IT-Compliance für MSPs: Wie man ein skalierbares Geschäftsmodell aufbaut

Compliance hat sich still und leise zu einer der wirtschaftlich wichtigsten Kompetenzen entwickelt, die ein MSP aufbauen kann. Die Kombination aus zunehmender regulatorischer Komplexität, steigenden Anforderungen bei der Unternehmensbeschaffung und dem wachsenden Bewusstsein der Kunden für ihre eigenen Compliance-Verpflichtungen hat eine Nachfrage nach Compliance-Management-Dienstleistungen geschaffen, die die meisten KMU und mittelständischen Unternehmen intern einfach nicht bewältigen können.

Laut dem „Kaseya State of the MSP Report 2026“ geben 71 % der MSPs an, dass Cybersicherheitsprobleme eine der größten geschäftlichen Herausforderungen darstellen. Das Compliance-Management wird für MSPs zunehmend zum Mittel, um zu zeigen, dass sie diese Herausforderung im Auftrag ihrer Kunden angehen. MSPs, die die Compliance-Landschaft verstehen, wissen, welche Rahmenwerke gelten, wie sich diese überschneiden und wie sie Compliance als skalierbaren Managed Service bereitstellen können, gewinnen Unternehmenskunden, erzielen Premium-Preise und bauen Servicebeziehungen mit hoher Kundenbindung auf.

Die Compliance- und Sicherheitsplattform von Kaseya wird weltweit von Tausenden von MSPs genutzt und verschafft uns einen klaren Überblick darüber, wo Compliance-Maßnahmen im operativen Bereich erfolgreich sind und wo sie ins Stocken geraten.

Dieser Leitfaden bietet einen umfassenden Überblick: Was IT-Compliance für MSPs bedeutet, welche Rahmenbedingungen Sie und Ihre Kunden kennen müssen und wie Sie ein Compliance-Geschäft aufbauen, das echte Gewinne abwirft.

Was bedeutet IT-Compliance?

Unter IT-Compliance versteht man die Richtlinien, Kontrollmaßnahmen und Prozesse, die Unternehmen befolgen müssen, um gesetzliche, behördliche und vertragliche Anforderungen hinsichtlich der Verwaltung und Sicherung von Daten und IT-Systemen zu erfüllen. Diese Anforderungen werden von Aufsichtsbehörden auf Bundes-, Landes- und internationaler Ebene festgelegt und richten sich nach der Branche, der Art der Daten und dem geografischen Standort.

Für MSPs spielt die IT-Compliance auf zwei Ebenen gleichzeitig eine Rolle. Zum einen gibt es die Compliance-Verpflichtungen, die für Ihr eigenes Unternehmen als Dienstleister gelten, der Kundendaten verarbeitet. Zum anderen gibt es die Compliance-Verpflichtungen, die für die Unternehmen Ihrer Kunden gelten und bei deren Erfüllung Sie diese aufgrund vertraglicher Vereinbarungen oder Ihrer Position unterstützen können.

Die meisten MSPs werden gleichzeitig zu beiden Themen befragt. Und zunehmend ist es die Fähigkeit, diese Fragen mit Belegen statt nur mit Versprechungen zu beantworten, die den Unterschied ausmacht zwischen den MSPs, die Großkunden gewinnen, und denen, die schon frühzeitig aussortiert werden.

Was ist der Zweck der IT-Compliance?

Ziel ist es, die Sicherheit und Integrität der digitalen Ressourcen eines Unternehmens zu schützen und Aufsichtsbehörden, Kunden und Partnern die Gewissheit zu geben, dass angemessene Kontrollmaßnahmen vorhanden sind. Die Nichteinhaltung von Vorschriften ist nicht nur ein rechtliches Risiko: Sie führt zu direkten geschäftlichen Risiken durch Geldstrafen, Vertragsverluste, Ausschlüsse aus Cyberversicherungen und Reputationsschäden. DSGVO werden mit Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet, je nachdem, welcher Betrag höher ist. Strafrechtliche Sanktionen nach dem HIPAA können bis zu 250.000 US-Dollar pro Verstoß betragen und Freiheitsstrafen nach sich ziehen. Geldstrafen wegen Sicherheitsverletzungen nach dem PCI DSS können bis zu 500.000 US-Dollar pro Vorfall betragen.

Abgesehen von Strafen werden Auftraggeber und Kunden in regulierten Branchen nicht mit Dienstleistern zusammenarbeiten, die keine konformen Praktiken nachweisen können. Compliance wird zunehmend zu einer grundlegenden geschäftlichen Anforderung und ist nicht mehr nur eine regulatorische Vorgabe.

Warum Compliance zu einer zentralen Chance für MSPs geworden ist

Mehrere sich verstärkende Trends haben dazu geführt, dass sich die IT-Compliance von einem Spezialgebiet zu einem Kerngeschäftsfeld für wettbewerbsfähige MSPs entwickelt hat.

Ausweitung der regulatorischen Anforderungen. Ab 2024 ist die CMMC-Zertifizierung in den Lieferketten des Verteidigungsministeriums vertraglich vorgeschrieben. Die NIS2-Richtlinie trat im Oktober 2024 in Kraft und umfasst ausdrücklich MSPs als betroffene Unternehmen. PCI DSS v4.0 wurde im März 2024 verbindlich. Die Aktualisierung der HIPAA-Sicherheitsvorschriften ist im Gange. Der Umfang der regulatorischen Anforderungen nimmt zu und stabilisiert sich nicht.

Anforderungen im Unternehmensbeschaffungswesen. Unternehmenskunden verlangen zunehmend dokumentierte Compliance-Nachweise, SOC-2-Typ-II-Berichte, ISO-27001-Zertifizierungen und HIPAA-Geschäftspartnervereinbarungen, bevor sie Dienstleister beauftragen. MSPs ohne diese Nachweise werden bereits im Vorfeld aus den Verkaufsprozessen von Unternehmen ausgeschlossen.

Anforderungen an Cyberversicherungen. Versicherer verlangen mittlerweile als Voraussetzung für den Versicherungsschutz den Nachweis spezifischer Sicherheitsmaßnahmen, Multi-Faktor-Authentifizierung (MFA) für alle Konten, Endpoint Detection and Response (EDR), getestete Backups, Patch-Management sowie dokumentierte Pläne zur Reaktion auf Sicherheitsvorfälle. Die Unterstützung von Kunden bei der Umsetzung und Dokumentation dieser Maßnahmen ist eine Compliance-Dienstleistung, die für sie einen direkten finanziellen Nutzen hat.

Kundenbewusstsein. Unternehmen in regulierten Branchen sind sich zunehmend bewusst, dass sich ihre Compliance-Verpflichtungen auch auf ihre Dienstleister erstrecken. Sie stellen Fragen, die sie zuvor nie gestellt haben, und MSPs, die diese nicht beantworten können, verlieren Aufträge an diejenigen, die dazu in der Lage sind.

Die Compliance-Verpflichtungen des MSP

Bevor ein MSP Compliance-Dienstleistungen an Kunden verkauft, muss er sich zunächst mit seiner eigenen Compliance-Situation auseinandersetzen. Die damit verbundenen Verpflichtungen sind erheblich und werden oft unterschätzt.

HIPAA. Jeder MSP, der die IT für Kunden im Gesundheitswesen verwaltet, die mit geschützten Gesundheitsdaten (PHI) umgehen, gilt im Sinne des HIPAA als Geschäftspartner. Eine unterzeichnete Geschäftspartnervereinbarung ist gesetzlich vorgeschrieben. Die Sicherheitsvorschriften, die sich auf Multi-Faktor-Authentifizierung, Verschlüsselung, Protokollierung von Audits und die Reaktion auf Vorfälle beziehen, gelten unmittelbar für Ihre Umgebung.

NIS2. MSPs fallen als Anbieter von managed services ausdrücklich in den Anwendungsbereich von NIS2. Wenn Sie Kunden in der EU in den betroffenen Sektoren haben oder innerhalb der EU tätig sind, gelten die NIS2-Verpflichtungen unmittelbar für Ihr Unternehmen.

CMMC. MSPs, die IT-Dienstleistungen für Auftragnehmer des Verteidigungsministeriums in Umgebungen erbringen, in denen kontrollierte nicht klassifizierte Informationen (CUI) vorhanden sind, müssen unter Umständen CMMC-Anforderungen für ihre eigenen Systeme erfüllen, nicht nur für die ihrer Kunden.

PCI DSS. MSPs, deren Dienstleistungen die Sicherheit von Umgebungen mit Karteninhaberdaten betreffen, gelten im Rahmen des PCI DSS als Dienstleister und unterliegen gemäß diesem Standard ihren eigenen spezifischen Compliance-Verpflichtungen.

Vertragliche Anforderungen. Unternehmens- und Behördenkunden legen in Verträgen regelmäßig Compliance-Anforderungen fest. Diese sind unabhängig von etwaigen direkten behördlichen Vorschriften verbindlich.

Das eigene Compliance-Programm eines MSP ist kein von den angebotenen Compliance-Dienstleistungen getrenntes Projekt. Es bildet vielmehr die Grundlage für die Glaubwürdigkeit. Ein MSP, der die Standards, die er seinen Kunden verkauft, nicht selbst erfüllt, gerät in eine wirtschaftlich prekäre Lage, sobald ein Kunde Nachweise für die eigene Compliance des MSP verlangt. Bei sich selbst anzufangen, ist sowohl ethisch als auch wirtschaftlich klug.

IT-Compliance-Rahmenwerke, die MSPs kennen müssen

Zu wissen, welche Rahmenwerke wo zur Anwendung kommen, ist die Grundlage jedes Compliance-Projekts. Hier finden Sie eine praktische Übersicht über die Rahmenwerke, die im MSP-Kontext am wichtigsten sind.

HIPAA

Der Health Insurance Portability and Accountability Act regelt den Umgang mit geschützten Gesundheitsdaten (PHI) durch alle Organisationen im US-Gesundheitswesen, einschließlich MSPs, die als Geschäftspartner eingestuft sind. Die technischen Sicherheitsvorkehrungen gemäß der HIPAA-Sicherheitsvorschrift umfassen Zugriffskontrollen, Protokollierung von Prüfvorgängen, Verschlüsselung und Integritätskontrollen. Die Einhaltung der HIPAA-Vorschriften ist für MSPs, die Kunden im Gesundheitswesen betreuen, keine Option; die Geschäftspartnervereinbarung macht sie zu einer vertraglichen Verpflichtung.

PCI DSS

Der Payment Card Industry Data Security Standard (PCI DSS) schützt die Daten von Karteninhabern, unabhängig davon, wo diese gespeichert, verarbeitet oder übertragen werden. Alle Händler, die Zahlungskarten akzeptieren, sind zur Einhaltung dieser Vorschriften verpflichtet, und Dienstleister, einschließlich MSPs, die Zugriff auf diese Umgebungen haben, unterliegen ebenfalls eigenen Compliance-Verpflichtungen. PCI DSS v4.0 ist seit März 2024 verbindlicher Standard. Die Bußgelder für Verstöße können bis zu 500.000 US-Dollar pro Vorfall betragen.

CMMC

Das Rahmenwerk der „Cybersecurity Maturity Model Certification“ (CMMC) dient dem Schutz der industriellen Basis des Verteidigungssektors. Ab 2024 ist die CMMC-Zertifizierung in den Lieferketten des Verteidigungsministeriums vertraglich vorgeschrieben. MSPs, die Verteidigungsunternehmen betreuen, müssen die Anforderungen der CMMC-Stufen 1 (grundlegende Cyberhygiene) und 2 (in Anlehnung an NIST SP 800-171) kennen – sowohl für ihre Kunden als auch potenziell für ihre eigenen Umgebungen, in denen vertrauliche Informationen (CUI) verarbeitet werden.

DSGVO

Die Datenschutz-Grundverordnung gilt für jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig davon, wo sich der Sitz der Organisation befindet. Für MSPs bedeutet dies in der Regel, dass sie Datenverarbeitungsvereinbarungen mit EU-Kunden abschließen und die Anforderungen in Bezug auf Datensicherheit, Meldung von Datenschutzverletzungen und Rechte der betroffenen Personen einhalten müssen. DSGVO können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.

NIS2

Die NIS2-Richtlinie, die im Oktober 2024 in allen EU-Mitgliedstaaten in Kraft getreten ist, ist für MSPs von besonderer Bedeutung, da sie Managed Service Provider ausdrücklich in ihren Anwendungsbereich einbezieht. Die Anforderungen umfassen Risikomanagement, Meldung von Vorfällen, Sicherheit der Lieferkette sowie technische Mindestkontrollen, darunter MFA, Verschlüsselung und der Umgang mit Sicherheitslücken.

NIST CSF

Das NIST-Cybersicherheits-Framework ist ein freiwilliges US-amerikanisches Rahmenwerk, das auf fünf Funktionen basiert: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Es wird häufig in Verträgen, Anträgen auf Cyberversicherungen und Sicherheitsbewertungen für Kunden herangezogen. NIST SP 800-171 ist die verbindliche Version, die für Organisationen gilt, die vertrauliche Informationen (CUI) für die US-Bundesregierung verarbeiten, und bildet die Grundlage für CMMC Level 2.

SOC 2

SOC-2-Berichte werden von unabhängigen Wirtschaftsprüfern erstellt und bewerten die Kontrollmechanismen eines Dienstleisters in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. SOC 2 Typ II, der einen bestimmten Zeitraum und nicht nur einen bestimmten Zeitpunkt abdeckt, wird von Unternehmenskunden zunehmend als Voraussetzung für die Beauftragung eines Dienstleisters verlangt. Für MSPs stellt die Erstellung eines eigenen SOC-2-Typ-II-Berichts ein wichtiges Wettbewerbsmerkmal dar.

SOX

Der Sarbanes-Oxley Act regelt die Finanzberichterstattung für börsennotierte US-Unternehmen und einige private Unternehmen. MSPs, die börsennotierte Kunden betreuen, können mit SOX-Anforderungen in Bezug auf die Integrität von Finanzdaten, Prüfpfade und Zugriffskontrollen für Finanzsysteme konfrontiert werden.

FISMA

Das Bundesgesetz über das Informationssicherheitsmanagement (FISMA) gilt für US-Bundesbehörden und deren Auftragnehmer. MSPs, die Kunden der Bundesregierung betreuen, müssen die FISMA-Anforderungen kennen, die eng an die NIST-Standards angelehnt sind. Für Cloud-Dienstleister, die Bundesbehörden betreuen, ist eine FedRAMP-Zulassung erforderlich.

Prüfung der Einhaltung von Vorschriften für Ihre Kunden

Eine effektive Erbringung von Compliance-Dienstleistungen beginnt mit einer genauen Ermittlung der für jeden Kunden geltenden Rahmenbedingungen. Ein Compliance-Fragebogen, der bei der Kundenaufnahme ausgefüllt wird, verhindert, dass bei einem Vorfall oder einer Prüfung Lücken im Anwendungsbereich entdeckt werden.

Wichtige Fragen zur Abgrenzung des Projektumfangs:

Branche: Das Gesundheitswesen unterliegt den HIPAA-Vorschriften. Finanzdienstleister in New York unterliegen den Vorschriften des NY DFS. Die Zahlungskartenabwicklung unterliegt den PCI-DSS-Vorschriften. Rüstungsunternehmen unterliegen den CMMC-Vorschriften. In der EU tätige Organisationen unterliegen den NIS2-Vorschriften. Jede Branche hat ein primäres Regelwerk, und die meisten Organisationen müssen mehr als eines davon erfüllen.

Betroffene Personen: Die Verarbeitung von Daten über Personen mit Wohnsitz in der EU unterliegt DSGVO. Daten über Personen mit Wohnsitz in Kalifornien, die die Schwellenwerte des CPRA überschreiten, unterliegen den Verpflichtungen des CPRA.

Kundengröße und Verträge: Unternehmenskunden verlangen von ihren Dienstleistern fast immer Nachweise gemäß SOC 2 oder ISO 27001. Bei Bundesverträgen kommen FISMA, FIPS und möglicherweise FedRAMP zum Tragen. Bei Verträgen mit dem Verteidigungsministerium (DoD) kommt CMMC hinzu.

Cyberversicherung: Prüfen Sie die Versicherungspolicen Ihrer Kunden sorgfältig. Versicherer legen mittlerweile technische Kontrollmaßnahmen als Voraussetzung für den Versicherungsschutz fest. Die Nichteinhaltung der MFA- oder EDR-Anforderungen eines Versicherers stellt eine Compliance-Lücke dar, die für den Kunden unmittelbare finanzielle Folgen hat, unabhängig von etwaigen behördlichen Auflagen.

Ein typischer MSP, der 40 bis 60 Kunden aus den Bereichen Gesundheitswesen, Finanzdienstleistungen und allgemeine KMU betreut, hat möglicherweise zehn bis 15 Kunden mit aktiven HIPAA-Verpflichtungen, fünf oder sechs mit PCI-DSS-Risiken und eine wachsende Zahl von Großkunden, die nach SOC 2 fragen. Nur wenn man den Umfang jedes einzelnen Falls von Anfang an richtig einschätzt, wird die Compliance-Praxis skalierbar statt reaktiv.

Compliance als Managed Service: die 3 Servicestufen

Die meisten MSPs gliedern ihre Compliance-Dienstleistungen in Stufen ein, die den zunehmenden Umfang der Leistungen und die entsprechenden Preisklassen widerspiegeln.

Stufe 1: Grundlagen der Compliance

Implementieren Sie Sicherheitsmaßnahmen, die gleichzeitig den Großteil der Anforderungen der meisten Rahmenwerke abdecken. Der Kernsatz an Sicherheitsmaßnahmen ist einheitlich: Multi-Faktor-Authentifizierung für alle Konten, automatisiertes Patch-Management, EDR, Datensicherung und Notfallwiederherstellung mit getesteter Wiederherstellung, Audit-Protokollierung über die vorgeschriebenen Aufbewahrungsfristen sowie Schulungen zur Sensibilisierung für Sicherheitsfragen mit Phishing-Simulationen.

Diese grundlegende Ebene erfüllt in einem einzigen Schritt die Anforderungen 6 bis 10 des PCI DSS, die technischen Sicherheitsvorkehrungen der HIPAA-Sicherheitsvorschriften, die Mindestanforderungen gemäß Artikel 21.2 der NIS2, die CIS-Kontrollen IG1 sowie die Funktionen „Protect“ und „Detect“ des NIST CSF. Für viele KMU-Kunden deckt Level 1 den Großteil ihrer Compliance-Anforderungen ab. Zudem liefert es den Nachweis, dass diese Kontrollen tatsächlich funktionieren.

Stufe 2: Konformitätsbewertung und Lückenmanagement

Rahmenspezifische Lückenanalyse im Hinblick auf die für den Kunden geltenden Anforderungen. Ein Systemsicherheitsplan oder eine gleichwertige Dokumentation. Ein Aktions- und Meilensteinplan (POA&M) zur Nachverfolgung der Abhilfemaßnahmen. Vierteljährliche Besprechungen zur Überprüfung der Compliance. Systematische Sammlung von Nachweisen zur Vorbereitung auf Audits. Diese Stufe richtet sich an Kunden, die ein dokumentiertes Compliance-Programm benötigen und nicht nur Sicherheitskontrollen.

Nehmen wir das Beispiel einer 200-köpfigen Wirtschaftsprüfungsgesellschaft, die gerade einen Großkunden verloren hat, weil sie keine Nachweise für SOC-2-Kontrollen vorlegen konnte. Ein Level-2-Auftrag bietet ihr eine Lückenanalyse anhand der Trust Services Criteria, einen Maßnahmenplan zur Behebung von Mängeln sowie ein dokumentiertes Compliance-Programm, das sie dem nächsten potenziellen Großkunden vorlegen kann, während sie auf eine formelle Prüfung hinarbeitet.

Stufe 3: Vorbereitung auf das Audit und Unterstützung bei der Zertifizierung

Umfassende Unterstützung bei Bewertungen durch Dritte. Dazu gehören die Vorbereitung auf ein Audit durch einen Qualified Security Assessor (QSA) für PCI DSS, eine C3PAO-Bewertung für CMMC Level 2, ein CPA-Audit für SOC 2 oder ein Zertifizierungsaudit nach ISO 27001. Die Zusammenstellung von Nachweisen, Überprüfungen der Bereitschaft vor der Bewertung sowie die Betreuung während des Audits gehören ebenfalls zum Leistungsumfang. Diese Stufe erfordert fundiertes Fachwissen und rechtfertigt einen höheren Preis. Nicht jeder MSP beginnt hier, aber es ist ein logisches Ziel für diejenigen, die eine ernsthafte Compliance-Praxis aufbauen.

Aufbau der Evidenz-Engine

Der operativ anspruchsvollste Teil des Compliance-Managements ist die kontinuierliche Sammlung von Nachweisen. Nachweise sind Unterlagen, die belegen, dass Kontrollmaßnahmen nicht nur konzipiert, sondern auch tatsächlich umgesetzt werden. Ohne sie existiert Compliance nur auf dem Papier und bricht bei jeder Prüfung durch einen Auditor zusammen.

Beweisarten, die in den gängigsten Rahmenwerken von Bedeutung sind:

Nachweis zur Patch-Verwaltung: Berichte zur Patch-Compliance, aus denen hervorgeht, welche Patches wann installiert wurden und welche noch ausstehen, einschließlich einer Dokumentation der Ausnahmen. VSA erstellt diese automatisch. Dieser Nachweis erfüllt die Anforderungen von PCI DSS 6, die technischen Sicherheitsmaßnahmen der HIPAA-Sicherheitsvorschriften sowie die Anforderungen CMMC AC.1.001 und SI.1.210.

Nachweis der MFA-Abdeckung: Authentifizierungsberichte, aus denen der MFA-geschützte Zugriff auf alle Benutzerkonten und Verwaltungsschnittstellen hervorgeht. Dies ist mittlerweile eine Grundvoraussetzung für Cyberversicherungen und wird ausdrücklich in NIS2, CMMC und HIPAA genannt.

Überprüfung der Datensicherung: Protokolle zum Abschluss der Datensicherung, Ergebnisse der Screenshot-Überprüfung und Aufzeichnungen zu Wiederherstellungstests. Datto BCDR erstellt diese automatisch. Die getestete Wiederherstellung ist eine spezifische Anforderung gemäß Artikel 21 der NIS2-Richtlinie und eine Standardbedingung für Cyberversicherungen.

Ergebnisse des Schwachstellenscans: Berichte, die identifizierte Schwachstellen, den Status der Behebung sowie eine Dokumentation der Ausnahmen mit geschäftlicher Begründung enthalten. Erforderlich gemäß PCI DSS, CMMC und NIST SP 800-171.

Prüfprotokolle: Aufbewahrung von Zugriffsprotokollen über die vorgeschriebenen Zeiträume. Die HIPAA schreibt eine Aufbewahrungsfrist von sechs Jahren vor. Der PCI DSS schreibt eine Aufbewahrungsfrist von 12 Monaten vor, wobei die Protokolle für 90 Tage sofort verfügbar sein müssen. Die Aufbewahrungsfristen für Protokolle variieren; die Kenntnis der Anforderungen der einzelnen Rahmenwerke, denen Ihr Kunde unterliegt, ist Teil unserer Dienstleistung.

Aufzeichnungen zu Schulungen zur Sensibilisierung für Sicherheitsfragen: Abschlussquoten der Schulungen und Ergebnisse der Phishing-Simulationen von BullPhish ID. Vorgeschrieben gemäß HIPAA, CMMC und NIS2. Versicherer fordern diese regelmäßig an.

Reaktion auf Vorfälle: Vorfallprotokolle, Zeitpläne für die Reaktion und Nachbesprechungen. In praktisch jedem Rahmenwerk vorgeschrieben.

Der entscheidende Faktor für die Effizienz bei der Einhaltung von Compliance-Vorgaben liegt in der Automatisierung der Nachweiserfassung statt der manuellen Erstellung von Berichten. MSPs, die Nachweise direkt aus Betriebswerkzeugen, RMM-Systemen, Backup-Plattformen und Sicherheitstools in einen Compliance-Management-Workflow einbinden, haben einen strukturellen Kostenvorteil gegenüber denen, die Nachweisdokumente manuell zusammenstellen. Dieser Vorteil verstärkt sich bei jedem Kunden und in jedem Verlängerungszyklus.

Dienstleistungen zur Einhaltung von Preis- und Verpackungsvorschriften

Compliance-Dienstleistungen erzielen deutlich höhere Preise als herkömmliche managed services sie eine messbare Risikominderung bieten und Geschäftsaktivitäten, Vertragsberechtigungen sowie Versicherungsschutz ermöglichen, die Kunden benötigen und anderswo nicht erhalten können. Einige praktische Anhaltspunkte für die Preisgestaltung:

Compliance-Grundlage: Als Sicherheits-Baseline-Add-on für alle verwalteten Clients bündeln. Die Abrechnung erfolgt als Aufschlag auf den Basisvertrag pro Gerät oder pro Benutzer. Damit werden Compliance-Kontrollen als Standard und nicht als Option positioniert, was den richtigen geschäftlichen Rahmen bildet.

Rahmenwerksspezifische Bewertung: Projektbeauftragung mit Festpreis, deren Umfang auf das jeweilige Rahmenwerk und die jeweilige Umgebung zugeschnitten ist. Die Kosten liegen in der Regel zwischen 5.000 und 25.000 US-Dollar oder mehr für eine vollständige Bewertung mit Dokumentation, je nach Komplexität der Umgebung und den Anforderungen des Rahmenwerks.

Laufendes Compliance-Management: Monatliches Pauschalhonorar für die kontinuierliche Programmverwaltung, die Erfassung von Nachweisen, die Nachverfolgung von Lücken, die Pflege von Richtlinien sowie vierteljährliche Überprüfungen. Der Preis richtet sich nach der Anzahl der verwalteten Rahmenwerke und der Größe der Kundenumgebung.

Unterstützung bei der Prüfungsvorbereitung: Projektbezogener Auftrag im Vorfeld einer externen Prüfung. Der Mehrwert ist hoch, die Preisgestaltung spiegelt dies wider, und das Ergebnis ist greifbar: ein Kunde, der seine Prüfung besteht.

MSPs, die Compliance als eine Dienstleistung zur Risikominderung präsentieren, die an konkrete Ergebnisse geknüpft ist (das ist es, was Ihre Versicherungsfähigkeit sicherstellt, das ist es, was Ihre Berechtigung für diesen Regierungsauftrag gewährleistet), können solche Aufträge weitaus erfolgreicher akquirieren und binden als diejenigen, die Compliance lediglich als das Abhaken einer Checkliste darstellen.

Der Tool-Stack für die Umsetzung der MSP-Compliance

Ein umfassender Compliance-Delivery-Stack vereint vier Funktionen.

Plattform für das Compliance-Management. Compliance Manager GRC von Kaseya bietet Multi-Framework-Bewertung, Kontrollzuordnung, Nachweismanagement, POA&M-Nachverfolgung und Berichterstellung. Es unterstützt HIPAA, DSGVO, CMMC, NIST, PCI DSS, SOC 2, ISO 27001, CIS Controls, NY DFS, NIS2 und andere Frameworks über eine einzige Schnittstelle, die speziell für das Multi-Client-MSP-Modell entwickelt wurde.

Implementierung von Sicherheitskontrollen. Die Kaseya 365 bietet die operativen Tools, die im Rahmen der Bereitstellung managed services als Nebenprodukt Nachweise für die Einhaltung von Vorschriften liefern: VSA für Patch-Management und Schwachstellenscans, Datto EDR für die Endpunktüberwachung, Datto BCDR für Backup und Wiederherstellung, BullPhish ID Schulungen zur Sensibilisierung für Sicherheitsfragen und Inky für E-Mail-Sicherheit. Jedes dieser Tools generiert die Nachweisdokumente, die von Compliance-Rahmenwerken gefordert werden.

IT-Dokumentation. IT Glue die Speicherung von Richtlinien, Kontrolldokumentation, Bestandsaufzeichnungen und kundenspezifische Konfigurationsdokumentation, die Compliance-Rahmenwerke als Teil eines dokumentierten Programms vorschreiben.

Integrationsvorteil. Die von operativen Tools erfassten Nachweise können direkt in Compliance Manager GRC eingespeist werden, wodurch operative Daten ohne manuelle Aufbereitung in Compliance-Nachweise umgewandelt werden. Für einen MSP, der 30 oder 40 Kunden im Rahmen aktiver Compliance-Programme betreut, ist es genau diese Integration, die das Geschäftsmodell rentabel macht.

Entdecken Sie die Compliance- und Sicherheitsplattform von Kaseya