Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Security Operations Glossar

MSSP - Managed Security Service Provider

Ein Managed Security Service Provider (MSSP) übernimmt Cybersicherheitsaufgaben als externer Dienstleister: 24/7 SOC-Betrieb, SIEM-Management, Vulnerability Management, Threat Hunting und Incident Response. MSSPs ermöglichen KMU und mittelständischen Unternehmen Sicherheitsniveau auf Enterprise-Level ohne eigenes SOC-Team. Abgrenzung zu MDR (Managed Detection & Response) ist die aktive Reaktionsfähigkeit.

Managed Security Service Provider (MSSP) sind die Antwort auf eine fundamentale Herausforderung: Cybersicherheit erfordert 24/7-Betrieb, spezialisierte Expertise und teure Tools - die wenigsten Unternehmen können sich ein vollständiges internes SOC-Team leisten. MSSPs bieten diese Kapazitäten als Dienstleistung.

MSSP vs. MDR vs. internes SOC

Internes SOC (In-House):

  • Was: Eigenes Security Operations Center mit eigenem Personal
  • Kosten: Sehr hoch: 3-5 Vollzeit-Analysten = 300.000-500.000 EUR/Jahr + SIEM-Lizenz, Tools, Infrastruktur
  • Vorteile: Vollständige Kontrolle, tiefes Unternehmens-Know-how
  • Nachteile: Teuer, schwer zu besetzen, 24/7 schwierig
  • Geeignet für: Unternehmen > 1.000 MA, kritische Infrastrukturen

MSSP (Managed Security Service Provider):

  • Was: Externer SOC-Betrieb, Monitoring, Alerting
  • Kosten: 5.000-50.000 EUR/Monat je nach Scope
  • Vorteile: 24/7 Überwachung, spezialisierte Expertise, SLAs
  • Nachteile: Weniger Unternehmens-Kontext, reaktiv (Alert → Follow-up)
  • Geeignet für: Unternehmen 100-1.000 MA ohne eigenes SOC

MDR (Managed Detection & Response):

  • Was: MSSP + aktive Reaktion (Containment, Isolation)
  • Kosten: 15.000-80.000 EUR/Monat
  • Vorteile: Reaktion auch wenn CISO nicht erreichbar; Threat Hunting inklusive
  • Nachteile: Teurer, aktive Eingriffe erfordern klare Vollmachten
  • Geeignet für: Unternehmen die schnelle Incident Response brauchen

MSSP Kern-Leistungen:

  • 24/7 SOC Monitoring: SIEM-Überwachung rund um die Uhr, Triage (False Positives von echten Alerts trennen), Eskalation kritischer Alerts mit sofortiger Kundenbenachrichtigung
  • SIEM-as-a-Service: MSSP betreibt SIEM-Infrastruktur (Splunk, Microsoft Sentinel, IBM QRadar), Log-Ingestion von allen Quellen (Firewall, AD, Endpoints, Cloud), Kunden haben oft eigenes SIEM-Portal (Reports, Dashboards)
  • Vulnerability Management: Regelmäßige Scans, Priorisierung, Reporting; Patch-SLA-Tracking: wer ist verantwortlich für welches System?
  • Threat Intelligence Integration: MSSP-eigene Threat-Intelligence-Feeds, IOC-Matching gegen eigene Kundendaten
  • Incident Response Retainer: X Stunden IR pro Jahr inklusive; bei Incident rückt das MSSP-IR-Team aus (remote oder vor Ort)

MSSP auswählen

Auswahlkriterien:

  1. Zertifizierungen und Nachweise: ISO 27001 zertifiziert (MSSP hat eigene Zertifizierung), SOC 2 Type 2 (für US-Kunden besonders relevant), BSI-Qualifikation (für KRITIS-relevante Unternehmen), ENISA-konform (EU-Anforderungen); Mitarbeiterzertifizierungen: CISSP, CISM, GIAC-Zertifikate
  2. Technische Fähigkeiten: Welches SIEM? (Microsoft Sentinel: Cloud-nativ; Splunk: mächtig); eigene Threat Intelligence oder nur externe Feeds?; IR-Fähigkeit: können sie aktiv eingreifen wenn nötig?; MDR-Fähigkeit: Endpoint Isolation, Account Lockout?
  3. Reaktionszeiten (SLA): Critical Alert → Eskalation: < 15 Minuten?; Incident Response vor Ort: < 4 Stunden?; Wann kommt Bericht bei kritischem Incident?; Vertragsstrafe bei SLA-Verletzung?
  4. Datenschutz und Datenresidenz: Wo wird SIEM betrieben? (Rechenzentrum in Deutschland/EU?); Werden Logs in die USA übertragen? (Datenschutzproblem!); DSGVO-konformer AVV mit MSSP abgeschlossen?; Subunternehmer des MSSP: wer hat Zugriff auf Kundendaten?
  5. Unternehmens-Referenzen: Kunden in ähnlicher Branche und Größenordnung, reale Incident-Response-Erfahrung (nicht nur theoretisch), Reference Call mit bestehenden Kunden

Typische MSSP-Preismodelle:

  • Per Endpunkt/Asset: X EUR pro überwachten Endpunkt/Monat - skalierbar und transparent
  • Per Log-Volume (EPS): X EUR pro Events per Second - nicht vorhersehbar, kann teuer werden
  • Paketpreise: Starter 5-15 EUR/Endpunkt/Monat (Basic Monitoring), Professional 20-40 EUR/Endpunkt/Monat (+ Threat Hunting), Enterprise individuell (+ MDR + IR-Retainer)

Beispiel für 200-Mitarbeiter-Unternehmen:

PostenKosten/Monat
MSSP, 200 Endpunkte à 25 EUR5.000 EUR
SIEM-Log-Volumen2.000 EUR
IR-Retainer (20h)3.000 EUR
Gesamt~10.000 EUR

Vergleich: internes SOC mit 2 Vollzeit-Analysten + SIEM = ~250.000+ EUR/Jahr → MSSP günstiger bei 24/7 statt 8/5 Abdeckung.

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Incident Response

9 Min. Lesezeit

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

13 min Lesezeit

Verwandte Begriffe

MDR (Managed Detection & Response) SIEM SOC (Security Operations Center) XDR (Extended Detection & Response)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung