Cybersecurity für IT-Dienstleister

Managed Service Provider (MSPs) und IT-Dienstleister sind aus Angreiferperspektive besonders attraktiv: Wer einen MSP kompromittiert, gewinnt potenziell Zugang zu den Systemen aller seiner Kunden. Diese Multiplikatorwirkung macht Supply-Chain-Angriffe gegen IT-Dienstleister zu einem der effektivsten Angriffsvektoren moderner Bedrohungsakteure. SolarWinds 2020 und Kaseya 2021 haben dies eindrücklich demonstriert: Über die Kompromittierung eines einzigen Anbieters wurden Tausende von Endkunden erreicht.

Das Sicherheitsniveau eines IT-Dienstleisters ist damit direkt mit dem Sicherheitsniveau seiner gesamten Kundenbasis verknüpft. Kunden, die ihren IT-Dienstleister mit privilegiertem Zugang zu ihrer Infrastruktur ausstatten, müssen darauf vertrauen können, dass dieser seinen Zugang schützt. Dieses Vertrauen muss heute nachweisbar sein – nicht mehr auf Basis von Vertragstexten, sondern durch Zertifikate, Testberichte und strukturierte Sicherheitsnachweise.

IT-Dienstleister stehen daher vor einer doppelten Aufgabe: Sie müssen ihre eigene Sicherheit glaubwürdig nachweisen (gegenüber Kunden, Auditoren, NIS2-Behörden) und gleichzeitig den wachsenden Anforderungen gerecht werden, die ihre eigenen Kunden an sie stellen. Der Sicherheitsnachweis ist damit zu einem Wettbewerbsfaktor geworden.

ISO 27001 ist der Basisnachweis, den Kunden aus regulierten Branchen – Finanzsektor, Gesundheitswesen, öffentliche Verwaltung – heute standardmäßig einfordern. Eine ISO 27001-Zertifizierung belegt, dass der IT-Dienstleister ein funktionierendes Informationssicherheitsmanagementsystem betreibt und regelmäßig von unabhängiger Stelle geprüft wird. Ohne dieses Zertifikat wird der Zugang zu regulierten Kunden zunehmend verschlossen.

Für Cloud-Dienstleister und SaaS-Anbieter, die Dienste für öffentliche Auftraggeber, Finanzinstitute oder KRITIS-Betreiber erbringen, ist der BSI C5 zunehmend das relevantere Nachweisinstrument. Ein C5-Testat (Type 2) bescheinigt, dass die Cloud-Infrastruktur über einen Beobachtungszeitraum nachweislich sicher betrieben wurde. Es adressiert cloud-spezifische Anforderungen, die in ISO 27001 alleine nicht ausreichend differenziert sind.

Wir begleiten IT-Dienstleister auf beiden Pfaden: ISO 27001-Zertifizierung, C5-Testat oder – für Anbieter, die beide Märkte bedienen – eine kombinierte Umsetzung, die den Überschneidungsbereich nutzt. Der Aufwand für einen kombinierten Aufbau ist deutlich geringer als zwei separate Zertifizierungsprogramme.

NIS2 stuft Managed Service Provider und Cloud-Dienstleister explizit als wichtige oder wesentliche Einrichtungen ein – unabhängig davon, in welchem Sektor ihre Kunden tätig sind. Das bedeutet: IT-Dienstleister, die bisher keine direkten regulatorischen Pflichten im Bereich Cybersicherheit hatten, unterliegen nun NIS2-Anforderungen: Risikomanagement, Incident-Meldung, Sicherheitsmaßnahmen und Management-Schulung.

Die Konsequenz ist erheblich. Ein Managed Service Provider muss nun ein dokumentiertes Risikomanagementsystem betreiben, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden und nachweisen, dass seine Geschäftsführung in Cybersicherheitsfragen geschult ist. Bußgelder bei Nichteinhaltung erreichen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.

Wir unterstützen IT-Dienstleister bei der NIS2-Betroffenheitsanalyse, der Gap-Analyse gegenüber den technischen und organisatorischen Anforderungen und bei der Umsetzung eines pragmatischen Compliance-Programms. Für Unternehmen, die bereits ISO 27001 anstreben, lässt sich NIS2-Compliance effizient integrieren – die Anforderungen überschneiden sich wesentlich.