Technische und organisatorische Maßnahmen der Informationssicherheit unterstützen direkt oder mittelbar IT-basierte Geschäftsprozesse. Externe Dienstleister werden selektiv einbezogen, doch einige Unternehmen haben noch Vorbehalte, Dritten Zugriff auf ihre Sicherheitssysteme zu gewähren. Sie bevorzugen primär den Bezug von Support- und Wartungsleistungen, während die Akzeptanz von Managed, Hosting und Shared Services noch relativ gering ausfällt.
Die höchsten Ausgaben für IT-Sicherheit entfallen nach den Planungen mittelständischer und großer Unternehmen in Deutschland auf klassische Netzwerksicherheit und Schutz vor Viren, Würmern und Spam. Laut Studie liegen die betrachteten Security-Felder alle in einem relativ engen Korridor, wobei kein Einzelthema mit großen bis sehr großen Ausgaben bedacht wird. Allerdings sind bei den größeren Firmen deutlich höhere geplante Ausgaben für Identity & Access Management und Mobile Security zu verzeichnen als im gehobenen Mittelstand.
Die Studie zeigt auch den Einsatz von Technologien, die den Geschäftsprozess mittelfristig verbessern sollen. Demnach setzen drei Viertel der befragten Unternehmen auf server-basierte Anwendungen, mit denen Mitarbeiter online arbeiten. Es folgen mit 70 Prozent web-basierte Lösungen, bei denen Anwendungen selbst Daten austauschen. 57 Prozent der Firmen wollen elektronische Dokumente nutzen, wobei für 48 Prozent diese auch einen Teil des Workflows abbilden und die entsprechenden Regeln durchsetzen sollten. 38 Prozent wollen solche Dokumente nutzen, deren Inhalte elektronisch lesbar und in Zielsysteme importierbar sind.
Die Akzeptanz für externe Services bei Sicherheits-Analysen, Penetrations-Tests sowie Schutzbedarfs- und Risiko-Analysen ist hoch. Rund drei Viertel der Befragten würden externen Beratern entsprechende Aufgaben anvertrauen, um das Sicherheits-Niveau einschätzen und weitere erforderliche Maßnahmen ableiten zu können. 52 Prozent nutzen entweder ausschließlich oder ergänzend eigene IT-Sicherheits-Spezialisten und 48 Prozent eigenes IT-Personal allgemein.
Bei der Erstellung von Sicherheitskonzepten, dem Entwerfen und Implementieren von Prozessen, ICT-Architekturen und Maßnahmenkatalogen halten sich externe und interne Security-Spezialisten nach den Vorstellungen der Befragten die Waage. Fast 80 Prozent und damit die Mehrheit der Unternehmen würden die Auswahl und Implementierung konkreter Sicherheitslösungen einschließlich der dazu notwendigen Prozesse dem Dienstleister übertragen, der auch die Beratung erbracht hat.
Für die Konzeption und Integration von Netzwerk- und Server-basierten IT-Sicherheitslösungen favorisieren 73 Prozent der befragten Firmen eine Realisierung durch die eigene IT-Abteilung gemeinsam mit einem externen Dienstleister. Für 23 Prozent kommt dagegen eine rein interne Abwicklung in Frage.
Beim Schutz von Arbeitsplatzrechnern und mobilen Endgeräten liegt dieser Wert nur bei 53 Prozent. Dementsprechend ist auch der Anteil der Firmen, die eine interne Realisierung bevorzugen, mit 43 Prozent höher. Bei beiden Themen lagern nur drei Prozent diese Leistungen komplett aus. Auch hier zeigt sich, dass große Mittelständler eher zum Outsourcing von Netzwerk- und Desktop-bezogenen Themen bereit sind als Großunternehmen.
Ruhig auch auf Externe setzen
Anwenderunternehmen sollten die übergeordnete Verantwortung für IT-Sicherheit immer im eigenen Haus halten, gleichzeitig aber externe Dienstleister auch im Bereich Security stärker heranziehen, empfiehlt Experton Group. Das bedeutet: Strategische Themen wie Architektur, Policy- und Risiko-Management müssen als interne Funktionen vorhanden und ausgeführt werden. Dabei macht es durchaus Sinn, externe Unterstützung in Form von Schulung ergänzend in Anspruch zu nehmen.
Technologische Spezialthemen, für die das Unternehmen keine eigenen Ressourcen aufbauen möchte, können hingegen in der Regel im Rahmen einzelner Vorhaben weitestgehend von externen Beratern und Entwicklern abgedeckt werden. Für Managed Security Services, also Betriebsdienstleistungen im Sicherheitsumfeld, müssen Funktionen und Kompetenzen im Unternehmen aufrechterhalten werden.
Achtung beim Thema Response
Besondere Vorsicht gilt für das Thema Response. Hier haben Erfahrungen gezeigt, dass die Reaktion auf Sicherheitsprobleme am erfolgreichsten von interner Seite angestoßen und ausgeführt wird. Es sei denn, das Unternehmen hat seine komplette IT ausgelagert.
Für die Untersuchung zu "Security Services & Solutions" befragte Experton Group Sicherheit-Verantwortliche von 120 Unternehmen mit mindestens 500 IT-Nutzern.