Für deutsche Anwender ist IT-Sicherheit nach wie vor ein zentrales Thema. Einer Umfrage der Meta Group zufolge galt Security neben Kostensenkung als wichtigste IT-Herausforderung des Jahres 2004. Und angesichts der sich ständig verändernden Bedrohungen in einer zunehmend vernetzten Welt wird sie das vorerst auch bleiben.

Trotzdem haben viele Firmen ihre organisatorischen Strukturen nicht genug an die wachsenden Security-Anforderungen angepasst. Auf Kritik der Experten stößt vor allem, dass die Anwender beim Thema IT-Sicherheit nach wie vor eher taktisch reagieren und produktorientiert handeln - anstatt strategische, ganzheitliche Ansätze zu verfolgen, die Menschen und Prozesse mit einschließen. "In der Praxis geht es oft nur darum, welche Firewall besonders leistungsfähig ist", beschreibt Wolfram Funk, Analyst bei der Meta Group. Um Security-Lösungen effizient und zielgerichtet einzusetzen, müsse ein Unternehmen aber zunächst analysieren, welche Prozesse geschützt werden sollen, und daraus eine konkrete Sicherheitspolitik ableiten.

Dies setzt allerdings interne Ressourcen voraus, die vielerorts nicht vorhanden sind. Eine Möglichkeit, eigene Kräfte für die Security-Planung freizuschaufeln, sehen Experten im Auslagern dedizierter IT-Sicherheitsaufgaben - eine Strategie, die sich in den USA bewährt hat und auch in Deutschland immer mehr Anhänger findet: Laut Meta-Group-Umfrage hat derzeit mehr als die Hälfte der Anwender bestimmte Tätigkeiten komplett oder teilweise an einen externen Dienstleister vergeben oder plant dies für die nahe Zukunft. Während der deutsche Markt für IT-Security-Produkte (Hardware und Software) in diesem Jahr laut Meta Group um sieben Prozent auf knapp 1,9 Milliarden Euro wachsen wird, sollen die Umsätze aus dem Geschäft mit entsprechenden Services um 9,5 Prozent auf 1,6 Milliarden Euro zulegen.

Deutliche Zuwächse erwartet

Überfordert von den ständigen Investitionen in die IT-Security, lagern Unternehmen immer mehr vor allem einfache, standardisierte Tätigkeiten - etwa Vulnerablility-Scans oder das Monitoring - in Form von Managed Security Services (MSS) an externe Anbieter aus. 2004 setzten die MSS-Anbieter in Europa rund 600 Millionen Euro um. In den kommenden Jahren soll der Markt um zehn bis zwölf Prozent wachsen. Die mit jeweils 15 Prozent größten Steigerungsraten erwartet die Meta Group bei Vulnerability-Scanning- und Monitoring-Diensten.

Darüber hinaus gibt es einmalige Penetrationstests durch externe Provider, bei denen der Kunde die entdeckten Schwachstellen in Eigenregie behebt. Außerdem haben laut Umfrage derzeit 27 Prozent der Firmen einen Anbieter damit beauftragt, Sicherheitssysteme wie Firewalls, Intrusion-Detection-Systeme (IDS) oder Virtual Private Networks (VPN) kontinuierlich auf die Anfälligkeit für Viren- oder Hacker-Attacken zu überprüfen. Neun Prozent der Befragten haben dies in den nächsten zwölf Monaten vor.

Zu einem permanenten Monitoring, bei dem der Provider die Sicherheitssysteme des Kunden rund um die Uhr per Fernzugriff überwacht, ringen sich bislang 21 Prozent der Befragten durch. Sechs Prozent planen, solche Aufgaben auszulagern.

Die Ersten lagern komplett aus

Wachstumsraten von zwölf Prozent werden beim Outsourcing des kompletten Security-Betriebs erwartet. Schon heute lässt ein Viertel der Anwender seine Sicherheitssysteme von einem Partner extern verwalten - Konfigurationsänderungen, Upgrades und Updates inklusive.

Auch andere Security-Dienstleistungen, die nicht unter den MSS-Begriff fallen, liegen im Trend. Das Gros der Anwender bucht momentan zwar lediglich eine kurzfristige Sicherheitsberatung auf Tagesbasis, um sich zu orientieren. Aber immerhin 23 Prozent der Befragten haben ein Consulting-Unternehmen damit beauftragt, sie bei der Risikoanalyse zu unterstützen, Verfügbarkeitskonzepte zu erstellen oder zu prüfen, ob die Haus-IT die sich häufig ändernden gesetzlichen Vorgaben - etwa Sarbanes-Oxley Act oder Basel II - noch erfüllt.

Implementierungsaufgaben sind mit diesen Verträgen zunächst nicht verbunden. Mittlerweile wird aber auch die Integration und Anpassung von Firewalls, IDS und VPNs zunehmend an externe Anbieter vergeben: 22 Prozent der Befragten haben solche Aufgaben komplett oder teilweise ausgelagert, acht Prozent haben es demnächst vor. Laut Meta-Experte Funk soll das Segment Security-Integration in diesem Jahr in Deutschland um zehn Prozent wachsen.

Die meisten Befragten (80 Prozent) beziehen ihre Security-Services von klassischen IT-Dienstleistern, IT-Beratungshäusern oder Systemintegratoren. Wichtige Player sind hier Hewlett-Packard (HP), IBM, Siemens Business Services (SBS) und Unisys. Mit deutlichem Abstand (43 Prozent) folgen Security-Produktanbieter wie McAfee oder Symantec, die ihr Portfolio um Services wie Virenschutz oder Content-Filtering ergänzen, dedizierte Security-Dienstleister - etwa Articon Integralis, Secunet und Ubizen - sowie Internet-Service-Provider wie Colt oder Infonet. Ein Beratungsunternehmen, das auf Prozessanalysen, Risiko-Management und andere strategische Aspekte ausgerichtet ist, holt sich knapp jeder vierte Anwender ins Haus.

Verschiedene Geschäftsmodelle

Die Geschäftsmodelle der Dienstleister sind demnach sehr unterschiedlich. Sie reichen von standardisierten Diensten rund um Netzsicherheit bis hin zur Realisierung komplexer und hochsicherer Lösungen. Laut Funk ist in dem noch jungen Markt derzeit eine starke Fluktuation zu beobachten. "MSS etwa wurden in der frühen Marktphase vor allem von kleinen dedizierten Anbietern wie die SHE IT AG aus Ludwigshafen angeboten", so Meta-Group-Analyst Funk. Inzwischen sei das Thema bei Full-Service-Providern gelandet, die Managed Services im Rahmen umfassender Dienstleistungsverträge erbringen.

Vor allem administrative Aufgaben - etwa die Konfiguration von Firewalls und IDS - werden sich laut Meta Group bis 2008 zu Commodity-Services entwickeln und dabei in den standardisierten Outsourcing-Angeboten der großen IT-Dienstleister, Netzbetreiber und IT-Beratungshäuser aufgehen. Der Markt für MSS werde sich dann in erster Linie auf reine Monitoring-, Scanning- und Response-Services beschränken.

Lokale Besonderheiten beachten

Voraussetzung, um im langsam, aber stetig wachsenden Markt für Security-Dienstleistungen Erfolg zu haben, ist nach Ansicht der Experten nicht nur, dass der Anbieter genug fachliches Know-how mitbringt, um mit dem technischen Fortschritt im IT-Sicherheitsbereich mitzuhalten, sondern auch, dass er die Prozesse des Kunden kennt. Die Finanzkraft des Providers spiele angesichts des sich abzeichnenden Margenverfalls im Security-Services-Geschäft ebenfalls eine entscheidende Rolle.

Nach Einschätzung der Meta Group können bislang nur wenige Anbieter allen Anforderungen gerecht werden. Häufig fehlten die notwendigen internen Ressourcen; zudem vernachlässigten speziell international aufgestellte IT-Dienstleister regionale Besonderheiten wie etwa die in Europa verbreitete Angst, die Kontrolle über die IT-Sicherheit aus der Hand zu geben. Hinzu kommt, dass die Anbieter bei der Nichteinhaltung von SLAs zwar regresspflichtig sind. Regelungen, wonach sich beide Seiten die Risiken - etwa von Datenverlusten oder Betriebsausfällen - teilen, gibt es jedoch meist nicht.

Bedenken dieser Art sind momentan berechtigt, so Funk. Doch mit der zunehmenden Marktreife werde es auch mehr Informationen und Vereinbarungen geben, die für Vertrauen sorgen und das Geschäft mit Security-Dienstleistungen ankurbeln werden: "Der Markt ist noch jung, und junge Märkte wachsen schnell."