Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

06.06.2006

So klappt das Auslagern der Security

Tanja Möhler
Für Unternehmen können Managed Security Services (MSS) von großem Nutzen sein. Um Enttäuschungen mit Sicherheitsdienstleistern zu vermeiden, sollten Anwender einige Punkte beachten.

Verantwortliche für IT-Sicherheit in Unternehmen sehen sich heute unterschiedlichsten Aufgaben gegenüber: Neben dem nicht enden wollenden Kampf gegen Viren, Würmer, Spam und Spyware müssen sie sich zunehmend auch mit rechtlichen Anforderungen oder dem Risiko-Management auseinandersetzen. Anbieter von Managed Security Services (MSS) versprechen Hilfe: Während sie sich um Routinearbeiten kümmern, sollen sich IT-Manager den wesentlichen Aufgaben widmen können.

Hier lesen Sie …

Fazit

Die Auslagerung von Sicherheitsaufgaben kann Personal und Kosten sparen, vom Risiko-Management entlasten und bessere Systemressourcen ermöglichen. Doch die Wahl eines Managed-Security-Services-Providers ist keine leichte Entscheidung, es gilt zahlreiche Faktoren und Kriterien zu berücksichtigen. Ist die Unsicherheit bei der Auswahl des richtigen Partners und der Wahl der zu übertragenden Aufgaben groß, gleichzeitig die Notwendigkeit für eine Auslagerung aber gegeben, ist die Beauftragung eines Beraters sinnvoll. Dieser kann auch bei der Ausgestaltung des Vertrages und den Kontrollmechanismen helfen.

Tipps für die Wahl des Security-Dienstleisters

• Untersuchen Sie seine Marktpräsenz (Entspricht die Größe des Dienstleisters, die Zahl der Mitarbeiter und Standorte, den Erwartungen? Welche Referenzen kann er vorweisen? Ist seine finanzielle Situation stabil?).

• Sehen Sie sich die Qualifikation und Weiterbildung der Mitarbeiter (Zertifizierungen) an.

• Prüfen Sie die eingesetzten Sicherheitsprodukte und -techniken.

• Achten Sie darauf, nicht von einem bestimmten Hersteller abhängig zu werden.

• Denken Sie an Flexibilität (Werden individuelle Anforderungen berücksichtigt?).

• Machen Sie sich ein Bild von der Zuverlässigkeit und Schnelligkeit, mit der Sicherheitsanforderungen umgesetzt werden.

• Bestehen Sie auf Möglichkeiten, Leistungen des Serviceanbieters zu überprüfen.

• Sorgen Sie für eine klare Rollenverteilung und transparente Service-Level-Agreements.

• Beachten Sie den Aufwand für Koordination und Steuerung der Auslagerung.

• Klären Sie Vertragsdauer und Haftungsfragen.

• Prüfen Sie das Preis-Leistungs-Verhältnis.

• Versuchen Sie, Fixkosten zu vereinbaren, um unliebsame Überraschungen zu vermeiden.

Mehr zum Thema

www.computerwoche.de/

577044: ISS will verstärkt Security-Services anbieten;

557779: Sicherheit à la Itil;

549448: Outsourcing will gut vorbereitet sein.

Glaubt man Analysten, erfreuen sich Managed Security Services (MSS) wachsender Beliebtheit. Nach Angaben der Gartner Group hatte der weltweite MSS-Markt im Jahr 2005 ein Volumen von einer Milliarde Dollar. Dennoch wird die Vision, IT-Sicherheitsdienstleistungen ebenso einfach und unkompliziert zu beziehen wie Strom, Gas oder Wasser, wohl auch weiterhin nur ein Wunschtraum bleiben. Denn nicht immer gestaltet sich die Zusammenarbeit mit einem Managed Security Services Provider (MSSP) reibungslos.

Es gibt zahlreiche Beweggründe, die für eine Zusammenarbeit mit einem MSSP sprechen. Ein wesentlicher Aspekt ist die Personalfrage. Nur wenige Unternehmen verfügen über die notwendigen personellen Kapazitäten, um ihre Sicherheitsinstallationen permanent überwachen und an neue Bedrohungen anpassen zu können. Neben den Kosten für die Rekrutierung von ausgebildetem IT-Personal ist es gerade in der schnelllebigen IT Branche notwendig, das Ausbildungsniveau der beschäftigten Mitarbeiter hoch zu halten. Investitionen in Schulung und Weiterbildung der Mitarbeiter sind daher unumgänglich, um das Know-how und Erfahrungen im Umgang mit Techniken auf den neuesten Stand zu bringen.

Mit Services gegen den Personalmangel

Studien belegen immer wieder, dass europäische Unternehmen Schwierigkeiten damit haben, die von den installierten Sicherheitssystemen stammende Datenflut zeitnah auszuwerten und entsprechende Maßnahmen und Vorkehrungen daraus abzuleiten. Darüber hinaus binden diese Routineaufgaben wertvolle personelle Ressourcen. So ist es in deutschen Unternehmen keine Seltenheit, dass IT-Abteilungen chronisch unterbesetzt und völlig überlastet sind. Wichtige Aufgaben drohen dadurch zu kurz zu kommen.

Eine weitere Gefahr: Meist erfolgt die Überwachung der Sicherheit der Systeme im Unternehmen zu einer anderen Zeit als der, zu der Angriffe erfolgen können. Nicht nur für Unternehmen mit besonderen Auflagen und einem hohen Anspruch an das Sicherheitsniveau ist ein Monitoring 24 Stunden am Tag, sieben Tage die Woche und 365 Tage im Jahr wünschenswert. Angreifer machen schließlich keine Ferien und halten sich auch nicht an reguläre Arbeitszeiten.

Die zunehmende Zahl der Bedrohungen wirkt sich nicht nur nachteilig auf die IT-Sicherheit aus, sie hat auch Einfluss auf das Risiko-Management eines Unternehmens. Zudem steigt der Druck durch rechtliche Rahmenbedingungen. Hier stoßen viele IT-Abteilungen an ihre Grenzen. MSSPs sind in der Lage, Unternehmen bei der Einhaltung gesetzlicher Regelungen wie dem Sarbanes-Oxley Act (Sox) zu unterstützen, indem sie Routineaufgaben übernehmen, entsprechende Reports generieren und zur Verfügung stellen, Prozesse dokumentieren und somit nachprüfbar gestalten.

Mehr Information für das Management

Mit der Auslagerung der Netzsicherheit lassen sich bisweilen auch die System-Ressourcen verbessern. Laut Gartner ist die IT in Unternehmen häufig überdimensioniert, überteuert und im Verhältnis dazu nicht effektiv genug. Im Rahmen der Management- und Monitoring-Aufgaben des Dienstleisters bietet sich die Möglichkeit, Abläufe und Prozesse kritisch zu hinterfragen. Ungünstige Ressourcenverteilungen und Leistungsminderungen werden unter Umständen aufgedeckt und behoben. So profitiert der Servicenehmer nicht nur in Form höherer Sicherheit, sondern kann unter Umständen auch seinen IT-Betrieb effizienter gestalten.

Ein weiterer Aspekt, der vielfach für die Zusammenarbeit mit einem MSS-Anbieter ins Feld geführt wird, ist eine besserte Informiertheit des Managements: Die Führungskräfte werden demnach von einem externen Dienstleister unabhängig und wirklichkeitsgetreu über den Stand der Sicherheit, die Reaktion auf Sicherheitsvorfälle und Angriffe sowie die Anpassung der Sicherheitsmaßnahmen an neue Bedrohungen informiert wird.

Rechtliche Bestimmungen beachten

Neben den genannten Vorteilen und Chancen sind jedoch auch einige Risiken zu beachten. Vor allem mit einer vollständigen Auslagerung von Sicherheitsaufgaben begibt sich ein Unternehmen in eine große Abhängigkeit vom Anbieter. Das kann zu Konflikten führen. Überdies können Probleme entstehen, wenn die Zusammenarbeit beendet oder wenn der Dienstleister gewechselt werden soll. Experten empfehlen daher, die Kontrolle über das System nie vollständig aus der Hand zu geben.

Auch rechtliche Aspekte sind zu berücksichtigen. Handelt es sich beim Servicegeber um ein multinationales Unternehmen, beim Servicenehmer dagegen um ein Unternehmen mit Sitz in Deutschland, gelten unter Umständen unterschiedliche gesetzliche Grundlagen. Diese sind bei der Auswahl des Anbieters zu berücksichtigen. Andererseits entstehen aus der Zusammenarbeit möglicherweise auch neue rechtliche Pflichten für den Servicenehmer. So fordern viele Unternehmen, die die Kriterien des Sarbanes-Oxley Act erfüllen müssen, auch von ihren Geschäftspartnern eine Einhaltung dieser Vorschriften. Vertraulichkeit und Datenschutz müssen in jedem Fall gewährleistet sein - nicht nur was den MSSP anbelangt, sondern auch im Hinblick auf eventuelle Subunternehmer.

Damit IT-Prozesse auf möglichst sichere Art und Weise an einen Dienstleister übertragen werden können, gilt es einige Kriterien bei der Auswahl zu berücksichtigen. Das Vertrauen in den Anbieter und sein Team ist eines der wesentlichsten Elemente bei dieser Entscheidung. Eine enge, partnerschaftliche Zusammenarbeit ist ebenfalls ein wichtiger Aspekt. Neben diesen zum Teil subjektiven Faktoren gibt es aber auch einige Standardanforderungen, an der ein MSSP gemessen werden sollte: So spielt die Qualifikation der Mitarbeiter eine tragende Rolle. Ein hoher Ausbildungsstandard und Zusatzqualifikationen - etwa in Form von Zertifizierungen - sind relevante Merkmale.

Auch die vom MSS-Provider verwendeten Sicherheitsprodukte und -techniken sollten berücksichtigt werden. Hier ist vor allem auf die Unabhängigkeit von einem bestimmten Hersteller zu achten, damit das Unternehmen nicht indirekt zu einem teuren Technikwechsel gezwungen ist.

Vorsicht ist auch geboten, wenn es um die Vertragsdauer geht. Hier stellt sich die Frage, ob der gewählte Dienstleister auch noch in zwei, drei oder mehr Jahren in der Lage sein wird, die gewünschten Services wie vereinbart zu erbringen. Generell sollten die erwarteten Leistungen in Form von Service Level Agreements (SLAs) genau definiert werden. Gleichzeitig muss aber auch genügend Spielraum und Flexibilität bestehen, um individuelle Anforderungen, unabsehbare Ereignisse und Veränderungen in die Zusammenarbeit einzubringen. Ferner sollten genaue Vorstellungen über die Art und Weise bestehen, wie die Sicherheitsaufgaben zu erfüllen und die Leistungen zu kontrollieren sind. Geeignete Abläufe und Verfahren sind vonnöten, mit denen der Servicenehmer die Leistungen kontinuierlich prüfen und evaluieren kann. Ebenfalls klar zu beantworten ist die Frage, wer für welche Aufgaben die Verantwortung trägt. Für die Entscheidung für oder gegen einen bestimmten Anbieter ist meist auch dessen Marktpräsenz relevant. Die Zahl der Mitarbeiter und Standorte, Erfahrungen und Referenzen ebenso wie die Frage, wie lange es den MSSP bereits am Markt gibt, können hierbei ausschlaggebend sein. Daneben kann auch das Engagement in branchenübergreifenden Gremien und Initiativen als Qualitätskriterium interpretiert werden.

Letztendlich ist die Auswahl eines Anbieters aber immer auch eine Kostenfrage. Das Preis-Leistungs-Verhältnis sollte kritisch unter die Lupe genommen werden, vor allem dann, wenn die Auslagerung der Sicherheitsaufgaben aus Kostengründen erfolgen soll. Planbare Fixkosten ersparen unliebsame Überraschungen. (ave)