Managed Security Services, kurz MSS, sind in den USA bereits ein lohnendes Geschäft. Auch hierzulande soll der Markt für Firewall-Überwachung und -Management durch externe Anbieter, Filtering-Services sowie Dienstleistungen in den Bereichen VPN (Virtual Private Networks), Intrusion Detection Systems (IDS) und PKI (Public Key Infrastructure) in den kommenden Jahren langsam, aber beständig wachsen. Die Meta Group geht davon aus, das die Umsätze der europäischen MSS-Provider (MSSPs), die auf derzeit rund 600 Millionen Euro geschätzt werden, um durchschnittlich zehn Prozent pro Jahr zulegen werden.
Vulnerability Scans durch neutrale Anbieter
Das größte Marktsegment stellen den Experten zufolge momentan die so genannten Vulnerability-Scans dar: Das sind Verfahren, mit denen die Anfälligkeit eines Unternehmens für Viren- und Hacker-Attacken untersucht wird. Laut Carsten Casper, Senior Analyst bei der Meta Group, ist die Übertragung solcher Tests an externe und damit neutrale Anbieter besonders sinnvoll: "Die eigenen Mitarbeiter können ja über Systeme, die sie selber warten, kein unabhängiges Gutachten erstellen."
Aber auch für das Outsourcing von anderen Tätigkeiten gibt es stichhaltige Argumente. Am wichtigsten sind einer Meta-Group-Umfrage zufolge die Skills der MSS-Provider: Als Spezialisten können sie dedizierte Tätigkeiten genauso gut oder sogar besser erledigen als die eigenen Mitarbeiter. Zudem sind sie aufgrund ihrer Erfahrung in der Lage, die Informationen über Viren- und Hacker-Angriffe zu korrelieren und daraus Rückschlüsse zu ziehen - eine Leistung, die das Unternehmen kaum selber erbringen kann, meint Marcus Ross, Deutschland-Geschäftsführer beim Security-Anbieter Verisign: "Es gibt sogar Fälle, in denen die Firewall 20000 Angriffe abwehrt, ohne dass die IT-Abteilung überhaupt auf die Idee kommt, sich die Protokolle anzusehen."
Ein weiterer Faktor, der für das Outsourcing von Security-Aufgaben spricht, ist das Thema Personalverfügbarkeit. Viele Unternehmen haben nicht genug qualifizierte Mitarbeiter, um den steigenden Sicherheitsanforderungen gerecht zu werden. Auch die Geschwindigkeit, mit der sich die Dienstleistungen absichern lassen, gilt als entscheidendes Argument. "Man verliert keine Zeit mit aufwändigen internen Tests oder dem Kauf von Produkten, sondern verlässt sich auf Leute mit Erfahrung", erläutert Meta-Group-Analyst Casper.
Der Faktor Kosteneinsparungen hat als Motiv für das Auslagern von Security-Aufgaben ebenfalls an Bedeutung gewonnen. Allerdings warnt Casper davor, diesen Aspekt in den Vordergrund zu stellen. Bei Tätigkeiten, die der Kunde bislang selbst erledigt habe, könnten MSS durchaus für mehr Effizienz sorgen. "Vergibt eine Firma jedoch Aufgaben an einen externen Anbieter, mit denen sie selbst keine Erfahrung hat, geht das in der Regel schief", warnt Casper.
Rein technisches Vorgehen verpufft
Das fehlende interne Wissen betrachtet der Experte generell als Hauptproblem beim Outsourcing von IT-Sicherheit. Viele Anwender gingen das Thema zu technologisch an - etwa mit dem Kauf von Security-Produkten oder dem Abonnement eines Service. Um die Lösungen sinnvoll zu integrieren, müsse der Kunde die eigenen Geschäfts- und IT-Prozesse aber genau kennen. Nur dann sei auch die Auslagerung der entsprechenden Aufgaben sinnvoll. "Die zahlreichen Schnittstellen zwischen den Prozessen des Unternehmens genau zu dokumentieren und anschließend mit dem externen Provider abzustimmen - das ist im Grunde die größte Herausforderung im MSS-Geschäft", so Casper.
"Security-Outsoucing ist nur erfolgreich, wenn der Kunde genau weiß, welche Aufgaben er auslagern will, und dies in den Service-Level-Agreements (SLAs) festhält", bestätigt Stefan Weiss, Senior Manager der Security Services Group bei Deloitte & Touche. Sonst laufe er Gefahr, der ihm gesetzlich auferlegten Sorgfaltspflicht für die IT-Sicherheit nicht mehr nachkommen zu können: "Wenn Daten in falsche Hände geraten, kann der Kunde den MSS-Provider nur bedingt regresspflichtig machen", warnt Weiss. "Die Verantwortung und der gegebenenfalls entstandene Schaden bleiben an ihm hängen."
Aufgaben standardisieren und definieren
Diese Gefahren sind den Auftraggebern allerdings oft nicht bewusst. Selbst wenn die SLAs genau formuliert sind, überprüfen viele Firmen nicht, ob sie auch eingehalten werden. Vor allem kleinere Unternehmen, für die sich das Auslagern dedizierter Sicherheitsaufgaben angesichts ihres Mangels an Security-Fachkräften eigentlich anbietet, scheitern laut Meta-Analyst Casper häufig genau daran, weil es ihnen an Prozess- und Fachwissen fehlt, um solche Aufgaben standardisieren und definieren zu können. Dies sei einer der Gründe dafür, warum die Sicherheitsdienstleister speziell im mittelständisch geprägten Deutschland bislang nur schwer Fuß fassen konnten. Mittlerweile habe sich die Lage jedoch gebessert. Mit dem Erstellen von Security-Richtlinien sei auch der gehobene Mittelstand zunehmend in der Lage, sicherheitsrelevante Aufgaben zu standardisieren und zu paketieren.
Um vom wachsenden MSS-Geschäft zu profitieren, drängen nicht nur IT-Sicherheitsspezialisten, sondern auch große Serviceanbieter und Netzwerkfirmen in den Markt, der sich - wie die Übernahmen der vergangenen Monate zeigen - zunehmend konsolidiert. Wer am besten aufgestellt ist, lässt sich derzeit schwer sagen. Nach Ansicht von Casper können die Nischenanbieter dedizierte Services vor allem bei neuen Technologien effizienter, präziser und schneller bereitstellen als große Allroundanbieter, die ihre Sicherheitsdienstleistungen erst entwickeln und weltweit anpassen sowie mit einer ganz anderen Größenordnung von Kunden umgehen müssen. "Andererseits: Wenn am Ende alles funktioniert, sind die Angebote der großen Player meist besser auf die Geschäftsprozesse des Kunden abgestimmt." Ob ein MSS-Anbieter weltweit vertreten ist, kann laut Casper ebenfalls Vor- und Nachteile haben. So seien rund um die Uhr verfügbare Monitoring-Dienste zwar
geradezu prädestiniert für den globalen Einsatz. "Speziell in Deutschland gibt es jedoch einen nicht zu unterschätzenden Bedarf an lokalen Anbietern, da hier viele Firmen Bedenken haben, wenn ihre sensiblen Daten in einem Security-Operation-Center in den USA landen."