Die Mehrheit der kürzlich von der ENISA im Jahr 2024 dokumentierten Kompromittierungen zielt nicht mehr direkt auf das Zielunternehmen ab, sondern auf dessen IT-Dienstleister: Managed Service Provider, Integratoren, Anbieter von Managed Services. Dieser Angriffsvektor über die Subunternehmerkette redefiniert die Auswahlkriterien für einen Partner im Bereich der IT-Sicherheit. Hier behandeln wir die technischen Punkte, die eine wirklich strukturierende Unterstützung von einer einfachen operativen Delegation unterscheiden.
IT-Supply-Chain-Sicherheit: das Risiko, das Ihr Dienstleister für Sie darstellt
Ein schlecht auditiertes Cybersicherheits-Partnerunternehmen wird selbst zu einer Angriffsfläche. Der Bericht ENISA Threat Landscape 2024 verzeichnet einen deutlichen Anstieg der Kompromittierungen über IT-Dienstleister anstelle des Kundenunternehmens. Das NIST formalisiert in seiner Überarbeitung SP 800-161 Rev.1 vom Mai 2024 diesen Ansatz, indem es eine systematische Bewertung des Lieferantenrisikos als zentrales Element jeder Schutzstrategie vorschreibt.
Ebenfalls empfehlenswert : Wie Sie Ihre E-Mail-Adresse nach der Kündigung Ihres Anbieters behalten können?
Konkret empfehlen wir, von jedem potenziellen Partner ein Konformitätsdossier zu verlangen, das seine eigenen Praktiken dokumentiert: Verwaltung des privilegierten Zugriffs auf Ihre Systeme, Netzwerksegmentierung zwischen seinen verschiedenen Kunden, Geheimniskontrollpolitik. Ein Dienstleister, der diese Elemente nicht bereitstellen kann, stellt ein strukturelles Risiko dar, kein Sicherheitsgewinn.
Die ANSSI hat diesen Rahmen seit 2024 verstärkt, indem sie Anforderungen an die vertragliche Cyber-Resilienz für Anbieter kritischer digitaler Dienstleistungen integriert hat: Notfallpläne, DRP, regelmäßige Tests. Cloud-Hosting-Anbieter und Managed Service Provider, die diese Anforderungen nicht erfüllen, riskieren den Verlust von Qualifikationen wie SecNumCloud. Wenn Ihr aktueller Partner diese Verpflichtungen nicht in seinen vertraglichen Vereinbarungen erwähnt, ist das ein Warnsignal.
Ergänzende Lektüre : Die Vorteile eines Hauses mit einem Solarsystem
Unternehmen, die ihren Ansatz mit einem qualifizierten Dienstleister strukturieren möchten, können mehr über Cydlab erfahren, dessen Unterstützung gezielt die Bewertung und Sicherung dieser Vertrauensbasis anspricht.
Technische Kriterien zur Auswahl eines geeigneten MSSP für Ihr Unternehmen
Nicht alle Managed Security Service Provider sind gleich. Die Auswahl basiert auf überprüfbaren Kriterien, nicht auf kommerziellen Versprechungen. Wir identifizieren drei konkrete Differenzierungsachsen.
Erkennungsfähigkeit und Reaktionszeit
Der Microsoft Digital Defense Report 2025 dokumentiert, dass KMUs, die sich auf einen zertifizierten Partner zur Steuerung ihrer Cloud-Sicherheitswerkzeuge stützen, die Dauer der unentdeckten Kompromittierung erheblich reduzieren. Diese Reduktion resultiert aus einer 24/7-Überwachung, die ein internes Team von drei oder vier Personen einfach nicht gewährleisten kann. Überprüfen Sie, ob Ihr Dienstleister ein operatives SOC mit dedizierten Analysten anbietet oder ob er sich damit begnügt, automatisierte Warnungen ohne menschliche Sichtung weiterzuleiten.
Integration in Ihre bestehende Umgebung
Ein guter MSSP legt seine technische Infrastruktur nicht über Ihre bestehende Infrastruktur. Er passt sich Ihren vorhandenen Systemen an: bestehendes SIEM, bereits implementiertes EDR, Identitätsmanagement. Stellen Sie die Frage nach der Interoperabilität vor der nach dem Preis. Ein Partner, der den vollständigen Austausch Ihrer Lösungen verlangt, um zu funktionieren, erhöht die Komplexität und damit das Risiko.
Messbare vertragliche Verpflichtungen
Die Indikatoren, die im Vertrag verhandelt werden sollten, sind keine generischen SLA zur Verfügbarkeit. Was zählt:
- Die durchschnittliche Qualifizierungszeit eines Vorfalls (MTTQ), die sich von der einfachen Erkennungszeit unterscheidet, da sie die tatsächliche Analysefähigkeit misst
- Die Häufigkeit und der Umfang der im Vertrag enthaltenen Penetrationstests, mit einem technischen Bericht, der von Ihrem Team genutzt werden kann
- Die Rückführungsbedingungen: Bedingungen für die Wiederherstellung Ihrer Daten, Ereignisprotokolle und Konfigurationen im Falle einer Vertragsbeendigung
SOAR-Orchestrierung und Automatisierung von Bedrohungsreaktionen
Die Automatisierung der Reaktion auf Vorfälle durch SOAR-Plattformen (Security Orchestration, Automation and Response) stellt einen technischen Hebel dar, den die allgemeinen Artikel oft unterschätzen. Ein Partner, der SOAR implementiert, beschränkt sich nicht auf die Erkennung: Er korreliert Warnungen aus mehreren Quellen (Firewall, EDR, Proxy, Messaging) und löst innerhalb von Sekunden automatisierte Remediations-Playbooks aus.
Swimlane dokumentiert beispielsweise Anwendungsfälle, in denen die Orchestrierung das Volumen der manuell von Analysten bearbeiteten Warnungen reduziert, sodass sie sich auf kritische Vorfälle konzentrieren können. Für ein KMU bedeutet dies, dass ein Partner mit SOAR ein Reaktionsniveau bietet, das mit dem eines internen SOC eines großen Unternehmens vergleichbar ist, ohne die Gehaltskosten zu tragen.
Wir beobachten, dass der Wert eines MSSP an seiner Fähigkeit gemessen wird, Erkennung, kontextuelle Anreicherung und automatisierte Reaktion zu kombinieren. Ein Dienstleister, der nur passive Überwachung ohne Orchestrierungsfähigkeit anbietet, lässt eine Reaktionszeit zu, die mit den aktuellen Bedrohungen (schnell verbreitende Ransomware, Datenexfiltration innerhalb von Stunden) nicht kompatibel ist.
Cloud-Governance und SecNumCloud-Qualifizierung: was Ihr Vertrag vorsehen sollte
Der Übergang zur Cloud vervielfacht die Kontaktpunkte zwischen Ihrer Organisation und Ihrem Dienstleister. Die Qualifizierung SecNumCloud v3.2, die von der ANSSI vergeben wird, verpflichtet Hosting-Anbieter zu einem Fundament überprüfbarer technischer Anforderungen: Verschlüsselung von Daten im Ruhezustand und während der Übertragung, Datenlokalisierung im Hoheitsgebiet, umfassende Protokollierung von Administratorzugriffen.
Für ein Unternehmen, das seine Sicherheit auslagert, lautet die zu stellende Frage nicht “Sind Sie zertifiziert?”, sondern “Welche Anforderungen von SecNumCloud wenden Sie auch ohne formelle Zertifizierung an?”. Viele Zwischenanbieter stützen sich auf qualifizierte Hosting-Anbieter, ohne diese Anforderungen in ihr eigenes Datenmanagement für Kunden zu integrieren.
Die Punkte, die Sie in Ihrem Cloud-Vertrag überprüfen sollten:
- Ist der endgültige Hosting-Anbieter benannt und qualifiziert, oder behält sich der Dienstleister das Recht vor, Ihre Daten ohne Benachrichtigung zu migrieren?
- Werden die Protokolle des Administratorzugriffs in Echtzeit zur Verfügung gestellt oder nur auf Anfrage nach einem Vorfall?
- Wurde der Notfallplan (DRP) in den letzten zwölf Monaten getestet, und wurde ein Ergebnisbericht geteilt?
Ein Partner, der seinen DRP testet und die Ergebnisse teilt, schützt besser als ein Partner, der sich damit begnügt, ihn zu dokumentieren. Der Unterschied zwischen einem nützlichen Cybersicherheitsvertrag und einem dekorativen Vertrag liegt in diesen operativen Details, die selten im Voraus verhandelt und immer nach einem Vorfall bedauert werden.