Interviews - News - Analysen: Für erfolgreiches Wachstum mit Managed Security Services

Wir nehmen den Kunden nicht aus der Verantwortung. Wir verschaffen ihm Ruhe.

Vielen Dank an Ralf Schwarzmaier, den Geschäftsführer der mars solutions GmbH, der mit uns über alle Themen rund um den Einsatz einer Hersteller MDR Lösung spricht und dabei aufzeigt, welche Kompetenz im eigenen Hause notwendig und wichtig ist.

MSP Journey · Managed Security Services · Sophos & Olaf Kaiser · Interview mit Ralf Schwarzmaier / mars solutions GmbH

Die Bedeutung von MDR und Vorbereitung

Managed Detection and Response (MDR) ist ein zentraler Bestandteil moderner MSS. MDR ermöglicht die proaktive Überwachung, Erkennung und Reaktion auf Sicherheitsbedrohungen. Wie Ralf Schwarzmaier in einem Interview betont, ist es wichtig, dass MDR-Dienstleistungen nicht einfach “eingeschaltet” werden, ohne vorherige umfassende Analyse und Vorbereitung. Ein strukturierter Ansatz ist notwendig, insbesondere in kritischen Bereichen wie Produktion und Logistik, wo Sicherheitsvorfälle zu erheblichen Schäden führen können.

Prävention und Notfallpläne

Eine gründliche Vorbereitung und präventive Maßnahmen sind essenziell, um im Ernstfall effektiv reagieren zu können. Dies beinhaltet die Identifikation geschäftskritischer Prozesse und die Entwicklung von Notfallplänen. Unternehmen müssen wissen, welche Bereiche im Falle eines Angriffs abgeschaltet oder isoliert werden können, um den Schaden zu minimieren. Wie Ralf hervorhebt, ist eine ganzheitliche Überwachung und die Kontrolle der Firewall von entscheidender Bedeutung, um die Netzwerkkommunikation zu segmentieren und Sicherheitslücken zu schließen.

Effizienz durch Datenaggregation

Ein weiterer Schlüssel zur Effektivität von MSS liegt in der Datenaggregation. Je mehr Daten zur Verfügung stehen, desto besser können Sicherheitsvorfälle analysiert und präventive Maßnahmen ergriffen werden. Durch eine einheitliche Datensammlung wird die Effizienz der Sicherheitslösungen erheblich gesteigert. Dies erlaubt es, schneller auf Bedrohungen zu reagieren und die Sicherheitslage kontinuierlich zu verbessern.

Herausforderungen und Kommunikation im Krisenfall

Eine der größten Herausforderungen bei der Bereitstellung von MSS ist die Kommunikation während eines Sicherheitsvorfalls. Transparente und beruhigende Kommunikation ist entscheidend, um Panik zu vermeiden und das Vertrauen der Kunden zu erhalten. Ralf betont, dass in solchen Situationen die Geschäftsleitung die Kommunikation übernimmt, um ein klares und ruhiges Vorgehen sicherzustellen.

Zero Trust und Zukunftsperspektiven

Ein weiterer wichtiger Trend in der IT-Sicherheit ist das Zero Trust Network Access (ZTNA). Diese Philosophie geht davon aus, dass keine Benutzer oder Systeme von vornherein vertrauenswürdig sind und daher alle Zugriffe strikt kontrolliert werden müssen. ZTNA ist keine einmalige Lösung, sondern ein fortlaufender Prozess, der Unternehmen hilft, ihre Sicherheitslage kontinuierlich zu verbessern.

“Die Kommunikation in Richtung des Kunden übernehmen wir als Geschäftsführer selbst, weil wir uns am besten in die Situation des Unternehmers hineinversetzen können.“ 

MSP Journey · Managed Security Services · Sophos & Olaf Kaiser · Portraitbild Ralf Schwarzmaier
Ralf Schwarzmaier
mars solutions GmbH
Olaf Kaiser:

MDR ist vermutlich kein einfaches Handelsprodukt, das man freischaltet. Wenn ihr mit einem Kontakt über das Thema Managed Security Services sprecht, auch in Richtung einer MDR Leistung, was seht ihr euch vorher beim Kunden an? Was prüft ihr oder was erarbeitet ihr vorher gemeinsam, bevor ein idealerweise normierter Betrieb für den Kunden startet?

Ralf Schwarzmaier:

Es gibt tatsächlich Szenarien, wo man MDR einfach in Betrieb nehmen kann, ohne großartig was vorzubereiten. Die Leistungsmomente sind in dem Moment natürlich an der ein oder anderen Ecke ein bisschen abenteuerlich, vor allem wenn dann was passiert, von daher ist es definitiv keine Empfehlung von uns.

Im größeren Rahmen, vor allem wenn wir von Produktion, Logistik usw. ausgehen, wo eben im Zweifel auch Maschinen irgendwo auf Kollisionen fahren und Ähnliches passieren könnte, sollte deutlich mehr davor besprochen werden. Und in dem Moment ist natürlich die Frage, was passiert in dem Moment, wo ein Ernstfall eintritt, sprich ein erfolgreicher Angriff stattfindet? Welche Bereiche können wir problemlos vom Netz nehmen, welche Bereiche können einfach runtergefahren werden, an welchen Stellen können wir die Netze trennen usw.. Das ist eine relativ lange Geschichte und die ist in der Regel fast nicht ohne Notfallplan sauber bestimmbar. Was sind Business kritische Prozesse, womit verdienen wir tatsächlich Geld? Welche Bereiche der Company müssen weiterlaufen und sollten nach Möglichkeit weiterlaufen, dass uns eben nicht aufgrund von Nichtverfügbarkeit eventuell eine Insolvenz droht usw.?

Wir haben in dem Moment Serviceleistungen, wo wir ganz klar sagen: Wenn ihr einen Angriff erkennt, wenn ihr Veränderungen erkennt, die irgendwie nach einem Angriff aussehen, dann kontaktiert bitte auf jeden Fall uns und macht nichts eigenmächtig, so dass wir eben in dem Moment entscheiden können, was jetzt die nächsten Schritte sind. Damit verlieren wir zwar ein bisschen Zeit, das ist ganz klar, aber am Ende machen die vermutlich ein bisschen weniger kaputt.

,
Olaf Kaiser:

Je mehr Daten man hat, desto besser kann man ja analysieren, was ist eigentlich wo passiert. Gibt es auch in den Security Tools eine Anhebung um den MDR Dienst herum, als Voraussetzung für dessen Einführung, damit tatsächlich Daten aus möglichst vielen Stellen aggregiert werden können?

Ralf Schwarzmaier:

Je mehr Daten zur Verfügung stehen und je einheitlicher wir Daten sammeln können, je effizienter ist die Lösung. Und aus dem Grund ist es aus unserer Sicht sehr wichtig, das Ganze ganzheitlich zu überwachen. Um deutlich früher reagieren zu können. Und das Thema Firewall ist dabei wichtig, so dass ich meine Firewall im Griff habe und steuere, welche Daten darüber gehen, was generell für Daten durch mein Netzwerk gehen, ich meine Netzwerkkommunikation maximal einschränke, sprich ordentlich segmentiere, nur Punkt zu Punkt Verbindungen zulasse, die eben nötig sind und nicht irgendwelche wilden neuen Regeln in meinem Netzwerk, die man leider immer wieder findet.

Dann habe ich das Thema Sicherheitslücken generell im Netzwerk, also Verwundbarkeit, Scans und Ähnliches sind Themen, die wir in dem Zug meist noch mit adressieren. Die Kunden, die bisher in dem Bereich nicht sehr gut beraten wurden oder aus unterschiedlichsten Gründen anders fokussiert waren, vielleicht das einfach nicht auf dem Schirm hatten, die Gefahr nicht gesehen haben oder tatsächlich sie dann hatten und dabei eben die Augen geöffnet bekommen haben, dass man da doch deutlich mehr tun kann oder sollte. In dem Moment schwindet mein Risiko natürlich noch mal deutlich und somit auch die Nacharbeiten.

,
Olaf Kaiser:

Viele Systemhäuser sind für KMU mit 10 bis 30 Mitarbeitern aktiv. Welche Erfahrungswerte hast Du hier in Bezug zu einer hochwertigen 24/7 MDR Lösung?

Ralf Schwarzmaier:

Zero Trust ist ein sehr spannendes Thema und ich glaube, dass das ein Thema ist, das uns die nächsten Jahre sehr stark begleiten wird. ZTNA ist ja kein Produkt, sondern eine Philosophie. Das ist ein Prozess, wie ich mit Zugängen, mit Genehmigungen etc. umgehe.

Und bei der Frage: Wer braucht ZTNA? Da muss man, wenn man das ehrlich beantworten will, sagen, dass das jeder braucht, der Zugriff zu Ressourcen haben möchte. Und dann ist es egal, ob das interne Ressourcen auf der einen Seite oder externe Ressourcen auf einer anderen Seite, in einem Rechenzentrum bei einem Hyperscaler oder bei einem Service Provider sind.

Und von daher muss sich jeder Kunde mit dem Thema beschäftigen. Die Frage ist, ob der Kunde stehen bleibt und nur sein klassisches VPN aktiviert hat. Oder ob er die ZTNA Reise mitgehen möchte. Und da glaube ich, dass das uns wahrscheinlich ähnlich bewegen wird, wie uns das Thema Cloud vor 15 Jahren auch in eine unsichere Zukunft gebracht hat. Und heute ist sie ja überhaupt nicht mehr wegzudenken.

,
Olaf Kaiser:

Was hast Du bei der Fragestellung festgestellt, wie die Security Themen in euer gesamtheitliches Managed Service Portfolio integrierbar sind?

Ralf Schwarzmaier:

Unser Kundenspektrum fängt bei zehn PC Arbeitsplätzen an und zieht sich relativ weit nach oben und die die kleineren Kunden sind inzwischen sehr affin zu MDR muss man sagen. Das hat einfach damit zu tun, dass der Kostenpunkt ein geringerer ist. Ich muss die Kosten auf jeden Mitarbeiter umlegen und wenn ich die am Ende gegen meine Gehaltskosten stelle, dann sind es minimalste Einheiten, die da übrig bleiben. Und das ist das, was wir überhaupt nicht mehr machen, dieses nach Preis verkaufen. Und es ist im kleinen Umfeld einfacher, weil es in der Regel dort genau einen IT Ansprechpartner gibt, also einen externen, intern ist in der Regel niemand vorhanden, und dem wird vertraut.

,
Olaf Kaiser:

Dann gehen wir bitte einmnal in den IT Betrieb. Was tut ihr jetzt nicht im Fall der Fälle, dazu kommen wir gleich einmal noch, sondern in dem Positivfall, dass nichts ganz Schlimmes passiert? Was ist euer Servicelevel nach dem Verkauf?

Ralf Schwarzmaier:

Generell sehen wir uns in der Verantwortung. Also es ist vielleicht ein wichtiger Punkt: Wir nehmen den Kunden nicht aus der Verantwortung. Wir wollen den Kunden aktiv mit dabeihaben. Er soll sich auf seine Arbeit konzentrieren können und im Zweifel kommen wir auf ihn zu. Prinzipiell gucken wir auch bei den Kunden, die voll ausgestattet sind, dass wir eben das gesamte Netzwerk managen in all den Bereichen, was die Prävention betrifft. Wir prüfen, dass die gesamten Sicherheitslücken, die uns irgendwo auffallen, die wir monitoren, dass sie gepatcht werden. Und wenn sie eventuell nicht gepatcht werden können aufgrund von irgendwelchen komischen Softwareständen und Abhängigkeiten, dass wir die Systeme dann so wegschließen, dass in dem Bereich nichts passieren kann. Das heißt, wir, wir schauen eigentlich, dass wir das Sicherheitslevel kontinuierlich möglichst hochhalten, ohne dass für den Kunden Aufwände entstehen. Zum einen und eben auch keine zusätzlichen Kosten entstehen, sondern das sehen wir in dem Moment als unsere Leistung.

,
Olaf Kaiser:

Du sagtest, wichtig ist dir, dass der Kunde nicht außen vor ist, dass Verantwortung auch beim Kunden verbleibt. Kommen wir bitte zu dem Fall, dass tatsächlich etwas passiert ist. Oder vielleicht ist noch nichts Schädliches passiert, aber ihr habt diese wunderbaren lateralen Bewegungen. Was unternehmt Ihr dann?

Ralf Schwarzmaier:

In dem Moment werden zwei Techniker aus dem Security Team geschnappt, die sich eben um genau das Thema kümmern und erst mal die Berichte analysieren, die dann da sind, die Situation in dem Moment analysieren, die beim Kunden besteht. Also gibt es da schon mehr und komische Verhaltensweisen? Wurde eventuell auch nur ein administrativer Benutzer angelegt? Auf der anderen Seite machen wir tatsächlich eine direkte Kommunikation in Richtung Kunde auf. In dem Moment aber noch überhaupt nicht im Panikmodus. Die Kommunikation in Richtung Kunde wird in den Fällen immer durch die Geschäftsleitung bei uns aufgemacht und auf Geschäftsleitungsebene tatsächlich auch schon von Anfang an mit involviert.

Plus die Bitte, wenn irgendwo im Netzwerk irgendwas interessantes auftritt, irgendwelche komischen Phänomene auftreten, die so nicht da sein sollten, die Kunden bitte sofort Kontakt zu uns aufnehmen und nicht versuchen, irgendwie davor selber was zu analysieren usw.

In dem Moment, wo wir tatsächlich unsicher sind, was dort momentan vorgeht, dass wir tatsächlich einen Incident haben, fahren wir bei den kleinen Kunden relativ stumpf runter oder trennen. Wenn ich zum Beispiel alle Daten außerhalb von der Infrastruktur habe und somit alle seine Informationen erstmal zur Verfügung habe, kann ich die Systeme problemlos runterfahren. Und damit verhindere ich einfach erst mal ganz, ganz kräftig Schaden.

Und das tun wir auch in dem Moment, wo wir uns nicht sicher sind, was wir tun sollen. Die Freigabe von Kunden aber nicht haben, dass wir es tun dürfen, den Kunden aber nicht erreichen. Wenn wir selber der Meinung sind, damit können wir aktuell erst mal viel Schaden abwenden, in dem Moment fahren wir auch stumpf runter.

Eine weitere Herausforderung neben dieser tiefen Technologiekompetenz ist die Kommunikation im Krisenfall. Diese Kommunikation zwischen einer Partei, die jetzt vielleicht Szenarien vor Augen hat, was passiert mit meinem Business oder meinem Lebenswerk. Das stelle ich mir sehr anspruchsvoll vor.

Die Kommunikation in Richtung des Kunden übernehmen wir als Geschäftsführer, weil wir uns zum einen eben am besten in die Situation selbst reinversetzen können. Es ist eben doch anders, ob ich in einem Unternehmen angestellt bin und somit einen vielleicht verringerten Einblick habe in dem, was dahinten so alles passiert. Viel Kommunikation davon passiert eigentlich schon vorab, weil der Kunde weiß, dass wir uns melden, auch wenn es noch nicht kritisch ist. Dass heißt, sie erschrecken in dem Moment nicht zwingend, sondern die Ansage ist in dem Moment ganz klar: Aktuell ist noch nichts passiert, aber wir müssen die Augen offenhalten, dass eben nichts passiert. Und in dem Fall in Panik zu verfallen, macht keinen Sinn.

Wichtig ist, dass man die Kommunikation aufrechterhält. Denn in dem Moment, wo sich der Kunde uninformiert fühlt oder eben nicht ernst genommen fühlt, in dem Moment hat man ein Problem, dann kippt es ganz, ganz schnell. In dem Moment, wo man die Kommunikation aber aufrecht hält, mit dem Kunden im Gespräch bleibt und dabei selber auch ruhig ist, überträgt sich das relativ gut. Also man darf sich da von Panik einfach nicht anstecken lassen. Das ist das Wichtigste und das ist auch das, was wir unseren Technikern usw. auch immer kommunizieren. Konzentriert euch auf das, was ihr tut.

MSP Journey · Managed Security Services · Sophos & Olaf Kaiser · Portraitbild Ralf Schwarzmaier

Steckbrief

Wir verstehen uns als Dienstleistungsunternehmen und bieten ein vielfältiges Portfolio, das folgende IT-Leistungen abdeckt: Beratung und Consulting, Patchmanagement, Pentests sowie Sicherheitslösungen, Hosting/Housing und Clouddienste aus eigenen Rechenzentren, Outsourcing, elektronische Signaturen sowie 24x7 Service für alle Kunden, Rollout und kalkulierbare IT.
Ralf Schwarzmaier
Geschäftsführer
mars solutions GmbH
Robert-Bosch-Straße 8
73037 Göppingen

Verwandte Artikel

Managed Firewall im Fokus – von der Leistungsdefinition bis zum Reporting

Welche Dienstleistungen – sowohl geplante als auch ungeplante – sind in Euren Managed Firewall Paketen enthalten? Wie kann der Kunde das ganze Bundle aus Hardware, Software und Dienstleistung beziehen? Alles als ein fester Monatspreis? Gibt es wirklich hilfreiche Reports für Kunden aus der Firewall? Welche Leistungen sind nicht enthalten und werden auf Abruf oder nach Anfrage an der Firewall erbracht? Wie gehst Du mit Kunden um, die bereits eine andere Firewall im Einsatz haben?

Die permanente Weiterentwicklung als Erfolgsmodell bei Managed Security Services

Alles rund um den Aufbau von Managed Security Services: Wie ist das Security-Modell aufgebaut? Wie entscheiden sich die Kunden zwischen den drei Modulen beim Endpoint Schutz und was gibt den Ausschlag für die höheren Varianten? Wie ist die Kundenresonanz auf Euren Managed-Ansatz? Spielt die monatliche Kündigungsfrist bei Euch eine wichtige Rolle? Welche Automatisierungen sind für Euch am wichtigsten?