Security-Outsourcing wird immer beliebter

24.09.2007
Vor allem IT-Sicherheitsaufgaben im Bereich Wartung und Support werden zunehmend von externen Dienstleistern erbracht.

Das Auslagern von Bereichen der IT-Sicherheit liegt im Trend. Den Marktforschern von Gartner zufolge wird der Markt für Securtiy-Outsourcing in diesem Jahr um fast 20 Prozent zulegen. "Mit der generell wachsenden Auslagerungsbereitschaft entscheiden sich immer mehr Anwender, auch Routine-Aufgaben im Security-Umfeld an externe Anbieter zu vergeben – etwa das Firewall-Management oder die Verwaltung der Intrusion-Detection-Alerts", beobachtet Gartner-Analyst John Pescatore. Vor allem kleinere und mittlere Unternehmen, die angesichts ihrer knappen IT-Ressourcen Probleme haben, Compliance-Anforderungen zu erfüllen, können vom Security-Outsourcing profitieren.

Neben Compliance-Anforderungen sind die Anwender zudem einer steigenden Bedrohung ihrer IT-Sicherheit ausgesetzt. "Die Angriffe werden ausgefeilter, und vor allem Datenverluste haben sich zu einer großen Gefahr entwickelt", meint Prasenjit Saha, Chef der Security-Servicesparte des indischen IT-Dienstleisters Wipro Technologies, der sich seit einigen Jahren über stark wachsende Einnahmen freut. "Manche Anwender denken, es sei riskant, IT-Sicherheit auszulagern. Aber diejenigen, die es tun, erkennen schon nach kurzer Zeit, wie effizient es ist und lagern weitere Aufgaben aus", berichtet Saha.

Auch in Deutschland etabliert sich das Auslagern von IT-Sicherheit zunehmend. Den Marktforschern der Experton Group zufolge greifen bereits drei von vier Anwendern in diesem Bereich auf externe Dienstleister zurück. Dabei dominieren vor allem Wartungs- und Support-Leistungen, gefolgt von technischer Beratung, Implementierungs- und Integrationsdiensten, Schwachstellen-Audits sowie dem Sicherheitstraining für IT-Personal und Anwender. Auch in Zukunft soll die Inanspruchnahme solcher Dienste weiter zunehmen.

Die übergeordnete Verantwortung für die IT-Sicherheit und die sich daraus ableitenden strategischen Themen – etwa Architektur sowie Policy- und Risiko-Management - sollten jedoch grundsätzlich im Unternehmen bleiben, warnen die Experten. Technische Spezialthemen, für die der Anwende keine eigenen Ressourcen aufbauen möchte, lassen sich hingegen im Rahmen einzelner Vorhaben weitgehend von externen Beratern und Entwicklern abdecken. Auch bei Managed Security Services (MSS) müssen Funktionen und Kompetenzen im Unternehmen aufrechterhalten werden, während sich die konkrete Ausführung – etwa Überwachungsdienste (Monitoring), Schwachstellenanalyse, Konfigurations-Management und Forensik – für das Auslagern eignet. Einzige Ausnahme ist das Thema Response: Wie die Erfahrung zeigt, lässt sich die Reaktion auf Sicherheitsprobleme am erfolgreichsten von interner Seite anstoßen und ausführen.

Beim Auslagern von Sicherheitsdiensten sind ähnliche Aspekte zu beachten wie beim IT-Outsourcing generell. Besonders hervorzuheben ist jedoch die sorgfältige Definition von SLAs (Service-Level-Agreements) und Metriken zur Beurteilung der erbrachten Leistungen. Zudem sollte ein IT-Sicherheitsdienstleister Geschäftsprozess-Know-how mitbringen. Nach Ansicht der Experton-Berater herrscht hier allerdings noch Nachholbedarf.

Für das Management des Dienstleisters sollte der Anwender interne Ressourcen einplanen, die in der Lage sind, die Qualität der externen Services zu beurteilen und im Krisenfall ein Insourcing oder einen Provider-Wechsel vorzunehmen. Dies wiederum setzt voraus, dass im Vorfeld des Auslagerns die internen Verantwortlichkeiten und Rollen zu klären sind - etwa im Rahmen von Security-Teams oder Richtlinien (Security Policies) auf verschiedenen Ebenen. Denn wer Chaos auslagert, wird in aller Regel auch Chaos ernten. (sp)