Gretchenfrage zur Cybersecurity: Inhouse abbilden oder auslagern?

Angesichts zunehmender Bedrohungen und hoher Kosten stellen sich viele Unternehmen die Frage, welcher Weg der richtige ist: Die eigenen Ressourcen für die IT-Sicherheit aufstocken oder auf externe Dienstleister zurückgreifen? In welchen Fällen ist Outsourcing sinnvoll oder sogar notwendig? Eine Orientierungshilfe mit Kosten- und virtueller ROI-Betrachtung.

Hochprofessionelle Cyberkriminelle, staatlich finanzierte Angriffe und die daraus resultierende Bedrohungslage treiben die Anforderungen an die IT-Sicherheit voran und verlangen zunehmend nach einer 24×7-Überwachung. Eine Möglichkeit, die Cyberresilienz auf diese Weise zu stärken, ist die Auslagerung bestimmter Aufgaben an einen Managed Security Service Provider (MSSP). Dafür sprechen das Know-how und die Skalierbarkeit. Das häufigste Gegenargument: die Kontrolle über Infrastruktur und Prozesse zumindest teilweise aus der Hand zu geben.

Was lässt sich gut auslagern?

Ohnehin eignen sich nicht alle Teilbereiche der Cybersicherheit für ein Outsourcing. Am beliebtesten sind Angriffserkennung und -reaktion im Rahmen eines MDR-Angebots (Managed Detection & Response). Weniger häufig ausgelagert werden Risiko- und Schwachstellenanalysen, die Reduzierung der Angriffsfläche sowie die Wiederherstellung des Betriebszustandes und der Umgebung nach einem Vorfall.

Hohe Personal- und Softwarekosten…

Der Grund für die bevorzugte Auslagerung der Angriffserkennung und -reaktion ist der hohe Zeitaufwand für die laufende Überprüfung auf Alarme und Fehlalarme. Insbesondere die Alarmvalidierung bindet viele Ressourcen. Zusätzliches Personal einzustellen ist jedoch angesichts der Expertenknappheit auf dem Markt nicht nur schwierig, sondern oft auch unwirtschaftlich. Denn gerade KMU können ihre teuer eingekauften Analysten, sofern sie überhaupt welche ergattern konnten, gar nicht auslasten, da das Alarmaufkommen für die vorgehaltene Personalkapazität zu gering ist. Ein Dienstleister hingegen kann seinen Expertenpool flexibel und effizient für mehrere Kunden einsetzen und selbst weitere Spezialisten ausbilden. Für nichtproduzierende Unternehmen lohnt sich der Aufbau interner Ressourcen mit exklusivem Fokus auf Cyber-Defense in der Regel erst ab einer Größe von 3.000 bis 5.000 Beschäftigten.

…sprechen für ein Outsourcing

Der zweite Kostenfaktor, der Unternehmen ein internes 24×7-Monitoring vergällt, sind die enormen Softwarekosten. Diese setzen sich aus den Aufwendungen für die komplexe Implementierung einer Netzwerküberwachungssoftware und den Lizenzkosten für die notwendigen Basistools zusammen. Dazu gehören ein EDR-System (Endpoint Detection & Response) zur verhaltens- und signaturbasierten Erkennung von bedrohlichem Verhalten, ein SIEM (Security Information and Event Management) zur Protokollverarbeitung und regelbasierten Angriffserkennung sowie ein NDR-System (Network Detection & Response) zur Analyse des Netzwerkverkehrs. Neben diesen drei Standardtools, der so genannten SOC-Visability-Triad, sind ergänzend ein SOAR-System (Security Orchestration, Automation and Response) sowie ein PAM-System (Privileged Access Management) anzuraten. Während das SOAR automatisiert auf Cyber-Angriffe reagiert, überwacht das PAM als Identitätssicherheitslösung kritische Ressourcen und erkennt die missbräuchliche oder fahrlässige Nutzung administrativer Rechte.

Komplexe Produktauswahl

Da die Lizenzmodelle der Anbieter typischerweise auf Großkunden ausgelegt sind, summieren sich die Lizenzkosten für EDR, NDR, SIEM, SOAR und PAM auf 380.000 bis 1,8 Mio. Euro. Bei 4.000 Mitarbeitern bedeutet dies Mehrkosten von 110 bis 460 Euro pro Nutzer. Bei 1.000 Beschäftigten ist dieser Wert viermal so hoch. Erschwerend kommt hinzu, dass die erfolgsentscheidende Produktauswahl keineswegs trivial ist. Für jeden Lösungsbereich gibt es zahlreiche Anbieter, wobei teurer nicht unbedingt besser bedeutet. Ohne Vorerfahrungen mit der Einführung entsprechender Tools wenden sich viele Unternehmen an Cybersecurity-Dienstleister wie SECUNIFRA und bitten um Unterstützung. Dies ist auch deswegen sinnvoll, da trotz der herstellerseitig behaupteten Universalität fast immer umfangreiche Anpassungen notwendig sind.

Kosten für Implementierung und Monitoring

Ist die Software lizenziert und implementiert, fallen noch projektbezogene Kosten für die prozessuale und technologische Einführung sowie für Mitarbeiterschulungen an. Der größte Posten entfällt jedoch auf die laufende Sicherheitsüberwachung. Hier sind zwei Modelle üblich: 8×5 (acht Stunden an fünf Tagen) und 24×7 (rund um die Uhr). Das erste Modell benötigt nur drei Mitarbeiter, die tagsüber, wenn die höchste Aktivität im Netzwerk stattfindet, gut ausgelastet sind. Problematisch ist jedoch, dass Cyberkriminelle ihre Angriffe immer häufiger gezielt außerhalb der üblichen Arbeitszeiten starten, zum Beispiel am Freitagnachmittag, nachts oder am Wochenende. Werden diese Zeiten nicht durch einen Dienstleister abgedeckt, behelfen sich die Unternehmen mit Bereitschaftsdiensten. Der Haken an dieser Praxis ist, dass die Verantwortlichen nur bei Alarmen mit hoher Priorität aus dem Bett oder dem Wochenende geholt werden, während die niedrig priorisierten bis zum nächsten Arbeitstag ignoriert werden. Doch genau jene können sich bei genauer Betrachtung als kritische Sicherheitsvorfälle entpuppen. Insofern ist eine Reaktionszeit von bis zu 16 Stunden kaum noch mit der steigenden Angriffsgeschwindigkeit vereinbar.

Wer hingegen eine 24×7 aus eigenen Mittlen abbilden möchte, muss viel Geld in die Hand nehmen. Denn dafür werden mindestens sieben Mitarbeiter benötigt, die aufgrund von Zuschlägen für Spät-, Nacht- und Wochenenddienste 30% höhere Personalkosten verursachen. Inklusive Recruiting, Zulagen und Schulungen werden so jährlich knapp 690.000 Euro fällig, was bei 4.000 Beschäftigten weitere 170 Euro pro User bedeutet. Ein sinnvoller Mittelweg kann deshalb darin bestehen, nur die teuren Nacht- und Wochenendschichten auszulagern.

Verschiedene Outsourcing-Lösungen

Demgegenüber können Dienstleister eine 24×7-Überwachung zu vergleichsweise geringen Kosten anbieten, da sie einerseits Zugang zu Volumenlizenzen haben und andererseits ihr Personal flexibel für mehrere Kunden einsetzen können. Um den jeweiligen Anforderungen an Prozess- und Datenhoheit gerecht zu werden, gibt es zudem verschiedene Modelle für den MDR-Service:

1. Cloud-basiert: Bei diesem Modell werden Angriffserkennung und Reaktion vollständig ausgelagert, am einfachsten in die Microsoft-Cloud. Dies ist relativ kurzfristig möglich, aber der Nutzer muss die Lösung in seine Umgebung integrieren.
2. On Premises mit eigener Datenhaltung und externem Monitoring: Bei diesem Modell baut der Dienstleister die Lösung binnen weniger Tage in der Kundenumgebung auf. Danach richtet der Dienstleister ein externes 24×7 Monitoring ein, das nach einer anfänglichen Lernphase mit relativ vielen Fehlalarmen sukzessive in den Regelbetrieb übergeht. Im Sicherheitsfall wird der Kunde informiert und die entsprechenden Maßnahmen eigenständig, auf Empfehlung oder nach Rücksprache eingeleitet.
3. Co-Managed SOC: Bei dieser Zwischenvariante gewährt der Kunde dem Dienstleister Zugriff auf seine eigenen Systeme. Der Hauptunterschied zur On-Premise-Lösung besteht in der Frage, wem das System gehört, wo die Daten liegen und welches Zugriffsmaß der Dienstleister hat.

ROI-Betrachtung

Die Frage, ab wann sich die Kosten für ein MDR-Outsourcing mit SOC amortisieren, lässt sich streng genommen nicht seriös beantworten, da die dadurch vermiedenen Angriffsschäden nicht bekannt sind. Als Annäherung kann jedoch eine grobe Abschätzung anhand eines realistischen Beispiels erfolgen, das auf der theoretischen Eintrittswahrscheinlichkeit eines umfänglichen Ransomware-Vorfalls und dessen durchschnittlichen Folgekosten basiert. Um den virtuellen ROI zu bestimmen, werden die durch ein SOC vermiedenen Kosten ins Verhältnis zu den Ausgaben für den MDR-Dienst gesetzt. Gemäß dem eBook Datto SMB Cybersecurity for MSPs Bericht wird die realistische Eintrittswahrscheinlichkeit für ein kleines bis mittleres Unternehmen in Deutschland auf 13 Prozent geschätzt.

Im Worstcase zahlt das Unternehmen eine durchschnittliche Erpressungssumme in Höhe von 1,34 % des Jahresumsatzes. Die Ausfallkosten liegen statistisch gesehen um ca. 25 % höher als die Lösegeldsumme. Insgesamt büßt das Unternehmen so etwa 2,5 Prozent seines Jahresumsatzes ein, was in etwa dem durchschnittlichen Jahresgewinn kleinerer Unternehmen entspricht.

Für ein Unternehmen mit 2.500 Mitarbeitern und einem Jahresumsatz von 800 Mio. Euro ergeben sich somit Schadenskosten von 2,68 Mio. Euro pro Jahr (13 % Wahrscheinlichkeit x 2,5 % Umsatzhöhe = 0,325 % des Jahresumsatzes). Dem stehen jährliche Kosten für eine externe MDR-Dienstleistung in Höhe von ca. 250.000 Euro gegenüber. Daraus lässt sich ableiten, dass sich die Kosten für den Dienst bereits amortisieren, wenn er alle 10,7 Jahre ein größeres Ransomware-Ereignis verhindert.

Praxisempfehlungen

Wer die Angriffserkennung und -Analyse rein intern abbildet, behält zwar die volle Kontrolle, muss aber viel Geld investieren und sich um alles selbst kümmern: vom Recruiting über die Fort- und Weiterbildung bis hin zur regelmäßigen Wartung und Nachbesserung der Detektionsmechanismen. Eine effektive 24×7-Überwachung ohne riskante Bereitschaftsdienste ist jedoch nur ab einer gewissen Größenordnung wirtschaftlich. Nicht wenige brechen während des langen Aufbaus frustriert ab. Ein interessanter Kompromiss kann daher sein, die initialen Phasen Planung, Konzeptionierung und Aufbau auszulagern und den späteren Betrieb mit entsprechender Erfahrung ins eigene Haus zu holen. Attraktive Optionen bieten auch MDR-Angebote mit modularer SoC-Gestaltung, durch die sich beispielsweise eine vorhandene Grundüberwachung bei Bedarf durch ergänzende Dienstleistungen bis hin zu Forensik erweitern lassen.

Von David Bischoff, Principal Cyber Defense Consultant, SECUINFRA GmbH

Lizenzkosten für essenzielle Cyber-Security-Tools: Beispiel für ein Unternehmen mit 4.000 Usern (Bildquelle: SECUINFRA).

 Hoher Personalbedarf: Ein 24×7 SOC erfordert mehr als doppelt so viel Personal als eine 8×5 Überwachung (Bildquelle: SECUINFRA).

Teure Angelegenheit: Aufgrund höherer Personalkosten ist ein internes 24×7-Monitoring dreimal so teuer wie eine 8×5-Überwachung. (Bildquelle: SECUINFRA)

Inhouse-Personalkosten für ein sieben-köpfiges SOC-Team. Bei 4.000 Mitarbeitern sind dies 171 Euro pro User. (Bildquelle: SECUINFRA)

Virtuelle ROI-Berechnung: externes MDR für ei Beispielunternehmen mit 2.500 Mitarbeitern und einem Jahresumsatz von 800 Mio. Euro. (Bildquelle: SECUINFRA).

Mit einem hybriden und modularen Co-Managed-SIEM-Ansatz können Kunden flexibel selbst entscheiden, welche Kompetenzen Sie im Hause aufbauen wollen und welche Dienstleistungen Sie dazu kaufen (Bildquelle: SECUINFRA).

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon