Sicherheit outsourcen?
Expertenwissen bringt höheres Sicherheitsniveau

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeOutsourcingSicherheitSicherheitsmanagement

Wer kann schon alles selber machen? Besonders kleine und mittlere Unternehmen haben oft nicht die Kraft für ein systematisches Sicherheitsmanagement mit eigenen Mitarbeitern und Ressourcen.

Keine Kraft für eigenes Know-How

Sicherheit outsourcen?

Verfügbarkeit und Sicherheit der IT-Infrastruktur entscheidet über die Existenz von Unternehmen. Entsprechend steigt der Druck auf die Security-Abteilungen: Sie müssen ihr Wissen über aktuelle Sicherheitslösungen und Bedrohungen, Virenschutz, Firewall-Management, notwendige Patches und Upgrades stets up-to-date halten, und zwar schnell und kontinuierlich. Nur so können sie, laut knurrend vor der Hütte ihrer Firewall hockend, Spam-Feinde rund um die Uhr wegbeißen.

Besonders KMUs stehen vor der Frage, ob sie dieses Know-How selber aufbauen können oder ob sie extene Dienstleister mit der Erledigung definierter IT-Sicherheitsaufgaben beauftragen. Bislang nutzen wenige Unternehmen diese “Managed Services” für diesen Zweck: Nach den aktuellen Ergebnissen der Studie IT-Security 2007 des CMP-WEKA Verlags (IT im Unternehmen berichtete) tun dies gerade mal 25 Prozent von 533 befragten IT-Managern und Sicherheitsverantwortlichen aus deutschen Unternehmen.

An der Spitze der outgesourcten Sicherheitsanwendungen stehen nach dieser Studie die Firewall- und Einbruchsprävention, Content/Security und der Virenschutz (siehe Grafik).


Teilaufgaben genau definieren

Sicherheit outsourcen?

Ein großer Vorteil des Security-Outsourcing ist: KMUs können die besseren IT-Technologien und das Expertenwissen von spezialisierten Dienstleistern nutzen. Bei überschaubaren und planbaren Kosten steigt gleichzeitig der Sicherheits-Level und die Mitarbeiter können sich auf ihr Kerngeschäft konzentrieren.

Wer IT-Security-Elemente erfolgreich auslagern möchte, sollte sich an einige Spielregeln halten. Dazu gehört eine genaue Definition der Aufgaben, die der Anbieter von Managed Services übernehmen soll, und derjenigen, die im Unternehmen bleiben sollen, betont Guido Moezer vom IT-Security-Provider Integralis auf der Konferenz Live Security 2007 am Montag in Berlin.

Wichtig sei auch eine Zertifizierung der Service-Prozesse und Umgebung sowie eine Bewertung des Bedrohungspotenzials. Aufgrund der steigenden Abhängigkeit von der IT sollten Unternehmen definieren, welche Systeme für die Aufrechterhaltung der Produktion verfügbar sein müssen, so Moezer.

Weiteres Kriterium bei der Wahl eines geeigneten Dienstleisters: Die Revisionssicherheit. Dazu gehören Zertifizierungen, sauber dokumentierte Prozesse und die Protokollierung aller sicherheitsrelevanten Aktivitäten.

Gute Planung und Protokolle helfen auch bei der Beantwortung der Frage, ob eine einmal ausgelagerte IT-Teilaufgabe wieder zurück ins Unternehmen geholt werden kann. Bei entsprechender Dokumentation lässt sich der Dienstleister relativ leicht wechseln, so die Experten-Meinung. “Insourcing” allerdings hängt vor allem davon ab, ob das Security-Know-How intern vorhanden ist.