Security-Outsourcing hat klare Vorteile

02. April 2007
Wolfgang Miedl arbeitet Autor und Berater mit Schwerpunkt IT und Business. Daneben publiziert er auf der Website Sharepoint360.de regelmäßig rund um Microsoft SharePoint, Office und Social Collaboration.
Extern erbrachte Dienste bieten sich auch im Bereich IT-Sicherheit an, doch viele Anwender zögern noch.

Gegenüber dem Auslagern der IT-Sicherheit scheinen die Anwender nach wie vor starke Vorbehalte zu haben. Einer europaweiten Studie von Forrester zufolge ist derzeit nur etwa ein Drittel der Unternehmen an Managed Security Services (MSS), also extern vergebenen Sicherheitsdienstleistungen, interessiert.

Hier lesen Sie

  • warum viele Firmen dem Security-Outsourcing skeptisch gegenüberstehen;

  • warum in diesem Markt dennoch ein Aufschwung zu erwarten ist;

  • was Managed Security Services versprechen;

  • und welche Unternehmen MSS anbieten.

Die Gründe hierfür lassen sich nach Einschätzung von Gartner-Analyst Tom Scholtz an charakteristischen Punkten festmachen: Schon allein die Diskussion des Themas IT-Sicherheit mit einem Service-Provider wird als hochsensibel eingestuft. Noch schwerer tun sich die Anwender mit dem Gedanken, dass ein externer Dienstleister das Ganze auch noch stellvertretend betreut. Zudem glauben viele Firmen immer noch, nicht verwundbar durch Hacker- und Virenattacken zu sein. Das zeigt die bislang relativ geringe Nachfrage nach externem Perimeter-Monitoring, das den Übergang vom Unternehmensnetz zum Internet überwacht.

Managed Security Services

Viele Anwenderunternehmen in Europa haben noch Vorbehalte.
Viele Anwenderunternehmen in Europa haben noch Vorbehalte.

Gartner definiert MSS dabei als ausgelagertes Überwachen oder Verwalten von Security-Devices, Systemen oder Prozessen. Der Fokus der Anwender lag in den letzten Jahren auf der Sicherung des Perimeters und hatte eine verstärkte Nachfrage nach dem Management von Firewalls, Intrusion-Detection-Diensten, Gateway-Antivirenschutz sowie Bedrohungs- und Patch-Warnungen zur Folge. 2006 verschob sich der Schwerpunkt mehr in Richtung interne Gefahrenabwehr – etwa E-Mail-Filterung am Desktop, Verwaltung der Sicherheitsrichtlinien sowie Indentitäts-Management.

Auch wenn die Firmen noch zögern, insgesamt mehren sich die Anzeichen dafür, dass sich der MSS-Markt in einem Aufschwung befindet. Das zeigt die Umsatzentwicklung der europäischen Security-Outsourcing-Anbieter: Die Analysten von Gartner bescheinigen ihnen für den Zeitraum von 2004 bis 2009 eine durchschnittliche jährliche Wachstumsrate von 14,9 Prozent.

Die Anwender sind am Auslagern von Security interessiert, meint Scholtz: Sie wollen die Kosten senken und sich auf ihre Kernkompetenzen konzentrieren. Da komme auch beim Sicherheitsthema zwangsläufig die Outsourcing-Option auf den Tisch.

Laut Paul Stamp von Forrester sprechen aus Anwendersicht drei Hauptgründe für das Security-Outsourcing:

Einsparungen bei sich wiederholenden Aufgaben: Firewall- oder Antivirus-Monitoring sind zeit- und arbeitsintensiv. Hier können MSS-Anbieter zu deutlich günstigeren Preisen anbieten als die interne IT.

Equipment: Anwender profitieren von den Investitionen eines Dienstleisters in komplexe Techniken, die sich eine einzelne IT-Abteilung nicht leisten kann. Zudem verfügt der Outsourcer über vielfältige Erfahrungen aus unterschiedlichsten Szenarien.

Bessere Nutzung von Spezialwissen: Für viele Disziplinen – etwa digitale Ermittlungen – fehlt es in Unternehmen am Know-how. Einen Vollzeitmitarbeiter für solche Sonderaufgaben abzustellen, wäre für ein Unternehmen unrentabel, und ereignet sich einmal ein entsprechender Vorfall, dürfte kaum genügend Zeit sein, um einen Experten anzuheuern.

Nicht gerade trivial gestaltet sich für die Anwender die Suche nach dem richtigen Provider. Der Markt bietet ein zersplittertes, verwirrendes Bild, geprägt von unzähligen Spezialdisziplinen sowie einer anhaltenden Konsolidierungswelle.

Zwölf wichtige Fragen an Ihren künftigen MSS-Dienstleister

  1. Verfügen Sie über dokumentierte Richtlinien und Prozeduren, die den sicheren Schutz unserer Daten und der über das Unternehmen gesammelten Daten garantieren?

  2. Haben Sie dokumentierte Prozesse zur Überwachung Ihres Personals sowie für die Aus- und Weiterbildung Ihrer Mitarbeiter? Nennen Sie uns bitte die Zahl Ihrer fest angestellten Sicherheitsanalysten, deren Berufserfahrung sowie Ihre jährliche Mitarbeiterfluktuation.

  3. Beschäftigen Sie externe Dienstleister für Service, Installation, Konfiguration, Support und Training?

  4. Erfordern Ihre Services den Einsatz proprietärer Techniken, die wir erwerben müssen? Falls ja, listen Sie alle diesbezüglichen Informationen auf, einschließlich Hardware, Software, Netzwerke, Middleware und Datenbanken.

  5. Müssen wir im Zusammenhang mit Ihren Service- und Supportprodukten Änderungen in unserer Architektur und den Konfigurationen vornehmen? Wie lassen sich die Produkte in unsere Infrastruktur integrieren? Wie wirkt sich das auf Bandbreite, Latenzzeit und Routing aus?

  6. Nach welcher Methodik sammeln, analysieren und berichten Sie Informationen über externe Bedrohungen, Angriffsflächen, mögliche Eindringlinge sowie Attacken? Beschreiben Sie Ihre Kompetenz in der Datenanalyse unterschiedlicher Sicherheitsprodukte. Erklären Sie, wie Sie externe Informationen nutzen und welchen Zugang wir dazu haben werden.

  7. Lässt sich Ihr Benachrichtigungs- und Eskalationsprozess an unsere Bedürfnisse anpassen?

  8. Können wir über Ihr Portal individuelle
    Ad-hoc-Abfragen und Reports erstellen?

  9. Verfügen Sie über dokumentierte Change-Prozesse für Software, Konfigurationen, Hardware sowie Systeme, die in Verbindung mit Ihren Diensten bei uns zum Einsatz kommen?

  10. Können Sie Ihre SLA-Leistungsbeschreibung und den Reporting-Prozess erläutern, ebenso Ihre Problemlösungs- und Eskalationsprozedur? Falls die SLAs nicht erfüllt werden, welche Entschädigungen stehen uns dann zu?

  11. Welche Berechnungsmethode kommt im Fall einer Änderung der SLAs oder bei einer geänderten Anzahl an verwalteten oder überwachten Geräten zum Einsatz?

  12. Welche Garantieleistungen bieten Sie, und wo liegen Ihre vertraglichen Haftungsbeschränkungen? Quelle: Forrester

Dabei sind drei Anbieterkategorien dominant. Zum einen sind die Netzwerk-Provider zu nennen: Sie galten früher weder als unabhängig noch als sicherheitsaffin. Laut Stamp hat sich das Bild jedoch mittlerweile gewandelt. Heute lieferten die Netzwerkspezialisten nicht nur Connectivity, sondern komplette IT-Systeme sowie alle damit verbundenen Sicherheits-Services von der Datenleitung bis zu den Endgeräten.

Die zweite Kategorie, die klassischen IT-Dienstleister, kommen über Geschäftsprozesse als Sicherheitsanbieter ins Spiel. Schließlich sind beim Auslagern betrieblicher Abläufe auch Security-Fragen zu beantworten. Unter Umständen profitieren die Anwender sogar von einer derartigen Konstellation: Da die IT-Sicherheit nur ein Teil eines Groß auftrags ist, könnte sich ihnen mehr Spielraum für Preisverhandlungen eröffnen. Vorsicht ist aber bei kleineren Aufträgen geboten, da die Anbieter hier unter Umständen unflexibel sind – etwa bei Change-Prozessen oder beim Handling von Vorfällen. Reine MSS-Dienstleister wiederum wandeln sich zunehmend zu Spezialisten für das Risiko- und Compliance-Management.

Softwareanbieter mischen mit

Auch die klassischen Anbieter von Security-Software haben die Chancen im Servicesmarkt erkannt. So will Marktführer Symantec 2010 zehn Prozent seines Umsatzes, der dann zehn Milliarden Dollar betragen soll, durch MSS erwirtschaften. Derzeit beträgt dieser Anteil fünf Prozent bei einem Jahresumsatz von fünf Milliarden Dollar. Erst kürzlich hatte Symantec zwei Service-Angebote vorgestellt, die Backup- und Recovery-Prozesse sowie Datenschutz- und Antivirus-Funktionen umfassen und sich als interne sowie als ausgelagerte Dienste beziehen lassen.

Einen hohen Reifegrad attestiert Gartner verwalteten Firewalls sowie Intrusion-Detection- und Vulnerability-Scanning-Services. Qualitative Schwankungen gebe es noch bei Intrusion Prevention, Security Intelligence und bei drahtlosen, mobilen Security-Services. Mittelfristig prognostizieren die Analysten eine Dominanz der Netzwerk- und Telco-Provider, IT-Outsourcer sowie Sicherheits-Beratungshäuser. Langfristig, also bis etwa 2010, würden sich administrative Services wie die Firewall-Konfiguration zum integralen Bestandteil von Outsourcing-Verträgen entwickeln, während der MSS-Markt sich vor allem auf Monitoring-, Scanning- und Response-Dienste konzentrieren werde. Mit vielen neuen Services rechnen die Experten im Bereich Identity-Management, also rund um die Benutzeradministration sowie vertrauensbezogene Dienstleistungen.

Kommentare zum Artikel

comments powered by Disqus