computerwoche.de

IT-Services

Effizienz durch IT-Sicherheits-Outsourcing

25.08.2004
Von 
Sabine Prehl ist freie Journalistin und lebt in München.
Alle Posts des Autors

Ein weiterer Faktor, der für das Outsourcing von Security-Aufgaben spricht, ist das Thema Personalverfügbarkeit. Viele Unternehmen haben nicht genug qualifizierte Mitarbeiter, um den steigenden Sicherheitsanforderungen gerecht zu werden. Auch die Geschwindigkeit, mit der sich die Dienstleistungen absichern lassen, gilt als entscheidendes Argument. "Man verliert keine Zeit mit aufwändigen internen Tests oder dem Kauf von Produkten, sondern verlässt sich auf Leute mit Erfahrung", erläutert Meta-Group-Analyst Casper.

Der Faktor Kosteneinsparungen hat als Motiv für das Auslagern von Security-Aufgaben ebenfalls an Bedeutung gewonnen. Allerdings warnt Casper davor, diesen Aspekt in den Vordergrund zu stellen. Bei Tätigkeiten, die der Kunde bislang selbst erledigt habe, könnten MSS durchaus für mehr Effizienz sorgen. "Vergibt eine Firma jedoch Aufgaben an einen externen Anbieter, mit denen sie selbst keine Erfahrung hat, geht das in der Regel schief", warnt Casper.

Rein technisches Vorgehen verpufft

Das fehlende interne Wissen betrachtet der Experte generell als Hauptproblem beim Outsourcing von IT-Sicherheit. Viele Anwender gingen das Thema zu technologisch an - etwa mit dem Kauf von Security-Produkten oder dem Abonnement eines Service. Um die Lösungen sinnvoll zu integrieren, müsse der Kunde die eigenen Geschäfts- und IT-Prozesse aber genau kennen. Nur dann sei auch die Auslagerung der entsprechenden Aufgaben sinnvoll. "Die zahlreichen Schnittstellen zwischen den Prozessen des Unternehmens genau zu dokumentieren und anschließend mit dem externen Provider abzustimmen - das ist im Grunde die größte Herausforderung im MSS-Geschäft", so Casper.

"Security-Outsoucing ist nur erfolgreich, wenn der Kunde genau weiß, welche Aufgaben er auslagern will, und dies in den Service-Level-Agreements (SLAs) festhält", bestätigt Stefan Weiss, Senior Manager der Security Services Group bei Deloitte & Touche. Sonst laufe er Gefahr, der ihm gesetzlich auferlegten Sorgfaltspflicht für die IT-Sicherheit nicht mehr nachkommen zu können: "Wenn Daten in falsche Hände geraten, kann der Kunde den MSS-Provider nur bedingt regresspflichtig machen", warnt Weiss. "Die Verantwortung und der gegebenenfalls entstandene Schaden bleiben an ihm hängen."