„Service Provider dürfen nicht das Einfallstor für Angriffe auf ihre Kunden sein“

Am 7. und 8. Mai findet der Service Provider Summit 2024 statt. Ein Gespräch mit Thomas Hemker, Senior Director Cyber Defense bei der DCSO (Deutsche Cyber-Sicherheitsorganisation) über die Zukunftsaussichten für Service Provider im Vorfeld des Gipfels.

Der Service Provider Summit 2024 steht unter dem Motto „Unlocking the digital future: Service providers drive innovations.“ In welche Technologiefelder sollten MSPs jetzt investieren, um ihr Geschäft weiterzuentwickeln?

Hemker: Die MSPs, die sich auf Cybersecurity spezialisiert haben, investieren derzeit vor allem in Automatisierung und Effizienz durch die aktive Verwendung von KI und maschinellem Lernen. Große Sprachmodelle werden trainiert, um bei Detektionsaufgaben und Analyseprozessen zu unterstützen. Darüber hinaus werden diese bei der Aufbereitung der Inhalte für und der Interaktion mit Kunden verwendet. Weitere Technologiebereiche sind die Analyse und Bearbeitung großer Datenmengen. Hier hat sich in den letzten Jahren einiges entwickelt. Stichworte sind Data-Pipelines, Federated oder Distributed SIEM. Das wären unserer Meinung nach die primären Bereiche, in die man derzeit investieren sollte.

Künstliche Intelligenz durchdringt sämtliche Bereiche der Digitalisierung. Welche Potenziale sehen Sie hier für Service Provider?

Hemker: Es gibt riesige Potenziale in der Detektion, der Bewertung, Kontextualisierung und Bearbeitung von Cyber-Sicherheitsvorfällen durch „KI“ die Effizienz zu steigern, Kosten zu sparen und gegebenenfalls besser und schneller zu werden. Allerdings steigt gleichzeitig die Menge an Bedrohungen durch die Verwendung dieser Methoden seitens der Angreifer. Bei nicht ausgereiften und schlecht trainierten Modellen und „Classifiern“ steigt leider auch die Menge der Fehlalarme, die Kosten, Arbeit und Aufwand verursachen.

Die rasante Zunahme von Cyberbedrohungen auf Unternehmen und Kunden stellt eine wachsende Herausforderung dar. Wie können Service Provider Gefahren frühzeitig erkennen und Gegenmaßnahmen ergreifen?

Hemker: Neben der Implementierung einer schnell und einfach skalierbaren Verarbeitungskette für die Detektion, der Anwendung von Bedrohungslageninformation (Operationalisierung von Threat Intelligence) und der Bearbeitung von Alarmen ist es wichtig, auf Seiten der Anbieter das notwendige Wissen zu haben. Dieses ist bei aller verfügbaren Unterstützung durch „KI“ immer noch das Wissen von Experten (SOC Analysten, Malware Researcher, Detection Engineers, Threat Hunter, Incident Response Consultants). Ein Service Provider sollte diese Experten beschäftigen, was bei der Marktsituation nicht einfach ist. Viele Dienstleistungen, die für Kunden einen echten Mehrwert liefern (beispielsweise das Aussortieren von Fehlalarmen und das Erkennen wichtiger Alarme) werden von Menschen erledigt, welche die notwendige Expertise haben. Darüber hinaus müssen Service Provider aber auch ihre eigene Sicherheit im Blick haben und dürfen nicht das Einfallstor für Angreifer auf ihre Kunden sein.

Nachhaltigkeit ist für Unternehmen von enormer Bedeutung. Damit einher geht aber auch ein umfangreiches Berichtswesen. Ob Energieeffizienzgesetz, CSRD oder Lieferkettensorgfaltspflichtengesetz: Wie können Service Provider diesem Aufwand im Berichtswesen Herr werden?

Hemker: Dieses Berichtswesen hat auch Vorteile, da auf diese Weise Transparenz und Vergleichbarkeit hergestellt werden. Das bedeutet zunächst Aufwand, aber die Regeln gelten für alle und sie können auch dazu verwendet werden, Kunden Unterscheidungsmerkmale und Mehrwerte zu liefern. Wir sehen eine wertebasierte Entscheidung, wenn es beispielsweise um Standort, Transparenz und ethische Grundsätze geht und unterstützen dies gerne durch Offenlegung und Zertifizierungen.

Ransomware stellt für Cyber-Kriminelle ein etabliertes Geschäftsmodell dar. Wie können MSPs Unternehmen helfen, solchen Angriffen vorzubeugen?

Hemker: Service Provider müssen in diesem Bereich vor allem die Dinge liefern, die ein Anwenderunternehmen nicht selbst machen kann. Hierzu zählt auch die allgemeine Vorbereitung, unter anderem durch ein Compromise Assessment oder durch Simulationsübungen. Service Provider betreiben auch Sicherheitstechnologien bei ihren Kunden und kümmern sich um die Sicherheit der IT-Systeme (beispielsweise durch Patch-Management). Da man sich aber nicht vor allem schützen kann, wird der Bereich der Detektion immer wichtiger. Angriffe rechtzeitig erkennen und die schlimmsten Folgen noch zu verhindern, kann über den Fortbestand einer Organisation entscheiden. Hierbei die passenden Experten zu finden, ist für viele Mittelständler fast unmöglich. Es können eigentlich nur MSPs helfen. Ähnliches gilt für die Vorfallsbehandlung, also Incident Response, die sowohl die forensische Analyse als auch das adäquate Krisenmanagement umfasst.

Von Alexander Siegert, Redakteur bei IT-BUSINESS