Managed Security Service Provider (MSSP) – Sicherheit als Dienstleistung
IT-Sicherheit professionell auslagern: MSSP-Services, Auswahl und Kosten
Ein Managed Security Service Provider (MSSP) ist ein spezialisierter Dienstleister, der IT-Sicherheitsfunktionen für Unternehmen als externe Dienstleistung erbringt. Statt ein eigenes Security-Team aufzubauen, nutzen Unternehmen die Expertise, Infrastruktur und das 24/7-Monitoring eines MSSP — und erhalten Enterprise-Level-Sicherheit zu einem Bruchteil der Kosten eines internen Security Operations Centers.
Angesichts des Fachkräftemangels in der IT-Sicherheit — allein in Deutschland fehlen über 100.000 Security-Spezialisten — ist die Zusammenarbeit mit einem MSSP für viele mittelständische Unternehmen der einzige realistische Weg zu einem professionellen Sicherheitsniveau. Die DATUREX GmbH unterstützt Unternehmen bei der Auswahl des richtigen MSSP und der Definition der optimalen Service-Zusammensetzung.
Was bietet ein MSSP?
Das Leistungsspektrum eines Managed Security Service Providers umfasst typischerweise:
Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 500 € / Monat.
→ Externen Informationssicherheitsbeauftragten anfragenMonitoring und Detection
- 24/7 Security Monitoring — Rund-um-die-Uhr-Überwachung aller sicherheitsrelevanten Ereignisse
- SIEM as a Service — Betrieb und Überwachung eines SIEM-Systems
- Managed EDR/XDR — Verwaltung und Monitoring der Endpunktsicherheit
- Managed Detection and Response (MDR) — Kombination aus Technologie und Analysten-Expertise
- Network Detection and Response — Überwachung des Netzwerkverkehrs auf Anomalien
Prävention
- Managed Firewall — Administration und Monitoring von Firewalls
- Vulnerability Management — Regelmäßige Schwachstellenscans und Priorisierung
- E-Mail-Security — Spam-Filter, Phishing-Schutz, Attachment-Sandboxing
- Web-Security — URL-Filtering, Proxy-Management, DDoS-Schutz
- Patch-Management — Zeitnahe Installation von Sicherheitsupdates
Response und Beratung
- Incident Response — Schnelle Reaktion bei Sicherheitsvorfällen
- Forensik — Analyse und Aufklärung von Sicherheitsvorfällen
- Threat Intelligence — Bereitstellung aktueller Bedrohungsinformationen
- Compliance-Beratung — Unterstützung bei ISO 27001, NIS2, BSI IT-Grundschutz
- Security Awareness Training — Schulung der Mitarbeiter
MSSP vs. internes SOC vs. MDR
| Kriterium | Internes SOC | MSSP | MDR |
|---|---|---|---|
| Leistungsumfang | Individuell | Breites Portfolio | Fokus auf Detection & Response |
| 24/7 Verfügbarkeit | Teuer (8-12 FTE) | Standard | Standard |
| Kosten | 500K-1.5M€/Jahr | 3K-15K€/Monat | 15-40€/Endpunkt/Monat |
| Kontrolle | Voll | Geteilt | Begrenzt |
| Expertise | Abhängig von Recruiting | Spezialisiert | Hoch spezialisiert |
| Ideal für | Großunternehmen, KRITIS | KMU, gehobener Mittelstand | KMU ohne Security-Team |
Warum ein MSSP? Vorteile im Detail
Kostenvorteil
Ein internes Security Operations Center erfordert erhebliche Investitionen: Mindestens 8-12 vollzeitäquivalente Analysten für einen 24/7-Betrieb, teure SIEM- und EDR-Lizenzen, regelmäßige Weiterbildung und dedizierte Infrastruktur. Für die meisten mittelständischen Unternehmen sind diese Kosten nicht tragbar. Ein MSSP verteilt diese Kosten auf viele Kunden und bietet Enterprise-Sicherheit ab 3.000 € monatlich.
Fachkräftemangel
Der Mangel an qualifizierten Security-Fachkräften ist eines der größten Risiken für die IT-Sicherheit deutscher Unternehmen. Offene Stellen bleiben durchschnittlich 6-9 Monate unbesetzt, und die Gehälter für erfahrene Security-Analysten liegen bei 80.000-120.000 € jährlich. Ein MSSP löst dieses Problem sofort und nachhaltig.
Skalierbarkeit
MSSP-Services lassen sich flexibel an die Unternehmensgröße anpassen. Wächst Ihr Unternehmen, skaliert der MSSP mit — ohne dass Sie selbst Personal einstellen und Infrastruktur aufbauen müssen. Ebenso können Services bei Bedarf reduziert werden.
Aktuelle Bedrohungsintelligenz
MSSPs überwachen die Bedrohungslandschaft kontinuierlich und können Erkenntnisse aus der Betreuung vieler Kunden nutzen. Wenn ein Angriffsmuster bei einem Kunden erkannt wird, werden alle anderen Kunden sofort geschützt — ein enormer Vorteil gegenüber isolierten Sicherheitsteams.
MSSP-Services im Detail
Security Monitoring und Log-Management
Das Herzstück jedes MSSP-Services ist das kontinuierliche Monitoring. Der MSSP sammelt, korreliert und analysiert Sicherheitsereignisse aus allen relevanten Quellen:
- Log-Quellen — Firewalls, Server, Endpunkte, Cloud-Dienste, Anwendungen, Netzwerkgeräte
- Korrelation — Automatische Verknüpfung von Ereignissen aus verschiedenen Quellen zur Erkennung komplexer Angriffsmuster
- Alarmierung — Qualifizierte Alarme mit Kontext und Handlungsempfehlung, keine bloßen Rohalarme
- Eskalation — Definierte Eskalationswege je nach Schweregrad des Vorfalls
Managed Vulnerability Management
Regelmäßige Schwachstellenscans mit professioneller Bewertung und Priorisierung:
- Automatisierte Scans — Wöchentliche oder monatliche Schwachstellenscans aller IT-Assets
- Risikobewertung — Priorisierung nach CVSS-Score, Asset-Kritikalität und Exploit-Verfügbarkeit
- Remediation-Tracking — Nachverfolgung der Behebung bis zum Abschluss
- Reporting — Management-taugliche Berichte mit Trend-Analyse
Managed Endpoint Detection and Response
Verwaltung und Überwachung der Endpunktsicherheit mit professioneller Reaktion:
- Agent-Deployment — Installation und Konfiguration der EDR-Agents auf allen Endpunkten
- Verhaltensanalyse — Erkennung verdächtiger Aktivitäten auf Endpunkten in Echtzeit
- Threat Hunting — Proaktive Suche nach versteckten Bedrohungen
- Remote Response — Isolierung kompromittierter Endpunkte und forensische Datensammlung
MSSP auswählen — Kriterien
Technische Fähigkeiten
- Welche Technologien werden eingesetzt? (SIEM, EDR, SOAR)
- Werden Ihre bestehenden Tools unterstützt oder müssen Sie wechseln?
- Wie hoch ist die Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR)?
- Welche Threat Intelligence Quellen werden genutzt?
Service-Level und Prozesse
- SLA-Garantien: Reaktionszeiten, Verfügbarkeit, Eskalationswege
- Reporting: Frequenz, Detailgrad, Dashboard-Zugang
- Kommunikation: Dedizierter Ansprechpartner, Sprache (Deutsch!), Erreichbarkeit
- Onboarding-Prozess: Wie schnell sind Sie geschützt?
Compliance und Zertifizierungen
- Ist der MSSP selbst ISO 27001 zertifiziert?
- Wo werden Ihre Daten verarbeitet? (DSGVO-Konformität, Serverstandort EU)
- Unterstützt der MSSP Ihre Compliance-Anforderungen (NIS2, TISAX, PCI DSS)?
- Liegt ein AV-Vertrag nach DSGVO vor?
Wirtschaftlichkeit
- Transparentes Preismodell (pro Endpunkt, pro Event, Flatrate?)
- Versteckte Kosten: Setup, Onboarding, zusätzliche Features
- Vertragslaufzeit und Exit-Strategie
- Skalierbarkeit bei Unternehmenswachstum
MSSP-Onboarding — Der typische Ablauf
Ein professionelles MSSP-Onboarding folgt einem strukturierten Prozess:
- Discovery und Assessment — Bestandsaufnahme der bestehenden IT-Infrastruktur, Security-Tools und Prozesse. Identifikation kritischer Assets und Risiken
- Service-Design — Gemeinsame Definition der Service-Zusammensetzung, SLAs, Eskalationswege und Reporting-Anforderungen
- Technische Integration — Anbindung der Log-Quellen, Installation von Agents, Konfiguration von Monitoring-Regeln
- Baseline und Tuning — Erfassung des normalen Betriebszustands, Feinabstimmung der Erkennungsregeln zur Minimierung von False Positives
- Go-Live und Hypercare — Aktivierung des produktiven Monitorings mit intensiver Betreuung in den ersten Wochen
- Regelbetrieb — Kontinuierliches Monitoring, regelmäßige Reviews und Service-Optimierung
Die typische Onboarding-Dauer liegt bei 4-8 Wochen, abhängig von der Komplexität der IT-Umgebung.
MSSP und Compliance
Die Zusammenarbeit mit einem MSSP kann die Compliance erheblich erleichtern:
- NIS2 — Fordert Maßnahmen zur Erkennung und Meldung von Sicherheitsvorfällen, die ein MSSP professionell erbringen kann
- ISO 27001 — MSSP-Services decken zahlreiche Controls ab (A.12, A.13, A.16)
- KRITIS — Systeme zur Angriffserkennung (SzA) können über einen MSSP bereitgestellt werden
- DSGVO — MSSP als Auftragsverarbeiter: AV-Vertrag und TOMs prüfen
Marktübersicht: MSSP-Anbieter in Deutschland
- Deutsche Telekom / T-Systems — Großer MSSP mit eigenem SOC in Deutschland. Enterprise-fokussiert, KRITIS-erfahren
- Atos / Eviden — Europäischer MSSP mit SOCs in mehreren Ländern. Stark in regulierten Branchen
- Arctic Wolf — Cloud-nativer MDR/MSSP mit Fokus auf Mittelstand. „Concierge Security“-Ansatz mit dedizierten Analysten
- Sophos MDR — Managed Detection and Response als Erweiterung der eigenen Endpoint-Security. Gutes Preis-Leistungs-Verhältnis
- G DATA — Deutscher Anbieter mit Managed EDR und Cyber Defense Service. DSGVO-konform, Server in Deutschland
- secunet — IT-Sicherheitspartner der Bundesrepublik Deutschland. Fokus auf Behörden und KRITIS
MSSP-Kosten — Transparente Übersicht
Die Kosten für MSSP-Services variieren erheblich je nach Leistungsumfang, Unternehmensgröße und Anforderungen:
Typische Preismodelle
- Pro Endpunkt/Monat — Häufig bei MDR-Services: 15-40 € pro überwachtem Endpunkt pro Monat. Einfach kalkulierbar, skaliert linear
- Pro Benutzer/Monat — Bei vollständigen MSSP-Services: 50-200 € pro Benutzer. Umfasst meist mehrere Services (E-Mail-Security, EDR, Monitoring)
- Flatrate — Pauschaler Monatspreis basierend auf der Unternehmensgröße. Planungssicher, aber weniger flexibel
- Pro Event — Bezahlung pro verarbeitetem Security-Event. Kann bei hohem Logaufkommen teuer werden
Kostenvergleich: MSSP vs. interne Security
Für ein mittelständisches Unternehmen mit 200 Endpunkten:
- Internes SOC — Personal (8 FTE à 80.000 €), Tools (SIEM, EDR: 100.000 €/Jahr), Infrastruktur, Schulung: ca. 800.000-1.200.000 €/Jahr
- MSSP Full Service — 24/7 Monitoring, EDR, Vulnerability Management, Incident Response: ca. 60.000-180.000 €/Jahr
- MDR (Endpoint-fokussiert) — Managed EDR mit 24/7 Monitoring und Response: ca. 36.000-96.000 €/Jahr
Der Kostenvorteil des MSSP-Modells ist offensichtlich — insbesondere wenn die Opportunitätskosten des Fachkräftemangels berücksichtigt werden.
Herausforderungen bei der MSSP-Zusammenarbeit
Datenhoheit und Datenschutz
Ein MSSP verarbeitet große Mengen sensibler Daten — Log-Daten, Netzwerk-Traffic, potentiell auch Inhaltsdaten. Datenschutzrechtlich relevant:
- Auftragsverarbeitung — AV-Vertrag nach Art. 28 DSGVO ist Pflicht
- Datenverarbeitung in der EU — Serverstandort und Verarbeitungsort müssen DSGVO-konform sein
- Sub-Auftragsverarbeiter — Nutzt der MSSP Cloud-Dienste von Drittanbietern? (AWS, Azure)
- Datenlöschung — Klare Regelungen zur Löschung bei Vertragsende
Abhängigkeit und Exit-Strategie
Die Abhängigkeit von einem MSSP sollte bewusst gesteuert werden:
- Datenportabilität — Können Sie Ihre Logs und Konfigurationen mitnehmen?
- Kündigungsfristen — Angemessene Fristen (3-6 Monate), keine überlangen Laufzeiten
- Wissenstransfer — Der MSSP muss Dokumentation und Runbooks bereitstellen
- Interne Kompetenz — Mindestens ein interner Mitarbeiter sollte die MSSP-Prozesse verstehen und als Schnittstelle fungieren
Kommunikation und Reporting
Eine häufige Schwachstelle in MSSP-Beziehungen ist die Kommunikation:
- Dedizierter Ansprechpartner — Nicht nur ein anonymes Ticketsystem, sondern ein benannter Account Manager
- Regelmäßige Service Reviews — Monatlich oder quartalsweise den Service bewerten und optimieren
- Deutschsprachiger Support — Bei Sicherheitsvorfällen zählt jede Minute — Sprachbarrieren kosten Zeit
- Echtzeit-Dashboard — Transparenter Einblick in den aktuellen Sicherheitsstatus
MSSP und ISMS
Die Integration von MSSP-Services in ein Informationssicherheits-Managementsystem erfordert klare Schnittstellen und Prozesse:
- Risikomanagement — MSSP-Services müssen im Risikoregister als Maßnahmen dokumentiert werden. Das Restrisiko verändert sich durch die MSSP-Anbindung
- Lieferantenmanagement — Der MSSP ist ein kritischer Lieferant und muss entsprechend ISO 27001 A.15 bewertet und überwacht werden
- Incident Management — Die Incident-Response-Prozesse des MSSP müssen nahtlos in Ihre eigenen Prozesse integriert sein
- Dokumentation — SLAs, Leistungsbeschreibungen und Schnittstellen müssen im ISMS dokumentiert sein
- Audits — Das Recht auf Audits beim MSSP muss vertraglich vereinbart sein (SOC 2 Report als Alternative)
Ein professioneller MSSP ist ein wertvoller Partner für Unternehmen, die ihre Schutzziele der Informationssicherheit erreichen möchten, ohne ein vollständiges internes Security-Team aufzubauen.
Zukunft des MSSP-Marktes
Der MSSP-Markt entwickelt sich rasant weiter:
- KI-gestützte Erkennung — MSSPs setzen zunehmend Machine Learning für die Anomalie-Erkennung ein und reduzieren damit False Positives um bis zu 90%
- XDR-Integration — Extended Detection and Response kombiniert Endpunkt-, Netzwerk- und Cloud-Daten für eine vollständige Bedrohungserkennung
- SOAR-Automatisierung — Security Orchestration, Automation and Response automatisiert Standardreaktionen und verkürzt die Mean Time to Respond drastisch
- Compliance-as-a-Service — MSSPs bieten zunehmend integrierte Compliance-Services an, die ISO 27001, NIS2 und branchenspezifische Anforderungen abdecken
DATUREX GmbH — MSSP-Beratung
- Bedarfsanalyse — Welche Security-Services benötigen Sie? Internes SOC, MSSP oder Hybrid?
- MSSP-Auswahl — Unabhängige Evaluation und Vergleich von MSSP-Angeboten
- Vertragsverhandlung — SLA-Definition, Datenschutzanforderungen, Exit-Klauseln
- Onboarding-Begleitung — Technische Integration und Prozessabstimmung
- Qualitätskontrolle — Regelmäßige Bewertung der MSSP-Leistung
- ISMS-Integration — MSSP-Services in Ihr Managementsystem einbetten