Case Study: Schwachstellenanalyse als Wegbereiter für Managed Security Services

Ein IT-Systemhaus bietet maßgeschneiderte Managed Security Services und setzt bei der Kundenansprache auf Echtzeit-Fakten durch automatisierte Schwachstellenanalysen. Das macht sicherheitskritische Stellen transparent, Schatten-IT sichtbar und bietet konkrete Ansatzpunkte, um über IT-Sicherheit zu sprechen.

Hintergrund

Unser Partner, ein führender Anbieter für holistische Automation mit ergänzenden Managed Security Services, weiß um die prekäre IT-Sicherheitslage von Unternehmen und will die Entscheider gezielt dazu ansprechen. Das Cross Selling bezüglich der Cybersecurity Services erfolgt in der Regel über den Accountmanager innerhalb laufender Automationsprojekte. Das führt hin und wieder zu Missstimmung bei den IT-Admins auf Kundenseite, die dies als Einmischung in ihren Bereich empfinden.

Gleichzeitig gibt es natürlich Neukundenansprachen seitens des Security-Vertriebs. Diese müssen gut vorbereitet sein, wofür häufig die Zeit und in der Tiefe auch mal das Wissen fehlt. In einer Pilotphase setzte das Sales Team erstmals IT-Schwachstellenanalysen von LocateRisk in Form von Managementübersichten in Verkaufsgesprächen ein und war begeistert. „Wir nutzen LocateRisk als Türöffner. Dafür ist das gigantisch gut.“

Lösung

Eine Managementübersicht ist die leicht verständliche Zusammenfassung der automatisiert durchgeführten IT-Schwachstellenanalyse. Dabei werden anhand der Hauptdomain eines Unternehmens, dessen IT-Angriffsfläche aus externer Perspektive untersucht, sicherheitskritische Schwachstellen identifiziert, priorisiert und um Handlungsempfehlungen ergänzt. Die Analyse von außen hat den Vorteil, dass im Gegensatz zu einem Pentest keinerlei Vorbereitungen seitens der IT getroffen werden müssen und sie unbemerkt abläuft. Je nach Unternehmensgröße dauert eine Prüfung zwischen 3 und 48 Stunden. Das Ergebnis ist in zwei spezifischen Berichten aufbereitet: dem interaktiven Detail-Bericht für IT-Verantwortliche und der Managementübersicht für Geschäftsführende. Zusätzlich zeigt der Security-Score das aktuelle IT-Sicherheitsniveau im Vergleich zu 5505 Firmen vergleichbarer Größe an.

Für den Vertrieb erweist sich die externe Sicht auf die unternehmensweite IT-Sicherheitslage als spannende aber unverfängliche Story, um mit Interessenten und Kunden ins Gespräch zu kommen. Da deren Administratoren mit den öffentlich zugänglichen IT-Umgebungen meist nicht alleine betraut sind, sondern Agenturen oder Managed Security Service Provider, fühlen sie sich nicht gleich angegriffen.

Ergebnis

Ein Sales-Kollege mag sich inzwischen nicht mehr vorstellen, ohne die Locaterisk-Berichte in Neukundengespräche zu starten. Ein anderer ergänzt, dass man dann alles wieder von Hand machen müsste und das koste einfach viel zu viel Zeit. Alles in allem, da ist man sich einig, machen die Berichte den Einstieg ins Thema IT-Sicherheit ausgesprochen einfach. Das Interesse ist so groß, dass die meisten Kunden gerne ein Beratungsangebot in Anspruch nehmen, um ausführlich über den Report zu sprechen. Dabei werden oftmals Probleme aufgedeckt, die unmittelbar zu einer Beauftragung der Managed Services führen. 

Managed Security Services – Das Neugeschäft ergibt sich fast von selbst

Gelingt es die IT-Sicherheitsprüfungen als Monitoring bei Kunden zu platzieren, zahlt sich das für alle aus. Denn die wiederkehrenden Analysen helfen den Unternehmen ihre IT-Angriffsfläche dauerhaft zu minimieren und sorgen gleichzeitig beim Systemhaus für wiederkehrende Einkünfte aus dem LocateRisk-Partnervertrag. Darüber hinaus liefern sie den Beratern wichtige Informationen hinsichtlich neuer Kundenbedarfe. Beispielsweise durch Änderungen in der unternehmensweiten, externen IT-Infrastruktur, für die vielleicht zusätzliche Administratoren oder erweiterte Projektunterstützung benötigt werden. Am Ende lautet das Fazit: Wer dank der IT-Schwachstellenanalysen regelmäßig mit Kunden ins Gespräch kommt, bei dem ergibt sich das Neugeschäft für Managed Security Services fast von selbst.

---