Ein Jahrzehnt zuvor war die gängige Annahme in den meisten mittelgroßen bis großen Organisationen, dass Sicherheit intern verantwortet und betrieben werden sollte. Der CISO und sein Team bauten die Fähigkeiten auf, wählten die Tools aus, betrieben das SOC und waren für die Ergebnisse verantwortlich. Das Auslagern von Sicherheit fühlte sich wie ein Kontrollverlust an – und in einer Zeit einfacherer Bedrohungslandschaften und stabilerer technologischer Umgebungen funktionierte das Inhouse-Modell noch recht gut.
Diese Annahme wird nun systematisch und branchenübergreifend überdacht. Die Treiber dafür sind nicht primär finanzieller Natur, wenngleich Kosteneffizienz eine Rolle spielt. Es handelt sich vielmehr um strukturelle Veränderungen – bedingt durch Verschiebungen in der Bedrohungslandschaft, im technologischen Umfeld und auf dem Talentmarkt, die das Inhouse-Modell in Summe deutlich schwerer betreibbar machen, als es der heute erforderliche Standard verlangt.
Das Argument gegen eine reine Inhouse-Sicherheit
Das Inhouse-Sicherheitsmodell hatte schon immer eine grundlegende Einschränkung: Es skaliert mit der Personalstärke. Mehr Bedrohungen, mehr Komplexität, mehr regulatorische Anforderungen – all das führt letztlich zu einem Bedarf an mehr Personal, mehr Spezialwissen und mehr Tooling. Für die meisten Organisationen stößt dieser Weg schnell an Grenzen. Personalbudgets sind endlich. Spezialisierte Fachkräfte sind rar und teuer. Und das Wissen, das für den effektiven Betrieb moderner Sicherheit erforderlich ist, umfasst inzwischen so viele Bereiche – Netzwerksicherheit, Identität, Cloud, Endpoint, Compliance, Threat Intelligence, Incident Response –, dass es für die meisten Organisationen schlicht unrealistisch ist, in all diesen Bereichen echte Tiefe innerhalb eines einzigen internen Teams aufzubauen.
Das Ergebnis ist ein bekanntes Muster: interne Teams, die in einigen Bereichen leistungsfähig, in anderen jedoch dünn besetzt sind, die sich stark auf eine kleine Anzahl von Personen verlassen, die überproportional viel kritisches Wissen tragen, und die Tools betreiben, die eher wegen ihrer Verfügbarkeit als wegen ihrer Eignung ausgewählt wurden. Das ist keine Kritik an den beteiligten Personen – es ist eine strukturelle Folge davon, ein begrenztes Team mit der Abdeckung einer wachsenden Angriffsfläche zu betrauen.
„Die Bedrohungslandschaft macht am Wochenende keine Pause. Gut geführte Managed-Security-Operations ebenfalls nicht. Für viele Organisationen ist diese durchgängige Abdeckung mit einem internen Team – gleich welcher realistischen Größe – schlicht nicht erreichbar."
Was sich am MSSP-Markt verändert hat
Der Markt für Managed Security Services hatte vor zehn Jahren in vielen Bereichen einen schlechten Ruf – nicht ohne Grund. Frühe MSSPs lieferten häufig standardisierte, wenig anspruchsvolle Monitoring-Services, die eine große Menge an Alerts erzeugten, ohne dass eine sinnvolle Analyse oder Reaktionsfähigkeit dahinterstand. Das Wertversprechen war Kostenreduktion, nicht Sicherheitsverbesserung, und viele Kunden stellten fest, dass die Realität eher dem Preis als dem Versprechen entsprach.
Der Markt hat sich seither erheblich weiterentwickelt. Eine neue Generation von MSSPs hat echte operative Tiefe aufgebaut – Detection Engineering, Threat Hunting, Incident Response sowie die Fähigkeit, komplexe hybride Umgebungen zu betreuen. Der Unterschied zwischen einem Managed-Security-Service und einem leistungsfähigen internen Sicherheitsteam hat sich deutlich verringert und in manchen Dimensionen sogar umgekehrt: MSSPs können eine Breite an Expertise und eine Kontinuität der Abdeckung bieten, die die meisten internen Teams nicht erreichen können.
Auch der regulatorische Druck hat die Anforderungen erhöht. NIS2, DORA und branchenspezifische Rahmenwerke stellen konkrete Anforderungen an Sicherheitsmonitoring, Incident-Response-Fähigkeiten und den Nachweis eines fortlaufenden Risikomanagements. Die Erfüllung dieser Anforderungen verlangt ein Maß an operativer Reife, das die Argumente für eine Zusammenarbeit mit Spezialisten, die diese Fähigkeiten in großem Maßstab aufgebaut haben, zusätzlich stärkt.
Die Fragen, die vor der Entscheidung gestellt werden sollten
Der Wechsel zu einem Managed-Security-Modell ist nicht für jede Organisation und in jeder Situation die richtige Antwort. Doch die Fragen, die diese Entscheidung fundieren sollten, lohnt es, ehrlich zu stellen.
Können Sie eine 24/7-Abdeckung aufrechterhalten?
Bedrohungen kennen keine Geschäftszeiten. Ein internes Team, das nur während der Arbeitszeit aktiv ist, lässt eine Abdeckungslücke entstehen, die versierten Angreifern durchaus bekannt ist. Der Aufbau einer echten Rund-um-die-Uhr-Fähigkeit erfordert intern entweder ein großes Team mit Schichtabdeckung oder die Akzeptanz, dass das Monitoring außerhalb der Geschäftszeiten eingeschränkt bleibt. Für die meisten Organisationen ist keine der beiden Optionen zufriedenstellend.
Verfügen Sie über Tiefe in allen relevanten Bereichen?
Moderne Sicherheit erfordert Expertise in Netzwerksicherheit, Identität, Cloud-Umgebungen, Endpoint, Applikationssicherheit, Compliance und Threat Intelligence – sowie in den Verbindungen zwischen diesen Bereichen. Ein internes Team, das in zwei oder drei dieser Bereiche stark, in den übrigen jedoch schwach aufgestellt ist, stellt keine widerstandsfähige Sicherheitsoperation dar. Es handelt sich vielmehr um eine Reihe gut verteidigter Silos mit Lücken dazwischen.
Was passiert, wenn Schlüsselpersonen das Unternehmen verlassen?
Wie in unserem Beitrag zum Fachkräftemangel und zur Kontinuität ausführlicher beschrieben, ist die Konzentration von Wissen eines der am wenigsten anerkannten Risiken interner Sicherheitsteams. Ein Managed Service verteilt dieses Wissen auf eine größere Organisation und reduziert damit das Risiko einzelner Ausfallpunkte erheblich.
Worauf bei einem MSSP zu achten ist
Nicht alle Anbieter von Managed Security Services sind gleichwertig, und der Markt umfasst ein breites Spektrum an Leistungsniveaus. Einige Dimensionen sind vor einer Partnerschaftsentscheidung besonders sorgfältig zu prüfen.
Echte operative Tiefe ist wichtiger als ein breiter Servicekatalog. Ein MSSP, der Detection, Response, Threat Intelligence und Compliance-Reporting anbietet, ist nur so gut wie die Analysten und Ingenieure hinter diesen Leistungen. Fragen Sie nach den Praktiken im Detection Engineering, danach, wie Threat Intelligence operationalisiert wird, und danach, wie ein realistischer Zeitrahmen für die Incident Response in der Praxis aussieht.
Die Abdeckung verschiedener Fachbereiche ist besonders für Organisationen mit komplexen Umgebungen relevant. Ein Anbieter, der bei SOC-Operationen exzellent, in den Bereichen Netzwerksicherheit, Identität oder Cloud jedoch nur begrenzt leistungsfähig ist, lässt Lücken entstehen, die entweder zusätzliche Anbieter oder eine interne Ergänzung erfordern. Echte Breite an Expertise – die Art, die Netzwerk, Endpoint, Identität, Cloud und Compliance innerhalb einer einzigen Organisation abdeckt – ist seltener, als es das Marketing vermuten lässt.
Europäische Präsenz und regulatorische Vertrautheit gewinnen zunehmend an Bedeutung. NIS2-Konformität, die Auswirkungen der DSGVO auf Sicherheitsdaten und die Nuancen branchenspezifischer Regulierung in den einzelnen EU-Mitgliedstaaten werden von Anbietern ohne echte europäische Betriebserfahrung nur unzureichend bedient.
Nomios agiert als europäischer MSSP mit umfassender Expertise über den gesamten Sicherheits-Stack – Netzwerksicherheit, Identität, Endpoint, Cloud und Compliance. Diese Breite, die bei einem einzelnen Anbieter tatsächlich schwer zu finden ist, haben wir bewusst aufgebaut, da wir zu oft erlebt haben, wie Organisationen ein fragmentiertes Portfolio spezialisierter Anbieter verwalten und dabei den damit verbundenen Koordinationsaufwand und die Abdeckungslücken in Kauf nehmen müssen.
Ein Wandel in der Verantwortlichkeit für Sicherheit
Einer der differenzierteren Aspekte der MSSP-Diskussion betrifft die Verantwortlichkeit (Accountability). Die Sorge, dass das Auslagern von Sicherheit einen Kontrollverlust bedeutet, ist verständlich – doch die Realität eines gut strukturierten Managed Service sieht anders aus. Die Verantwortung geht nicht auf den Anbieter über. Die Organisation bleibt für ihre Sicherheitslage verantwortlich. Was übergeht, ist die operative Ausführung – die tägliche Arbeit des Monitorings, der Erkennung und der Reaktion – während die strategische Ausrichtung, die Risikoverantwortung und die Governance intern verbleiben.
Diese klar definierte und gut gesteuerte Aufteilung der Verantwortlichkeiten führt in der Regel zu besseren Ergebnissen als ein rein internes oder ein vollständig ausgelagertes Modell. Die Organisation behält die maßgebliche Kontrolle über die strategisch relevanten Aspekte. Der Anbieter bringt operative Fähigkeiten ein, die die Organisation nicht kosteneffizient selbst aufbauen könnte. Gemeinsam können beide eine Sicherheitslage erreichen, die keiner von beiden allein aufrechterhalten könnte.
Thinking about what a managed security partnership could look like?
We have had this conversation with organisations across Europe at every stage of the decision — from early exploration to active transition. There is no obligation, and no sales script.









