"Swiss IT Reseller": Herr Michel, wie ist Ihre Erfahrung bei Boll Engineering mit Blick auf die aktuelle Situation im IT-Markt: Sieht man mehr gezielte Cyberangriffe auf IT-Dienstleister, im Speziellen Managed Service Provider und Managed Security Service Provider?Patrick Michel: Nein, das würde ich so nicht sagen. Zumindest haben wir keine entsprechenden Hinweise. Dies bedeutet jedoch nicht, dass es gegebenenfalls nicht doch so ist. Aber generell gesehen nehmen Angriffe ohne Frage stetig zu. Und sie werden immer professioneller. Namentlich bei Managed Security Service Providern würde es mich erstaunen, wenn sie vermehrt angegriffen würden. Das aus einem einfachen Grund: Das sind Cybersecurity-Spezialisten. Und tendenziell greift man nicht dort an, wo es am gefährlichsten ist. Aber es gibt andere Problematiken, die man in den Griff bekommen muss. Damit meine ich die sogenannte Baseline.
Was heisst das?Dabei geht es weniger um ganz gezielte Angriffe mit viel Geld, Aufwand und Zeit. Die Firmen müssen sich heute vielmehr vor einfachen, breiten Angriffen schützen. Das beschäftigt uns heute wesentlich mehr als beispielsweise Angriffe auf Schwachstellen, die noch unbekannt sind. Natürlich, auch Managed Service Provider werden tagtäglich angegriffen. Aber schlussendlich ist es besser, man geht als Kunde zu einem spezialisierten Anbieter. Das ist sicherer als die Alternative, es selbst zu probieren, ohne die entsprechenden Ressourcen und Know-how im Haus verfügbar zu haben.
Wie steht es aber um IT-Dienstleister, die nicht auf IT-Security spezialisiert sind? Sehen Sie hier Nachholbedarf?Ja, definitiv.
Was sind Ihre Empfehlungen?Alles dreht sich um Ressourcen und um Know-how. Um Assets also, die angesichts des ausgeprägten Fachkräftemangels schwer zu finden sind.
Sehen Sie eine zunehmende Zusammenarbeit im Channel beispielsweise von Integratoren und IT-Security-Spezialisten, um diesem Mangel zu begegnen?Ja, das ist der Fall. Und wir helfen auch dabei. Wenn beispielsweise ein Partner Hilfe benötigt, stehen wir ihm mit Rat und Tat zur Seite. Oder wenn ein Partner lieber integriert, ein anderer jedoch lieber betreibt, dann bringen wir die beiden Firmen zusammen. Von Bedeutung ist dabei jedoch die Frage, ob die Unternehmen tatsächlich offen genug sind, um mit einer anderen Firma derart eng zusammenzuarbeiten – ohne Ängste zu haben, dass Kunden abgeworben werden.
Um nochmal auf das Sicherheitsniveau zu sprechen zu kommen: Wenn man auf kleine und mittelständische IT-Dienstleister ohne Security-Fokus schaut – wie hoch ist das Sicherheitsniveau bei diesen im Detail? Nicht sehr ausgeprägt. Je kleiner der Dienstleister, umso kritischer ist die Situation. Und das aus einem einfachen Grund: Das sind in der Regel One-stop-Shops, die für ihre KMU-Kunden die gesamte IT machen. Sie bieten alles an – von PCs über Server und Cloud bis hin zu Security – und das bei bescheidenen Ressourcen. Dementsprechend ist auch die Security-Kompetenz nicht sehr ausgeprägt. Was natürlich nicht heisst, dass es nicht auch kleine Firmen gibt, die ihren Job seriös und gut machen.
Stellen sie damit ein Risiko für ihre Kunden dar? Ja, das kann gefährlich sein. Aber auch hier stellt sich wieder die Frage für die KMU-Kunden ob die Situation eine bessere wäre, wenn sie sich selbst um den Betrieb ihrer IT und IT-Security kümmern würden. Ich wage das zu bezweifeln. Ein weiteres Problem ist auch der Fakt, dass KMU in der Regel nicht über die Gelder verfügen, um die Security-Themen an Spezialisten auszulagern. Die Alternative ist dann, dass sie eher zu einem Partner gehen, der sehr viel gleichzeitig anbietet.
Kommen diese IT-Dienstleister auf Boll zu mit der Frage, wie sie sich besser schützen können?Punktuell kommen sie auf uns zu. Doch die Mehrheit der Kunden redet nicht gerne über die eigene Sicherheit und vorhandene Schwächen. Eine offene und transparente Kommunikation ist in diesem Themenumfeld eher selten anzutreffen.
Warum ist das der Fall?Weil sonst offenkundig wird, dass nicht alles so professionell läuft, wie es vordergründig den Anschein macht. Doch anhand von Fragen, die beispielsweise bei Proof of Concepts oder bei Produktdemos gestellt werden – oder wenn die Channel-Partner bei uns Ratschläge einholen – dann merkt man schon, dass es nicht gerade ideal läuft.
Sollte die IT-Branche also offener mit dem Thema umgehen?Ja, das wäre eine sehr positive Entwicklung. Faktoren wie Transparenz und Partnerschaft sind meiner Meinung nach sehr wichtig. Eine offene Diskussion kann die Branche weiterbringen und dazu beitragen, dass ein Mehr an Miteinander anstatt Gegeneinander zum Erfolg führt. Zu beachten ist dabei auch die Tatsache, dass die Security-Branche selbst immer wieder komplexe Themen aufgreift und neue Fachwörter kreiert, um neue Hypes zu generieren, die viele überfordern. Selbst wir, die wir uns alltäglich mit den Cybersecurity-Themen auseinandersetzen, müssen uns oft fragen, wovon genau die Rede ist, was das für eine Technologie ist und wie sie sich differenziert. Diese Situation erachte ich als wenig konstruktiv für die allgemeine Security.
Das heisst, Zero Trust und andere Konzepte sind noch überhaupt nicht im KMU-Umfeld angekommen?Ja, dem ist so. Was heisst denn genau Zero Trust? Jeder redet davon, so wie auch jeder von AI redet. Aber kaum jemand weiss, was die Begriffe wirklich bedeuten. Sie machen sich zwar gut in Powerpoint-Präsentationen und auf Webseiten. Doch wenn man konkret nachfragt, wird es auf einmal sehr ruhig. Das ist schwierig für Endkunden, aber auch für kleinere IT-Anbieter, die sich nicht tagtäglich mit dieser Thematik auseinandersetzen. Denn es gilt zu erkennen, was wirklich wichtig und was nur ein Hype-Thema ist, das sich noch gar nicht durchgesetzt hat.
Geht die Schere also immer weiter auseinander zwischen den Security-Spezialisten und jenen kleinen IT-Dienstleistern, die gegebenenfalls nicht mehr folgen können?Absolut ja. Da ist ein grosser Unterschied feststellbar.
Was hilft hier?Es würde helfen, wenn Hersteller Produkte und Dienstleistungen lancierten, die einfacher sind und nicht noch mehr Komplexität mit sich bringen.
Sehen Sie einen Weg, wie man der grundsätzlichen Herausforderung begegnen kann? Einerseits dem fehlenden Know-how, fehlenden Ressourcen, um diese Komplexität zu stemmen. Und andererseits der Herausforderung, vor allem im KMU-Bereich die eigene Sicherheit und somit auch die der Kunden zu gewährleisten. Die vermehrte Ausbildung von IT-Spezialisten an Universitäten und im Rahmen der Informatiklehre sowie die Forcierung von Security-Themen in der Aus- und Weiterbildung können einen relevanten Beitrag leisten, um die benötigten Ressourcen mittelfristig zu erhalten. Auf der technologischen Seite ist ganz klar, dass die Security-Hersteller Lösungen bringen, die einfacher und automatisiert sind und weniger Ressourcen benötigen.
Dieses Interview ist Teil des Themenfokus "Risiko Supply Chain" der "Swiss IT Reseller"-Ausgabe April 2024. Zum Haupttext gelangen Sie hier.
(sta)