich habe das Budget bekommen, ich mache das jetzt auch. Und das hat nicht immer etwas damit zu tun, dass der Kunde gerade unter Angriff ist und uns dringend braucht, sondern dass die Kunden sehr schnell verstehen, ich begebe mich da in die Hände des Marktführers, in diese MDR und da falle ich in ein sicheres Netz und da möchte ich gerne mit dabei sein.

Steckbrief

Auf der Grundlage von Threat Intelligence, KI und maschinellem Lernen aus den SophosLabs und SophosAI bietet Sophos ein breites Portfolio an fortschrittlichen Produkten und Diensten zum Schutz von Anwendern, Netzwerken und Endpoints vor Ransomware, Malware, Exploits, Phishing und einer Vielzahl anderer Cyberattacken. Sophos bietet eine einzige integrierte Cloud-basierte Management-Konsole, Sophos Central - das Herzstück eines anpassungsfähigen Cybersecurity-Ökosystems, das über einen zentralen Datenspeicher verfügt, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Cybersecurity-Anbietern zur Verfügung stehen. Sophos vertreibt seine Produkte und Dienstleistungen über Reseller-Partner und Managed Service Provider (MSPs) weltweit.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden

Verwandte Artikel

Die Bedeutung des Gesprächsbeginns

In diesem Gespräch erörtert Mark Copeman, wie wichtig es in der MSP-Branche ist, Gespräche zu beginnen und Vertrauen aufzubauen. Er unterstreicht die Notwendigkeit der Personalisierung und des Geschichtenerzählens in Marketinginhalten. Mark unterstreicht auch die Bedeutung der Pflege von Gesprächen mit bestehenden Kunden und die Rolle von Webinaren in Marketingkampagnen. Er rät dazu, Marketing- und Vertriebsbemühungen aufeinander abzustimmen, und prognostiziert, dass der MSP-Markt in Zukunft wettbewerbsintensiver werden wird.