Sicherheitsdienste

"Security-as-a-Service ist für Mittelständler ideal"

10.11.2011

Bedenken ausräumen

CW: Aber wie beurteilen Sie die Bedenken zahlreicher Anwender, zu viele Interna preis zu geben. Sind die Ihrer Meinung nach unbegründet?

ROECHER: Natürlich nicht. Die Bedenken sind da, und die Hersteller und Dienstleister müssen damit adäquat umgehen. Aber die Sorgen der Anwender beruhen meiner Ansicht nach eher auf einem unbestimmten Bauchgefühl, als auf rationalen Erwägungen. In der digitalen Welt von heute geht es ja nicht mehr um einige wenige Geschäftsinformationen, die man schützen muss, sondern um Massen von Daten. Vielleicht entsteht dadurch der Eindruck, man gäbe vieles preis, ließe man die Informationen extern auf eventuelle Gefahren prüfen. Dass aber Hunderttausende von ein- und ausgehenden E-Mails verschickt werden und damit auch einsehbar sind, dass sie kopiert, gespeichert, verändert und mitgelesen werden und es zahlreiche Zugriffsmöglichkeiten auf die Systeme gibt, wird dabei wenig bedacht. Die tatsächliche Bedrohung dürfte sich eher verringern, wenn ein spezialisierter Dienstleister mit geschultem und vertraglich verpflichtetem Personal die E-Mails auf Viren und Würmer hin untersucht. Wer dennoch zweifelt, kann eine Risikoanalyse durchführen - und die wird seine Bedenken mit Sicherheit entkräften.

CW: Gibt es eine Faustregel, wann ein Mittelständler auf Security as a Service setzen sollte - und wann eher nicht?

ROECHER: Das hängt in erster Linie von den Kosten der Lösungen ab. Aber wenn sich die Betriebskosten der IT-Sicherheit damit signifikant senken lassen - auch bei schwankenden Nutzerzahlen -, ist Security as a Service grundsätzlich zu empfehlen. Aber auch Unternehmen, denen das Thema IT-Sicherheit über den Kopf wächst, die selbst den Betrieb von Basis-Services wie E-Mail nicht im Griff haben, sollten über externe Services nachdenken. Denn gerade für Mittelständler, deren höchstes Geschäftsgut ja oft aus schützenswerten Konstruktionsplänen, Rezepturen oder Produktbeschreibungen besteht, können Bedrohungen durch Datenverlust oder Datendiebstahl die Existenz gefährden. Abraten würde ich vom Outsouricng nur, wenn im Unternehmen Verpflichtungen oder Sicherheitsauflagen bestehen, die eine externe Lösung nicht erfüllen kann. Aber das gilt eigentlich nur für spezielle Behörden und Geheimdienste. (ph)