Dienstleister hoffen auf Boom im Geschäft mit Managed Security Services

Effizienz durch IT-Sicherheits-Outsourcing

27.08.2004

Managed Security Services, kurz MSS, sind in den USA bereits ein lohnendes Geschäft. Auch hierzulande soll der Markt für Firewall-Überwachung und -Management durch externe Anbieter, Filtering-Services sowie Dienstleistungen in den Bereichen VPN (Virtual Private Networks), Intrusion Detection Systems (IDS) und PKI (Public Key Infrastructure) in den kommenden Jahren langsam, aber beständig wachsen. Die Meta Group geht davon aus, das die Umsätze der europäischen MSS-Provider (MSSPs), die auf derzeit rund 600 Millionen Euro geschätzt werden, um durchschnittlich zehn Prozent pro Jahr zulegen werden.

Vulnerability Scans durch neutrale Anbieter

Das größte Marktsegment stellen den Experten zufolge momentan die so genannten Vulnerability-Scans dar: Das sind Verfahren, mit denen die Anfälligkeit eines Unternehmens für Viren- und Hacker-Attacken untersucht wird. Laut Carsten Casper, Senior Analyst bei der Meta Group, ist die Übertragung solcher Tests an externe und damit neutrale Anbieter besonders sinnvoll: "Die eigenen Mitarbeiter können ja über Systeme, die sie selber warten, kein unabhängiges Gutachten erstellen."

Aber auch für das Outsourcing von anderen Tätigkeiten gibt es stichhaltige Argumente. Am wichtigsten sind einer Meta-Group-Umfrage zufolge die Skills der MSS-Provider: Als Spezialisten können sie dedizierte Tätigkeiten genauso gut oder sogar besser erledigen als die eigenen Mitarbeiter. Zudem sind sie aufgrund ihrer Erfahrung in der Lage, die Informationen über Viren- und Hacker-Angriffe zu korrelieren und daraus Rückschlüsse zu ziehen - eine Leistung, die das Unternehmen kaum selber erbringen kann, meint Marcus Ross, Deutschland-Geschäftsführer beim Security-Anbieter Verisign: "Es gibt sogar Fälle, in denen die Firewall 20000 Angriffe abwehrt, ohne dass die IT-Abteilung überhaupt auf die Idee kommt, sich die Protokolle anzusehen."

Ein weiterer Faktor, der für das Outsourcing von Security-Aufgaben spricht, ist das Thema Personalverfügbarkeit. Viele Unternehmen haben nicht genug qualifizierte Mitarbeiter, um den steigenden Sicherheitsanforderungen gerecht zu werden. Auch die Geschwindigkeit, mit der sich die Dienstleistungen absichern lassen, gilt als entscheidendes Argument. "Man verliert keine Zeit mit aufwändigen internen Tests oder dem Kauf von Produkten, sondern verlässt sich auf Leute mit Erfahrung", erläutert Meta-Group-Analyst Casper.

Der Faktor Kosteneinsparungen hat als Motiv für das Auslagern von Security-Aufgaben ebenfalls an Bedeutung gewonnen. Allerdings warnt Casper davor, diesen Aspekt in den Vordergrund zu stellen. Bei Tätigkeiten, die der Kunde bislang selbst erledigt habe, könnten MSS durchaus für mehr Effizienz sorgen. "Vergibt eine Firma jedoch Aufgaben an einen externen Anbieter, mit denen sie selbst keine Erfahrung hat, geht das in der Regel schief", warnt Casper.

Rein technisches Vorgehen verpufft

Das fehlende interne Wissen betrachtet der Experte generell als Hauptproblem beim Outsourcing von IT-Sicherheit. Viele Anwender gingen das Thema zu technologisch an - etwa mit dem Kauf von Security-Produkten oder dem Abonnement eines Service. Um die Lösungen sinnvoll zu integrieren, müsse der Kunde die eigenen Geschäfts- und IT-Prozesse aber genau kennen. Nur dann sei auch die Auslagerung der entsprechenden Aufgaben sinnvoll. "Die zahlreichen Schnittstellen zwischen den Prozessen des Unternehmens genau zu dokumentieren und anschließend mit dem externen Provider abzustimmen - das ist im Grunde die größte Herausforderung im MSS-Geschäft", so Casper.

"Security-Outsoucing ist nur erfolgreich, wenn der Kunde genau weiß, welche Aufgaben er auslagern will, und dies in den Service-Level-Agreements (SLAs) festhält", bestätigt Stefan Weiss, Senior Manager der Security Services Group bei Deloitte & Touche. Sonst laufe er Gefahr, der ihm gesetzlich auferlegten Sorgfaltspflicht für die IT-Sicherheit nicht mehr nachkommen zu können: "Wenn Daten in falsche Hände geraten, kann der Kunde den MSS-Provider nur bedingt regresspflichtig machen", warnt Weiss. "Die Verantwortung und der gegebenenfalls entstandene Schaden bleiben an ihm hängen."

Aufgaben standardisieren und definieren

Diese Gefahren sind den Auftraggebern allerdings oft nicht bewusst. Selbst wenn die SLAs genau formuliert sind, überprüfen viele Firmen nicht, ob sie auch eingehalten werden. Vor allem kleinere Unternehmen, für die sich das Auslagern dedizierter Sicherheitsaufgaben angesichts ihres Mangels an Security-Fachkräften eigentlich anbietet, scheitern laut Meta-Analyst Casper häufig genau daran, weil es ihnen an Prozess- und Fachwissen fehlt, um solche Aufgaben standardisieren und definieren zu können. Dies sei einer der Gründe dafür, warum die Sicherheitsdienstleister speziell im mittelständisch geprägten Deutschland bislang nur schwer Fuß fassen konnten. Mittlerweile habe sich die Lage jedoch gebessert. Mit dem Erstellen von Security-Richtlinien sei auch der gehobene Mittelstand zunehmend in der Lage, sicherheitsrelevante Aufgaben zu standardisieren und zu paketieren.

Um vom wachsenden MSS-Geschäft zu profitieren, drängen nicht nur IT-Sicherheitsspezialisten, sondern auch große Serviceanbieter und Netzwerkfirmen in den Markt, der sich - wie die Übernahmen der vergangenen Monate zeigen - zunehmend konsolidiert. Wer am besten aufgestellt ist, lässt sich derzeit schwer sagen. Nach Ansicht von Casper können die Nischenanbieter dedizierte Services vor allem bei neuen Technologien effizienter, präziser und schneller bereitstellen als große Allroundanbieter, die ihre Sicherheitsdienstleistungen erst entwickeln und weltweit anpassen sowie mit einer ganz anderen Größenordnung von Kunden umgehen müssen. "Andererseits: Wenn am Ende alles funktioniert, sind die Angebote der großen Player meist besser auf die Geschäftsprozesse des Kunden abgestimmt." Ob ein MSS-Anbieter weltweit vertreten ist, kann laut Casper ebenfalls Vor- und Nachteile haben. So seien rund um die Uhr verfügbare Monitoring-Dienste zwar geradezu prädestiniert für den globalen Einsatz. "Speziell in Deutschland gibt es jedoch einen nicht zu unterschätzenden Bedarf an lokalen Anbietern, da hier viele Firmen Bedenken haben, wenn ihre sensiblen Daten in einem Security-Operation-Center in den USA landen."

Hier lesen Sie ...

- welche Dienstleistungen das Angebot von Managed-Security-Services-Providern umfasst;

- welche Argumente für das Outsourcing dedizierter Security-Aufgaben sprechen;

- worauf Sie bei der Inanspruchnahme von MSS grundsätzlich achten müssen;

- welche Vor- und Nachteile Sie von den unterschiedlichen Playern im MSS-Markt erwarten können.

Worauf es beim Outsourcing von Security-Aufgaben ankommt

- Voraussetzung für die erfolgreiche Auslagerung von sicherheitsrelevanten Bereichen ist eine fundierte Kenntnis der eigenen Geschäfts- und IT-Prozesse. Nur dann kann der Kunde die entsprechenden Aufgaben klar definieren, standardisieren und mit dem externen Provider abstimmen.

- Auch ein gewisses Fachwissen im Bereich IT-Sicherheit ist unumgänglich. Das Auslagern von Security-Tätigkeiten, mit denen der Kunde selber keine Erfahrung hat, bringt in der Regel keinen Kostenvorteil.

- Experten empfehlen, Art und Umfang der Tätigkeiten des Dienstleisters in den Service-Level-Agreemensts (SLAs) genau zu definieren und regelmäßig zu überprüfen, ob diese Vereinbarungen eingehalten werden. Nicht nur um die Kosten im Griff zu haben, sondern auch um nicht die Kontrolle über die eigene Informationssicherheit zu verlieren.

MSS-Provider in Europa

Drei Anbietergruppen dominieren den Markt zurzeit:

- IT-Sicherheitsanbieter sind auf Produkte und Dienstleistungen im Bereich Security spezialisiert und können dedizierte Dienstleistungen besonders schnell, effizient und präzise erledigen. Wichtige Player: Articon Integralis, Internet Security Systems (ISS) und Symantec sowie ausschließlich auf MSS spezialisierte Firmen wie Ubizen, in Deutschland SHE.

- Serviceanbieter und Systemintegratoren benötigen mehr Zeit, um Security-Dienstleistungen für den Outsourcing-Einsatz zu entwickeln und weltweit anzupassen, liefern aber in der Regel besser integrierte, auf die Geschäftsprozesse des Kunden abgestimmte Angebote. Wichtige Vertreter: IBM Global Services und Unisys, in Deutschland auch Siemens Business Services (SBS) und T-Systems

- Netzwerkfirmen erweitern ihr Portfolio neuerdings auch um Security-Dienstleistungen, was insbesondere im Bereich Netzsicherheit sinnvoll sein kann. Wichtige Player: AT&T, Infonet.

Abb: Was Anwender mit Managed Security Services (MSS) machen

Die meisten Firmen nehmen MSS-Provider derzeit für das Vulnerability Scanning in Anspruch. Die höchsten Steigerungsraten erwarten Experten in den Bereichen Intrusion Detection Systems (IDS) und Public Key Infrastructure (PKI). Quelle: Meta Group