Sicherheit zu gewährleisten und die eigene IT-Umgebung unterbrechungsfrei zur Verfügung zu stellen sind Voraussetzungen für die Geschäftsfähigkeit einer Firma und lassen Unternehmer nicht selten tief in die Kasse greifen. Dabei wird in interne Ressourcen, immer häufiger aber auch in das Outsourcing der Verwaltung von Security-Lösungen investiert. IDC erwartet, dass das Marktvolumen für Managed Security Services (MMS) in Westeuropa bis 2009 um jährlich etwa 19,8 Prozent wachsen wird. Die Marktforscher von Frost und Sullivan prognostizieren allein für das laufende Jahr einen weltweiten Anstieg um 24,4 Prozent auf 1,5 Milliarden Dollar.
Der Bedarf an Security-Personal
Die Sieben-Tage-Woche hat 168 (7x24) Stunden. Ein Mitarbeiter mit einer 38-Stunden-Woche und einer durchschnittlichen Verfügbarkeit von 80 Prozent (Krankheit, Urlaub, Weiterbildung) steht jedoch nur 30,4 Stunden pro Woche zur Verfügung. Für ein 24x7-Security-Management müsste die IT-Abteilung demnach sechs Mitarbeiter einsetzen, um die Rund-um-die-Uhr-Überwachung durch jeweils eine Person sicherzustellen. Will das Unternehmen aber auch für Spitzenzeiten sowie eventuelle Überlappungen bei Übergaben oder Vertretungen seriös planen, sind mindestens sieben Mitarbeiter nötig.
Darüber hinaus schreiben betriebliche Richtlinien vieler Unternehmen das Vier-Augen-Prinzip vor, nach dem ein einzelner Mitarbeiter in Bereichen, in denen der Eingriff in Produktivsysteme erforderlich werden kann, nicht allein arbeiten darf. In diesem Fall werden für Zeiten, in denen der IT-Betrieb ruht, weitere drei Mitarbeiter für Nacht- und Wochenendschichten erforderlich.
Hier lesen Sie …
www.computerwoche.de/
578097: Mehr Sicherheit für Firmen-E-Mails;
1214912: So klappt das Auslagern der Security;
1214911: Security-Services im Griff dank Itil.
Angst vor Lücken im System
Hauptwachstumstreiber sind die Abhängigkeit von IT-gestützten Geschäftsprozessen, zunehmende Gefahren in Form von Cyber-Attacken, Viren oder Datenklau - und der Mangel an internen Ressourcen. So setzen Web-basierende B-to-B-Prozesse stets die Verfügbarkeit des Internet-Zugangs sowie Vertraulichkeit und Integrität der Kommunikation voraus. Zwar hat das Gros der Unternehmen für die Absicherung seiner Geschäftsdaten eine Sicherheitsinfrastruktur geschaffen. Deren erforderliche Pflege und Administration sowie die Auswertung von Log-Dateien und Alarmen erfolgt aus Mangel an Zeit und Ressourcen jedoch häufig nur sporadisch.
Parallel dazu steigt die Komplexität der zu verwaltenden Umgebungen. Allein der Zuwachs an Wireless-Komponenten ist in vielen Großunternehmen kaum noch überschaubar. Dabei sind gerade diese ein besonderes Risiko, weil sie außerhalb wie innerhalb der Firmengrenzen eingesetzt werden und damit die vorhandenen Perimeter-Schutzmaßnahmen umgehen. Mit der Angst vor unerkannten Lücken im System wächst - auch angesichts gesetzlicher Regularien - die Bereitschaft, die IT-Sicherheit in die Hände Dritter zu geben.
Aber wie viel dürfen die extern vergebenen Sicherheitsdienste kosten? Wann rechnen sie sich und wann empfiehlt es sich, auf Eigenleistung zu setzen? Grundsätzlich nimmt der komplexe Security-Bereich hochspezialisierte und daher teure Ressourcen in Anspruch. Das von den Mitarbeitern geforderte Know-how umfasst dabei nicht nur die unterschiedlichsten Lösungen wie Firewall-Technik, Content-Security, Identitäts-, Zugriffs- und Schwachstellen-Management.
Hoher Aufwand an Ressourcen
Hinzu kommt, dass die Produkte der einzelnen Hersteller auf unterschiedlichen Betriebssystemen genutzt werden (die es zu beherrschen gilt) und laufend neuen Angriffsarten ausgesetzt sind. Das verursacht einen hohen Schulungsaufwand, denn neben technischem Wissen muss stets auch der aktuelle, je nach Release-Stand der Techniken variierende Bedrohungsgrad bekannt sein.
Angesichts der Vielfalt möglicher Angriffe muss rund um die Uhr qualifiziertes IT-Personal bereitstehen und im Ernstfall schnell handeln - etwa wenn regelbasierende Analyse-Tools bestimmte Attacken erkannt haben.
Wachpersonal, das nie schläft
Zudem können sich Angriffe im Unternehmen auch dann ausbreiten, wenn in der IT nicht gearbeitet wird. Um den erforderlichen Service rund um die Uhr sicherzustellen, benötigt ein Unternehmen rein rechnerisch im Durchschnitt sieben gut ausgebildete Mitarbeiter (siehe Kasten "Der Bedarf an Security-Personal"). Diesem kostspieligen Szenario setzt der Service-Provider in der Regel ein leistungsfähiges Security-Management-Center im 24x7-Stunden-Betrieb entgegen und stellt damit sowohl die erforderliche Infrastruktur als auch spezialisiertes "Wachpersonal" zur Verfügung, das niemals schläft. Der Outsourcer nimmt dem Unternehmen die generelle Pflege seiner Sicherheitslösungen ab, wertet aber auch sämtliche Log-Dateien aus, die die Informationen zu den erkannten Angriffen enthalten und neue Sicherheitslücken aufdecken. Ein Arbeitsaufwand, der aus Mangel an Kapazitäten oft vernachlässigt wird, solange kein kritisches Ereignis auftritt und die Geschäftsprozesse scheinbar ungestört laufen.
Unternehmen, die sich für die Auslagerung ihrer IT-Security-Aufgaben entscheiden und im Hinblick auf Qualität und Kosten auf Nummer sicher gehen wollen, sollten folgende Aspekte berücksichtigen: Um bewerten zu können, welche Sicherheitsausgaben überhaupt sinnvoll sind, sollte ein MMS-Projekt stets mit einer Risikoanalyse beginnen. Dabei werden die wichtigsten Geschäftsprozesse sowie die entsprechenden Ausfallkosten ermittelt, die durch Datenverlust beziehungsweise nicht gegebene Integrität und Vertraulichkeit entstehen können. In diese komplexe Bewertung fließen nicht nur die direkten Folgekosten eines Systemstillstands oder Datenmissbrauchs ein, sondern auch mögliche Folgeschäden etwa durch Kundenabwanderung, Imageverlust, Aktienkurseinbrüche, Liquiditätsengpässe oder den Verlust der Kreditwürdigkeit.
Direkter Kostenvergleich
Dem daraus resultierenden Zahlenwerk werden sämtliche Kosten für die Security-Lösung gegenübergestellt, inklusive der Anschaffungskosten für Hard- und Software sowie der Ausgaben für Prozessdefinitionen, organisatorische Maßnahmen und den Betrieb der Sicherheitsumgebung. Dabei bestimmen die firmenspezifischen Bedürfnisse den Grad des Service-Levels, der sich dann als konkretes Outsourcing-Ziel definieren lässt.
Ein seriöser Dienstleister wird den direkten Kostenvergleich zwischen einer Inhouse-Lösung und einem extern gekauften Service nicht scheuen. Dabei gilt es allerdings Äpfel mit Äpfeln zu vergleichen: Der gewünschte Managed-Service muss exakt an den Kosten gemessen werden, die dem Unternehmen entstehen, wenn es seinen bestehenden Service-Level aus eigenen Kräften auf das angestrebte MSS-Niveau anhebt.
Ganz oder gar nicht?
Die Kostenrechnung belegt meist, dass die vollständige Auslagerung der Security-Bereiche das größte Einsparpotenzial birgt. Werden nur Teilbereiche extern vergeben, fallen dem Unternehmen nach wie vor Trainings- und Bereitschaftskosten an. Zudem lassen sich bei einer Komplettvergabe sämtliche Events oder Alarme aus unterschiedlichsten Bereichen wie Firewall oder Intrusion Detection korrelieren und bewerten, was Doppelauswertungen verhindert und eine bessere Analyse ermöglicht.
Voraussetzung hierfür ist allerdings, dass ein MSS-Provider alle relevanten Security-Segmente mit den Lösungen führender Hersteller abdecken kann. Hierzu zählt, dass der Dienstleister nicht nur über ein Portal oder per Mail die konsolidierten und analysierten Incidents zur Verfügung stellt, sondern beim Auftreten von Ereignissen selbst aktiv wird und Gegenmaßnahmen einleitet. Nur so lassen sich wesentliche Kosten sparen. Der Service-Provider sollte demnach über den Standardservice hinaus mit der Kundenumgebung vertraut sein, seine Abläufe mit denen des Unternehmens abgestimmt haben und gegebenenfalls im Rahmen eines Change-Management-Prozesses eingreifen können.
Doch auch ein einzelner ausgelagerter Dienst kann Investitions-, Betriebs- und Administrationskosten sparen: Ist beispielsweise die Anschaffung einer neuen Lösung für den E-Mail-Schutz erforderlich, lässt sich diese mit allen dazugehörigen Komponenten wie Spam-Abwehr, Virenschutz, Content-Policy-Filtering und integrierter Quarantänelösung inklusive Verfügbarkeitsgarantie komplett als Dienstleistung beziehen, ohne dass dafür Investitionskosten anfallen. Der Dienst wird in der Regel nach Anzahl der Benutzer berechnet und bietet zudem hohe Flexibilität. So bedarf es keiner Kapazitätsanalyse bezüglich der Infrastruktur oder bereits erworbener Lizenzen, denn neue Mitarbeiter werden automatisch in den Dienst aufgenommen.
Auf den Vertrag kommt es an
Qualität und Kosten der eingekauften Leistung stehen und fallen jedoch nicht zuletzt mit der Qualität des MSS-Vertrags. Dreh- und Angelpunkt des Kontrakts sind die Service-Level-Agreements (SLAs), die Umfang und Grad der vereinbarten Leistungen beschreiben. Der Service Level sollte dabei nicht allgemein, sondern für jeden Security-Bereich - etwa "Perimeter" und "Identity Access Management" - separat definiert werden. Dabei lassen sich die SLAs so auslegen, dass sie höhere Sicherheit als bisher bieten oder bei gleicher Sicherheit günstiger kommen.
In jedem Fall muss der Vertrag genau definieren, welche Bereiche mit welchem Service-Level an den Dienstleister übertragen werden und bei wem welche Prozesse, Verantwortlichkeiten und Schnittstellen liegen. So kann es für ein Unternehmen durchaus sinnvoll sein, standardisierte Services wie das E-Mail-Security-Management komplett auszulagern, sich in anderen Bereichen jedoch bewusst für eine Co-Managed-Lösung zu entscheiden, um hier firmeneigenes Security-Know-how zu erhalten. Entsprechend genau müssen allerdings die jeweiligen Zuständigkeiten geregelt sein, zumal sie die Höhe der Steuerungskosten durch eigene Mitarbeiter beziehungsweise des Servicepersonals beim Provider bestimmen.
Entscheidend ist, dass sämtliche Kosten geklärt und fester Vertragsbestandteil sind. So enthalten die Standardangebote vieler Dienstleister häufig nur eine bestimmte Anzahl von Change Requests. Alle darüber hinausgehenden Anfragen werden gesondert abgerechnet. Die Vertragsverhandlung sowie Erfahrungen aus dem Eigenbetrieb ermöglichen es Firmen, eine realistische Anzahl von Requests festzuschreiben, um später nicht jeden zusätzlichen Sicherheitshandschlag teuer bezahlen zu müssen. (kf)