Umfrage von N-able
MSPs zu nachlässig bei eigener IT-Security
14 Cyberangriffe pro Monat ist der Durchschnitt, nahezu alle MSPs stehen im Fadenkreuz von Hackern. Doch MSPs investieren in ihr Schutzniveau nicht mehr Geld als ihre Kunden. Und sie sind bei einer sinnvollen Security-Lösung besonders nachlässig.
In der Tagesschau heißt die Variante „Angriff auf Softwarelieferkette“, wenn die Plattform eines Softwareherstellers von Cyberkriminellen angegriffen wird, die von Tausenden MSPs für die Verwaltung von Kunden-ITs eingesetzt wird. Eine einzige Lücke im IT-Management-System kompromittiert dann womöglich alle angeschlossenen Netzwerke von Kunden eines MSPs, der Security-GAU nimmt dramatische Ausmaße an. Die Branche ist angesichts solcher Vorfälle längst gewarnt, die Pandemie hat die Zahl der Cyberangriffe auf MSPs nochmals deutlich erhöht, wie RMM-Anbieter N-able in einer großen international durchgeführten Umfrage unter IT-Dienstleistern an Zahlen festmacht. Vor Corona wurden MSPs im Schnitt acht Mal pro Monat angegriffen, nun sind es 14 Versuche von Cyberkriminellen.
Und es trifft jeden: In den letzten 18 Monaten sei jeder MSPs Cyberangriffen auf das eigene Unternehmen ausgesetzt gewesen. Die Folge: Ja, es wird mehr Geld in das Schutzniveau investiert: im Durchschnitt steigen die Security-Budgets der MSPs um sieben Prozent – genau so viel wie Kunden im Schnitt mehr in Sicherheitslösungen investieren. Ist das nun ausreichend? Man kann die Frage verneinen angesichts täglicher Meldungen über erfolgreiche Hackerangriffe, was die Security-Branche aus naheliegenden Gründen auch tut.
Andererseits dürfte der mediale Wettbewerb um das Hochhalten der Cyberbedrohungslage bei so manchem Geschäftsführer eines Unternehmens ein Gefühl der Abstumpfung erzeugen, will der Entscheider nicht in eine dauerhafte IT-Angstneurose fallen. Die Auswahl an Sicherheitslösungen auf dem Markt ist nahezu endlos. Wöchentlich bereichern IT-Security-Innovationen das Arsenal gegen Hacker, ohne dass es endlich einmal eine Studien gäbe, die von Erfolgen und einem Rückgang der Cyberbedrohungslage berichtet.
Nachholbedarf und Glaubwürdigkeit: 2FA
Abstumpfung wäre angesichts der Alternativlosigkeit zur allgemeinen Digitalisierung fatal. Andererseits sind Security-Anbieter nicht gerade glaubwürdig, ihren Kunden Lösungen zu verkaufen, die sie selbst viel zu wenig einsetzen. Zwei- oder Multifaktor-Authentifizierung offenbart einen solchen Widerspruch. Laut N-able will lediglich ein Drittel der deutschen MSPs 2FA-Lösungen künftig einsetzen, aber 98 Prozent ihrer Kunden wollen sie implementieren.
„Obwohl Identity Management ein zentraler Sicherheitsbaustein ist, hat es weder bei MSPs noch bei ihren Kunden einen hohen Stellenwert. Bei aller Kundenorientiertheit sollten MSPs die mühsame, aber notwendige Aufklärungsarbeit dazu nicht scheuen“, rät N-able. Und MSPs sollten hier mit gutem Beispiel vorangehen, sollte man ergänzen.
Hier zeige sich immer wieder, dass ausreichendes Know-how oft nicht die Grundlage für ein adäquates IT-Security-Bewusstsein sei, beobachtet Franz Obermayer. IT-Dienstleister hätten auch oft nicht das Standing beim Kunden „unangenehme und vielleicht auch unbequeme, aber sicherere Wege zu empfehlen. Meist kann man hier davon ausgehen, dass erst was passieren muss, bevor hier das Bewusstsein wächst“, sagt der Geschäftsführer der Foxit-Gruppe und Experte für Informationssicherheit. Die Folgen: „Viele Kunden gehen dazu über und berücksichtigen sowohl in Ausschreibungen als auch in Beauftragungen verstärkt zertifizierte IT-Dienstleister mit einem hohen Bekenntnis zur Informationssicherheit.“
Backup: die Taktung entscheidet
Wie gut, beziehungsweise mangelhaft MSPs ihren Kunden Security-Strategien empfehlen und dieses auch umsetzen können, zeigt sich auch beim Backup, der „letzten Verteidigungslinie bei einem Angriff“, so N-able. MSPs müssen im Ernstfall Kundendaten und -systeme jederzeit wiederherstellen können. Die meisten Kunden erhalten laut Studie Backup-Dienste durch ihre MSPs. Doch nur 40 Prozent der MSPs führen Backups von Workstations alle 48 Stunden oder häufiger durch.
Bei Servern sehe es insgesamt besser aus: 74 Prozent der MSPs würden hier alle 48 Stunden Backups durchführen. Und ein Backup von Microsoft-365-Daten würden inzwischen die meisten MSPs anbieten.
Lesen Sie mehr zum Thema
