Vom Unternehmensberater zum Managed Security Service Provider (MSSP)

Inhalt

Als Unternehmensberater wachsen, ohne im Wesentlichen an den Faktoren Mitarbeiter und Tagessätze zu schrauben? ACM Consultants möchte genau das: als Managed Security Service Provider, kurz MSSP. Patrick Andreas hat uns erklärt, welche Fehler ACM dabei nicht machen möchte, zu welcher Gefahr nervige Software werden kann und wie Enginsight zum Kundenbindungsinstrument wird. Außerdem: Was er fühlt, wenn er die Pentest-Komponente Hacktor anschmeißt.

Die Ausgangslage

Wo hat ACM Consultants seinen Ursprung?
Beratung zu integrierten Management-Systemen

Welche Erfahrungen prägt ihr tägliches Arbeiten?
„Ach gut, dass Sie gerade da sind…“

Die Herausforderung

Welche strategische Entwicklung strebt ACM an?
Wachstum ohne „Bauchladen an IT-Produkten“

Welche Software braucht ACM?
So wird Software MSSP-ready

Die Lösung

Mit Enginsight zum MSSP
Neukundengewinnung und effektive Gap-Analysen
„Enginsight ist ein Kundenbindungsinstrument“

Zusammenfassung

Als IT-Berater ist ACM Consultants auf die mangelnde Qualität klassischer, kontingentbasierter Verträge mit IT-Dienstleistern gestoßen. Mit Managed Security Services will ACM hier Abhilfe schaffen. Das ermöglicht ihnen darüber hinaus, die gesetzten Wachstumsziele zu erreichen, die im klassischen Unternehmensberatungsgeschäft nur schwer zu erzielen sind. Bei der Suche nach geeigneter MSSP-Software ist ACM auf Enginsight gestoßen. Das All-in-one Security-Tool unterstützt ACM bei der Erstellung von Gap-Analysen und wird dank seiner geringen Einstiegshürde danach zum Kundenbindungsinstrument.

Beratung zu integrierten Management-Systemen

Seinen Ursprung hat ACM Consultants in der klassischen Unternehmensberatung. Die Muttergesellschaft msa-b fing vor etwa 40 Jahren an, kleine bis große Unternehmen zu dem Thema Qualitätsmanagement zu beraten. Wenig später kam Umwelt- und Energiemanagement hinzu, mit ACM deckt die Gruppe seit 2019 auch Informationssicherheitsmanagement ab. „Wir sind der Full-Service-Anbieter für integrierte Management-Systeme, das heißt, zum Beispiel alles, wo ISO davorsteht. Der Konsens unseres Angebots ist Unternehmensberatung.“, fasst Patrick Andreas, Managing Consultant bei ACM, zusammen.

„Ach gut, dass Sie gerade da sind…“

Patrick Andreas berät Unternehmen insbesondere bei der Einführung der internationalen IT-Sicherheitsnorm ISO 27001 und dem dafür nötigen Information Security Management System (ISMS). Bei der Bestandsaufnahme bisheriger Maßnahmen zur Sicherung der IT-Infrastrukturen kommt Herr Andreas regelmäßig mit den Wartungsverträgen in Kontakt, welche die Unternehmen mit IT-Dienstleistern abgeschlossen haben.

Portrait Patrick Andreas
Patrick Andreas, Managing Consultant

„Die Verträge sind meist kontingentbasiert. Da steht dann drin: Lieber Kunde, du bekommst von mir soundso viel Stunden Wartung im Monat und dafür zahlst du mir Summe Y. In den seltensten Fällen, bisher eigentlich gar nicht, habe ich in den Verträgen eine genaue Leistungsbeschreibung gefunden.“, schildert der IT-Berater seine Erfahrungen. „Da steht teilweise wortwörtlich drin, wir kümmern uns um die Datensicherheit. Ja, was heißt denn jetzt genau ‚kümmern‘? Wo ist die Abgrenzung, die Schnittstelle, die Verantwortung des Kunden und die Verantwortung des Dienstleiters?“

Ohne genaue Absprachen bleibe vollkommen unklar, was der Dienstleister in der in den vereinbarten Stunden mache. Vielleicht gucke er sich das Monitoring an oder aber er bekomme spezifische Aufträge vermittelt. „Das führt zu Situationen, dass der Kunde sagt: ‚Ach gut, dass Sie gerade da sind, ich habe hier Softwareupdate XY bekommen, das müsste mal eingespielt werden.‘ Aber eigentlich hatte der Techniker einen ganz anderen Auftrag für den Tag.“

Den Unterschied eines Managed Services zur klassischen Dienstleistung sieht Herr Andreas daher in erster Linie in der genaueren Spezifikation, was der Kunde für seine monatliche Pauschale erwarten kann. Das löse die Probleme der klassischen Wartungsverträge und schaffe Klarheit für beide Seiten.

Wachstum ohne „Bauchladen an IT-Produkten“

Um die Kunden aus der weitverbreiteten misslichen Lage herauszuhelfen, möchte ACM sich neben der Beratungstätigkeit als zweites Standbein selbst zum Managed Security Service Provider (MSSP) entwickeln. Das eröffnet ACM Wachstumspotentiale, die in der Unternehmensberatung unmöglich sind.

Beratungstätigkeiten skalieren nur in einem sehr begrenzten Maße. Die limitierenden Faktoren Auslastung der Mitarbeiter und Tagessätze lassen sich nicht überwinden. Ein einzelner Mitarbeiter kann nicht mehr als etwa 180 Tage im Jahr wertschöpfend für das Unternehmen tätig sein und höhere Tagessätze lassen sich im Wettbewerb nur schwer durchsetzen. „Übersteigen die Tagessätze einen Wert, sagt der Kunde: Schönen guten Tag, danke schön, das wars.“, bringt es Patrick Andreas auf den Punkt.

„Nichtsdestotrotz haben wir natürlich in der Geschäftsführung eine klare Wachstumsstrategie.“

Patrick Andreas, ACM Consultants

„Nichtsdestotrotz haben wir natürlich in der Geschäftsführung eine klare Wachstumsstrategie. Und deswegen sind wir hergegangen und haben uns Alternativen überlegt: Wie kann ich im Unternehmen wachsen, ohne dabei den limitierenden Faktor Mitarbeiter und Tagessätze zu justieren?“, berichtet Herr Andreas und gibt gleich die Antwort mit: „Das ist ausschließlich über Zusatzservices möglich, die wir aus dem Fach Managed Services nennen.“

Als Berater für die Einführung von Informationsmanagementsystemen ist der Fokus für ACM selbstverständlich: Managed Services, die dabei helfen, ein ISMS aufzubauen und zu pflegen. „Wir wollen keine klassischen Dienstleistungen erbringen oder Handelsware verkaufen. Die Marge ist hier viel zu gering, daher lohnt es sich für den Aufwand nicht und macht keinen Spaß, wenn man das nicht fokussiert betreibt.“, stellt Herr Andreas klar. Niemals dürfe zudem die Neutralität der Beratungstätigkeit dadurch beeinflusst werden. Eine Beratung, die darauf abziele, Produkte zu verkaufen, die der Berater in einem „Bauchladen“ vor sich hertrage, werde unseriös. „Das darf uns nicht passieren. Deshalb sind wir sehr vorsichtig mit den Services, die wir den Kunden mit an die Hand geben wollen.“

Wie wird Software MSSP-ready?

Für eine gezielte Auswahl an Software für Managed Services muss ACM daher einerseits die Bedürfnisse des Kunden beim Aufbau und der Pflege des ISMS in das Zentrum stellen. Andererseits muss die Software MSSP-fähig sein, sodass ACM effektiv mit ihr arbeiten und die gesetzten Wachstumsziele erreichen kann.

Anforderungen an MSP-Software

Neben der klaren Mandantentrennung achtet Patrick Andreas bei der Auswahl der Software insbesondere auf ein leicht umzusetzendes und verstehbares Abrechnungsmodell. Hier hat er in seiner bisherigen Berufstätigkeit schon haarsträubende Erfahrungen machen müssen, die er nicht nochmal erleben möchte. „Bei meinem vorigen Arbeitgeber haben wir Managed Services im Bereich Endpoint Security erbracht. Der Antivirus-Service war im Prinzip gut. Die Qualität und Verfügbarkeit, das hat alles wunderbar funktioniert. Das Abrechnungsmodell, welches allerdings dahinterstand, war, wenn ich es nach Schulnoten bewerten müsste, mangelhaft. Das war für uns als Managed Service Provider ein riesiger Mehraufwand, das ganze auseinanderzudröseln, welche Berechnung wir an welchen Kunden zu tätigen haben. In der Endphase hat dafür ein Mitarbeiter im Backoffice einen ganzen Tag gebraucht. Und das sind natürlich interne Kosten, die ich irgendwo auf mein Service-Modell mitaufschlagen muss.“ Daher sei das Abrechnungsmodell, dass der Softwarehersteller zu Verfügung stellt, die wichtigste Grundlage für ein ausgeklügeltes Managed Service Programm.

Auch wenn das noch immer schwierig umzusetzen ist, setzt Patrick Andreas bei IT-Security-Software außerdem bevorzugt auf deutsche oder zumindest europäische Software. Mindestvoraussetzung sei jedoch, dass die Cloud-Plattform im deutschen oder europäischen Rechtsraum betrieben werde. Erst recht, wenn es um sensible Daten wie Sicherheitslücken geht, die für die betreuten Kunden letztlich Betriebsgeheimnisse darstellen.

„Mit Enginsight konnten wir bei der Einführung von Information Security Management Systemen die Aufwände unserer Gap-Analysen herunterschrauben. So haben wir eine deutlich bessere Erfolgsquote in der Beauftragung erreicht. Im Nachgang wird dank der viel niedrigeren Einstiegshürde als bei Konkurrenzprodukten Enginsight zum Kundenbindungsinstrument. Deshalb ist Enginsight für uns ein wichtiger Baustein in der Entwicklung vom Unternehmensberater zum Managed Security Service Provider.“

Mit Enginsight zum Managed Security Service Provider

Fündig geworden ist ACM Consultants bei dem Jenaer Startup Enginsight. „Ich war seinerzeit schon fasziniert, als ich Mario Jandeck und Max Tarantik auf der Cebit 2018 getroffen habe. Dort haben sie mir eine erste Sneak-Preview von der Beta-Version gegeben.“, erinnert sich Patrick Andreas und fügt hinzu: „Seitdem hat sich ja noch einiges getan.“

Neukundengewinnung durch effektive Gap-Analysen

Wenn ACM Consultants bei einem Neukunden ein ISMS einführen wollen, starten sie mit einer Gap-Analyse, um den bisherigen Stand des Informationssicherheitsmanagements zu erfassen und mit den Vorgaben beispielsweise der ISO 27001 abzugleichen. Dabei müssen Patrick Andreas und seine Kollegen sowohl die organisatorischen wie technischen Themen abklopfen. Während für die organisatorische Erfassung des Ist-Zustandes Check-Listen zum Einsatz kommen, nutzt ACM für die technische Evaluierung heute die Softwarekomponente Hacktor von Enginsight.

Ergebnisse des Pentest in Audit Report
In den Audit Reports sind die Ergebnisse der automatisierten Pentests übersichtlich und eindeutig dargestellt. (zum Vergrößern anklicken)

„Früher haben wir das so gemacht“, erzählt Herr Andreas, „Ein Kollege setzt sich irgendwo in das Besprechungszimmer, bekommt einen Netzwerkzugang und holt seinen Linux-Rechner raus. Auf dem Rechner hat der Mitarbeiter dann sein Nmap, Metasploit, seinen Vulnerability Scanner und noch dies oder das und jenes. Zusätzlich mit Ablaufplan bewaffnet, begann er sich nach Schwachstellen im Netzwerk umzuschauen.“

„Das heißt für uns, wir haben eine deutlich bessere Erfolgsquote in der Beauftragung.“

Patrick Andreas, ACM Consultants

All das übernehme jetzt der Hacktor vollkommen automatisiert. Das bringe gleich zwei Vorteile: „Erstens konnten wir die Aufwände für eine Gap-Analyse herunterschrauben. Das heißt für uns, wir haben eine deutlich bessere Erfolgsquote in der Beauftragung, weil mein Wettbewerber sagt, ich brauche vier Tage und ich sage, ich mache es in einem Tag. Zweitens lassen wir den Hacktor einfach im Hintergrund laufen, während wir uns auf die Unternehmensorganisation fokussieren können. Die Informationen aus technischer Sicht, die wir haben wollen, liefert uns Enginsight.“

„Enginsight ist ein riesiges Kundenbindungsinstrument“

Monitoring und Securityanalysen mit Agent
Pulsar-Agents ausrollen und einfach eine dauerhafte Überwachung etablieren. (zum Vergrößern anklicken)

Nachdem mit der Softwarekomponente Hacktor Enginsight bereits initial beim Kunden eingeführt ist, um in einem ersten Aufschlag die Sicherheit der IT-Infrastruktur zu evaluieren, lassen sich einfach die nächsten Schritte mit der Software nachziehen. „Aufgrund des SaaS-Lizenzmodells habe ich eine viel, viel kleinere Einstiegshürde als bei Konkurrenzprodukten. Ich kann mit 30 Euro im Monat für die Installation des Pulsar-Agents auf einem Server anfangen.“, lobt Patrick Andreas. „Nachdem wir klein begonnen haben, können wir dann gemeinsam mit dem Kunden schauen, welche Systeme wir noch mitreinnehmen. Wenn man dem Kunden dann die Aufwände aufzählt, die man normalerweise hätte – würde man das manuell machen müssen oder mit verschiedenen Anbietern – fällt ihm die Entscheidung sehr viel einfacher. Deshalb ist Enginsight für uns ein riesiges Kundenbindungsinstrument.“

„Nachdem wir klein begonnen haben, können wir dann gemeinsam mit dem Kunden schauen, welche Systeme wir noch mitreinnehmen.“

Patrick Andreas, ACM Consultants

Wie sich der Kunde und der Service Provider ACM die Betreuung der IT-Landschaft mit Enginsight aufteilen, können die beiden Parteien im Einzelfall auf die individuellen Bedürfnisse ausgerichtet absprechen. „Es ist ebenso möglich, ein Rund-um-Sorglos-Paket zu buchen, wo ACM das operative Geschäft komplett übernimmt und dem Kunden lesenden Zugriff gewährt, als auch dass ACM den Zugang einrichtet und den Kunden schalten und walten lässt“, fasst Herr Andreas das Spektrum möglicher Konstellationen zusammen.

MSSP Vorteile mit Enginsight

Die IT-Verantwortlichen der Kunden von Enginsight zu begeistern, gestalte sich dabei einfach. Und nicht selten wollen sie direkt einen eigenen Zugang, um selbst loszulegen: „Die haben da Spaß dran. Wenn ich denen den Hacktor und die Pentest-Thematik zeige, da fahren die voll drauf ab. Da schlägt jedes ITler Herz höher. Das ist bei mir nicht anders, wenn ich den Hacktor auf ein System loslasse. Da kribbelt es einem in den Fingern. Das trifft genau den Nerv.“

ACM Consultants GmbH

Am Holzbach 10
48231 Warendorf
+49 2581 783463-0
info@acm-consultants.de
www.acm-consultants.de

Enginsight GmbH

Logo Enginsight

Hans-Knöll-Straße 6
07745 Jena
+49 (0)3641 2714966
hello@enginsight.com
www.enginsight.com

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

Microsoft Exchange: Exploit-Monitoring

Eine kritische Schwachstelle in Microsoft Exchange, die vielfach ausgenutzt wurde, hat für Schlagteilen gesorgt. Das Bundesamt für Sicherheit in der Informationstechnik hat deshalb die Warnstufe rot ausgegeben. Wir zeigen in einem Video, wie Sie mit Enginsight prüfen können, ob Sie betroffen sind.

Weiterlesen »
NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo