19.11.2006 | Autor / Redakteur: Olaf Lindner, Director Symantec Security Services / Achim Karpf
IT-Outsourcing ist bei vielen Unternehmen schon seit längerer Zeit ein Trend. Wenn es um die Auslagerung von IT-Sicherheitsdienstleistungen geht, zögern viele jedoch noch. Wachsende Anforderungen und stets neue Sicherheitsrisiken bringen aber immer mehr Unternehmen zum Umdenken. Denn die IT-Abteilungen sind häufiger denn je damit überfordert, das Unternehmensnetzwerk aus eigener Kraft zu schützen. Vielfach fehlt ihnen dazu schlichtweg das nötige Know-how.
Hinzu kommen gesetzliche Vorgaben, die das Management dazu verpflichten, im Rahmen des Risikomanagements für umfassende IT-Sicherheit zu sorgen. Die Auslagerung der unternehmenseigenen Netzwerksicherung an Managed Security Services (MSS) kann Unternehmen dabei helfen, diese Herausforderungen zu meistern, Risiken zu minimieren, zusätzlich Kosten zu senken und sich auf ihre eigentlichen Kernkompetenzen zu konzentrieren.
Die externe Verwaltung und Überwachung von Sicherheitssystemen gilt als eines der am schnellsten wachsenden Segmente des Information Security Services-Marktes. Einer Studie der Marktforscher von MetaGroup zufolge wird der Markt für Managed Security Services in Europa von 2005 bis 2007 etwa um zehn bis zwölf Prozent wachsen. Die Gründe dafür liegen auf der Hand: Vor allem die komplexer werdenden Sicherheitsbedrohungen und der damit verbundene Kostenanstieg für die unternehmenseigene IT-Sicherheit zwingt Unternehmen zum Handeln. Aber auch die Notwendigkeit sowohl die Sicherheit als auch die Verfügbarkeit von Daten zu gewährleisten, stellt die IT-Abteilungen vor immer größere Herausforderungen.
Eine Alternative kann daher die Auslagerung des unternehmensinternen Sicherheitsmanagements an einen Managed Security Provider sein. Diese unterstützen Unternehmen bei der Sicherheitsüberwachung ihrer Netzwerke, indem Internetbedrohungen und Schwachstellen von Experten rund um die Uhr überwacht und analysiert werden.
So wird gewährleistet, dass Unternehmen umfassend über aktuelle Sicherheitsrisiken informiert werden und somit schneller und zielgenauer auf Internetbedrohungen wie beispielsweise Spam- und Virenangriffe reagieren können. Durch die Auslagerung entfällt für Unternehmen die Notwendigkeit, die jeweils neuesten Sicherheitstechnologien zu implementieren sowie eigene Sicherheitsexperten einzustellen und fortwährend mit hohem Aufwand schulen zu müssen.
Gerade kleine und mittlere Unternehmen können den Sicherheitsaufwand einer Rund-um-die-Uhr-Überwachung, wie beispielsweise die umfassende Überprüfung des unternehmensinternen E-Mailverkehrs, mit vertretbarem Aufwand nicht mehr in der Art und Weise sicherstellen wie ein externer Anbieter. Zudem wird durch die Auslagerung an einen externen Anbieter die IT-Sicherheit zu einem kalkulierbaren Risiko im IT-Budget.
Eine sichere IT-Infrastruktur garantiert Unternehmen zudem Wettbewerbsvorteile – nicht zuletzt durch die Vermeidung von Folgeschäden, die durch Datenklau oder durch Hackerangriffe bedingte Ausfälle hervorrufen können. Durch die Ausgliederung der internen Sicherheitsdienste ist es Unternehmen außerdem möglich, sich auf ihr Kerngeschäft zu konzentrieren und beispielsweise umsatzfördernde Bereiche auszubauen. Zudem können sie Kosten für die Beschaffungslogistik sowohl für Hardware als auch für Software einsparen.
Vor allem für Unternehmen, die aus Datensicherheitsgründen nachweisen müssen, dass sie gesetzliche Sicherheitsauflagen erfüllen, ist es sinnvoll, mit einem Managed Security Services Provider zusammenzuarbeiten. Um die Servicequalität und die gesetzlichen Auflagen des Unternehmens in punkto Sicherheit zu gewährleisten, sollten hier vertraglich ausgehandelte Regelungen – so genannte Service Level Agreements (SLAs) – klar definiert werden.
SLAs legen sämtliche Leistungen, Prozesse und Qualitätsstandards fest, zu denen der Sicherheitsdienstleister verpflichtet ist: Dazu gehört die genaue Definition der überwachten und gemanagten Netzwerkbereiche (sofern es sich nicht um ein komplettes Sicherheitsoutsourcing handelt), maximale Ausfallzeiten und Verfügbarkeit der Services, Reaktionszeiten, in welcher Form und wann das Reporting erfolgt, Haftungsbeschränkungen oder das Prozedere in Notfällen.
Darüber hinaus legen die SLAs genau fest, was zu den Verantwortlichkeiten des Kunden gehört. Dazu zählt beispielsweise, dass das Unternehmen alle technischen Informationen oder eine detaillierte Netzwerkübersicht bereitstellt, die Kontaktdaten aller autorisierten Ansprechpartner im Unternehmen verfügbar macht oder den Sicherheitsdienstleister bei jeder planmäßigen Netzwerkwartung rechtzeitig in Kenntnis setzt. Mithilfe dieser präzise festgelegten SLAs kann so beispielsweise im Rahmen des Reportings verifiziert werden, ob die vereinbarten und notwendigen Leistungen tatsächlich erbracht wurden.
Durch Managed Security Services können Unternehmen ihre IT-Sicherheit verbessern. Dennoch schrecken viele davor zurück, Daten und Sicherheitsinfrastruktur an einen externen Sicherheitsdienstleister auszulagern, da sie einen Kontrollverlust oder den Rückgang der unternehmenseigenen Kompetenz auf diesem Gebiet fürchten. Oftmals wird eine Entscheidung für Managed Security Services erst dann getroffen, wenn akuter Handlungsbedarf besteht oder der Krisenfall bereits eingetreten ist. Die Skepsis vieler Unternehmen ist jedoch unbegründet, wenn das Projekt sorgfältig geplant wird und Experten sowie alle beteiligten Unternehmensbereiche früh in die Prozesse eingebunden werden.
Ein entscheidender Erfolgsfaktor für das Auslagern von Sicherheitsdienstleistungen ist zudem die Sicherstellung der Leistungstransparenz in Verbindung mit präzise formulierten Service Level Agreements. Diese gewährleisten, dass ein Service Provider die zugesagten Sicherheitsdienste auch tatsächlich leistet und bilden die Grundvoraussetzung dafür, dass Managed Security Services ihren vollen Nutzen für Unternehmen entfalten können.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000943)
