UCC-, AV- und Digital Signage-Umgebungen werden immer komplexer. Deshalb setzen viele Unternehmen auf Managed Service Provider (MSPs) – für mehr Effizienz und Skalierbarkeit.
Diese Auslagerung schafft jedoch neue Risiken. „Wird ein Dienstleister kompromittiert, können Angreifer möglicherweise auf mehrere Kundenumgebungen gleichzeitig zugreifen“, sagt Sven Damberger, Managing Partner bei MVC Videra. Dieser Multiplikatoreffekt macht MSPs für Ransomware-Gruppen und Spionageakteure besonders attraktiv. Gleichzeitig betreiben sie kritische Systeme mit wertvollen Daten – von Kommunikationsmetadaten bis zu technischen Betriebseinblicken.
Mehrere Layer sind unverzichtbar
MVC Videra – entstanden aus dem Zusammenschluss des deutschen Integrators MVC mit dem finnischen Telko-Unternehmen Elisa Videra – begegnet diesen Risiken mit einem mehrschichtigen Ansatz aus technischen und organisatorischen Maßnahmen. Die Infrastruktur wird durch Tenant-Trennung, Firewalls, VLANs und VRFs strikt segmentiert, während Zugriffe verschlüsselt und fortlaufend überwacht werden.
Ebenso wichtig sind Governance-Strukturen: rollenbasierte Zugriffsrechte, klar definierte Berechtigungen, Audit-Logs und regelmäßige Sicherheitsaudits. „Wir kontrollieren genau, wer worauf und wann zugreifen kann“, sagt Sven Damberger.
Zentrale Angriffsvektoren
Zu den aktuellen Bedrohungen zählen Phishing, kompromittierte Admin-Konten, Ransomware und DDOS-Angriffe. Phishing bleibt dabei ein besonders häufiges Einfallstor, da gehackte Postfächer Angreifern wertvolle Ansatzpunkte für weitere Attacken liefern.
Admin-Konten bergen das größte Risiko und müssen durch Phishing-resistente MFA wie Passkeys oder Hardware-Token geschützt werden. In UCC-Umgebungen nehmen zudem telefoniebezogene Bedrohungen zu, etwa SIP-Missbrauch und Angriffe auf öffentliche Schnittstellen. Da Verfügbarkeit entscheidend bleibt, stellen auch DDOS-Angriffe ein ernstzunehmendes Risiko dar.
Transparenz statt Versprechen
Für Kunden muss sich Sicherheit überprüfen lassen. „Verfügbarkeitsversprechen allein reichen nicht aus“, betont Sven Damberger. MSPs sollten klar darlegen, wie sie Kundenumgebungen trennen, Zugriffe verwalten, Schwachstellen behandeln und Backups sowie Incident Response absichern. Transparenz ist dabei der entscheidende Faktor.

Zertifizierungen wie ISO 27001, 27017, 27018 oder TISAX liefern zwarnützliche Anhaltspunkte, ersetzen aber keine tiefergehende Prüfung. „Sie ersetzen nicht den Blick darauf, wie Sicherheit tatsächlich umgesetzt wird“, ergänzt der Managing Partner.
Europäische Infrastruktur gewinnt an Bedeutung
Datensouveränität entwickelt sich zu einem zentralen Entscheidungsfaktor. Viele Unternehmen suchen nach DSGVO-konformen Alternativen zu globalen Cloud-Anbietern.
MVC Videra betreibt eigene Infrastruktur in Frankfurt und Finnland und gewährleistet damit volle Kontrolle innerhalb des europäischen Rechtsrahmens sowie geo-redundante Ausfallsicherheit an beiden Standorten.
Sicherheit in der Praxis
Cyberresilienz beruht auf konsistenten Prinzipien: Admin-Zugriffe nach dem Least-Privilege-Prinzip, keine gemeinsam genutzten Konten, lückenlose Protokollierung und strikte Netzwerktrennung. Kundenumgebungen werden durch dedizierte Netzwerkstrukturen und kontrollierte Verbindungen voneinander isoliert.
Das Schwachstellenmanagement erfolgt fortlaufend: Sicherheitswarnungen werden täglich ausgewertet, regelmäßige Scans ergänzen den Prozess. Die Backup-Strategie geht über Standardansätze hinaus und kombiniert dedizierte Systeme, standortübergreifende Replikation und Offline-Speicherung. Regelmäßige Wiederherstellungstests sichern die Resilienz auch in realen Szenarien ab.
Ein verbreiteter Irrglaube
Einer der größten Fehler von Unternehmen besteht darin, MSPs pauschal als sicher vorauszusetzen. „Sicherheit entsteht nicht automatisch durch professionellen IT-Betrieb“, stellt Sven Damberger klar. Sie muss vielmehr in Architektur, Prozesse und Unternehmenskultur eingebettet sein.
Bei der Auswahl eines Anbieters sollten IT-Entscheider vor allem auf Nachweisbarkeit achten. Ein vertrauenswürdiger MSP kann seine Sicherheitsarchitektur klar erläutern und kritische Fragen offen beantworten.
„Zertifizierungen helfen, ersetzen aber kein technisches Gespräch“, fasst Sven Damberger zusammen. Entscheidend sei die nachgewiesene Sicherheit in der Praxis.
Cybersecurity & Digital Signage: Neue Update-Zyklen müssen her

