Geht es nach den meisten Marktforschern, so stehen viele MSSPs vor einer rosigen Zukunft und der Security-Markt erst am Anfang eines enormen Outsourcing-Booms im Namen der IT-Sicherheit: So prognostiziert beispielsweise Datamonitor, dass Unternehmen bereits im Jahr 2005 ein Fünftel aller Security-Lösungen extern über Dienstleistungsvereinbarungen beziehen werden. Das entspräche einem Umsatzvolumen von 2,9 Milliarden Dollar.
Die Gründe für diese Zuversicht sind vielfältig: Wie bei jedem Outsourcing-Modell erhalten Unternehmen von einem MSSP im optimalen Fall einen Service mit klar definierten Leistungen zu transparenten, also langfristig besser kalkulierbaren Kosten. Und diese liegen - zumindest potenziell - unter denen für komplett in Eigenregie konzipierte, implementierte und betriebene Sicherheitssysteme. Schließlich können Spezialdienstleister ihr Know-how und ihre Infrastrukturen für mehrere Kunden wiederverwenden. Hier verbirgt sich auch der zentrale Vorteil des Security-Outsourcing. Denn längst lassen sich Aufbau, Betrieb und Kontrolle von Sicherheitssystemen wie etwa Firewalls oder Intrusion Detection Systems (IDS) nicht mehr als Nebenjob von Mitarbeitern des Rechenzentrums erledigen.
Permanente Kontrolle
Zu sehr ist der Erfolg der Hackerabwehr an eine permanente Kontrolle und eine optimale Konfiguration geknüpft - und zu groß der wirtschaftliche Schaden, der aus etwaigen Sicherheitslücken resultieren kann.
Kurzum: Mit häufig gekürzten IT-Budgets und entsprechend dünner Personaldecke müssen Unternehmen heute eine Armada hochkomplexer Abwehr-Technologien genau so einsetzen, dass sie die ständig neuen und immer raffinierteren Hacker-Angriffe und Viren zuverlässig abwehren. Da klingt es verständlicherweise wie eine frohe Botschaft, dass sich eine solche Expertise flexibel anzapfen lässt - über die Verpflichtung externer Security-Dienstleister.
Bedenken der Firmen
Dennoch scheuen gerade deutsche Unternehmen vor dieser Alternative zurück. Die Beweggründe sind offensichtlich: Das Thema IT-Sicherheit scheint auf zu vielen hochsensiblen Informationen zu beruhen, als dass es in fremde Hände gehörte. Der tatsächliche Erfolg von Security-Dienstleistern hängt also vor allem von ihrer Kompetenz ab, das Vertrauen der potenziellen Klientel zu gewinnen. Erschwerend kommt hinzu, dass sich der MSSP-Markt immer noch äußerst heterogen und unübersichtlich präsentiert. So fehlt es vielen Interessenten an der notwendigen Transparenz und Vergleichbarkeit der Angebote.
Um eine erste Struktur in das Dickicht von Security-Dienstleistungen zu bringen, lassen sich vier Gruppen von Anbietern unterscheiden. Da sind zunächst einmal reine MSSPs wie etwa Activis, Vigilante, TruSecure und ClearSart, die speziell für dieses Outsourcing-Modell eigene Produkte entwickelt haben. Zu diesem Kreis zählen in erster Linie relativ junge oder ausgegliederte Unternehmen. Ähnliches gilt für die zweite Gruppe, zu der beispielsweise 2ndwave oder TriActive gehören. Hierbei handelt es sich um Dienstleister, die im Rahmen von VAR-Abkommen (Value Added Reseller) die Produkte etablierter Hersteller von System-Management-Lösungen wie etwa IBM-Tivoli, BMC, Computer Associates, Psionic, Quallaby oder Proginet mit eigenen Diensten anreichern. Eine weitere Klasse von MSSPs bilden jene Anbieter, die ihre eigenen Software-Produkte mittlerweile im Rahmen von Outsourcing-Modellen auch als Service anbieten. Zu nennen sind hier unter anderem Qualys, Click2Secure, LURHQ, Mercury Interactive oder Aladdin. Die vierte MSSP-Gruppe bilden schließlich Systemhäuser, die ihr Consulting-Geschäft um spezielle Sicherheitsdienstleistungen ergänzt haben. Dazu gehört auch eine Reihe von Branchengrößen wie beispielsweise T-Systems, Gedas oder HP/Compaq.
Doch ebenso vielfältig wie der unternehmerische Hintergrund der Security-Dienstleister gestalten sich auch deren Angebote. Drei größere Aufgabenblöcke lassen sich ausmachen: Großer Popularität erfreut sich insbesondere bereits die Auslagerung der Zugangskontrolle. In diesem Modell implementieren MSSPs für ihre Kunden Abwehrsysteme aus Firewalls, VPN, IDS oder Antivirus-Tools und warten diese über eine Remote-Anbindung.
Outsourcing-Thema Nummer zwei ist die Risiko-Analyse: Externe Dienstleister testen unter Einsatz spezieller Tools, ob IT-Systeme gegen alle aktuellen Angriffstechniken gefeit sind. Dahinter steht die Erkenntnis, dass Hacker und Viren für den Großteil ihrer Attacken bekannte Sicherheitslücken und fehlerhafte Konfigurationen nutzen. Spezialisierte MSSPs verfügen deshalb über riesige, ständig aktualisierte Datenbanken mit allen möglichen Angriffspunkten. So haben sie mittels regelmäßig wiederholter Scanning-Verfahren die Chance, die Lücken in der Hackerabwehr noch vor dem "Feind" aufzuspüren und zu beheben. Mitunter ausgeblendet bleibt dabei jedoch häufig ein weiterer Gefahrenherd: die Tatsache, dass auch Sicherheitssysteme wie alle anderen Komponenten einer IT-Infrastruktur unter Hochlastbedingungen nicht immer ihre volle Leistung erbringen.
Ein wenig im Schatten steht derzeit noch das dritte MSSP-Thema: die Authentisierung. Aber auch ferngewartete Lösungen für Public Key Infrastrucures (PKI) oder digitale Signaturen gehören mittlerweile zum Portfolio vieler MSSPs. Hinzu kommt eine ganze Reihe ergänzender Sicherheits-Dienstleistungen - vom reinen Consulting bis hin zu Notfall-Services.
Wie also finden Unternehmen angesichts dieser Angebotsvielfalt den optimalen MSSP für ihre Anforderungen? Hilfreich ist es, sich zunächst vor Augen zu führen, dass es sich bei der IT-Sicherheit um einen kontinuierlichen Prozess mit einer Vielzahl von Einzelschritten handelt. Viele Aufgaben sind immer wieder aufs Neue zu bewerkstelligen (siehe Kasten).
Wer ist der richtige Anbieter?
Vor diesem Hintergrund ist offensichtlich, dass kein MSSP alle Security-Anforderungen abdecken kann. Jeder Anbieter eröffnet seinen Kunden lediglich die Option, einen Teil dieser Aufgabenkette auszulagern. Die umfassendsten Security-Services sind in der Regel von den reinen und den im Rahmen von VAR-Modellen operierenden MSSPs zu erwarten. Währenddessen gruppieren sich die Dienstleistungen der Tool-Hersteller in aller Regel vorrangig um die Funktionen der eigenen Produkte. Der Schwerpunkt der im MSSP-Markt agierenden Systemhäuser hingegen liegt naturgemäß in der Beratung.
So gilt es für Unternehmen, entsprechend ihrer individuellen Gegebenheiten Folgendes festzustellen: Welches Know-how ist intern vorhanden und lässt sich mit vertretbarem Aufwand ausbauen? Bei welchen Aufgaben werden bisher noch Defizite in Kauf genommen, die auf Dauer nicht tragbar sind? Welcher Anbieter stellt mit Referenzen unter Beweis, dass seine Services ausgereift sind und er genau die erforderlichen Erfahrungen und das gewünschte Know-how mitbringt? Welcher MSSP sichert bereits erfolgreich die Systemlandschaften von ähnlichen großen Unternehmen aus vergleichbaren Branchen?
Selektives Outsourcing
Antworten auf diese Fragen bilden die Grundlage, um das Outsourcing der IT-Sicherheit so gezielt und selektiv anzugehen, wie neutrale Experten dies empfehlen. Schließlich sollten Unternehmen nicht die Risiken verkennen, die in der Verpflichtung eines MSSP liegen: Wer alles hausinterne Know-how abbaut und den Umgang mit allen Security-Fragen komplett in fremde Hände gibt, ist vermutlich irgendwann auch nicht mehr in der Lage, die erbrachten Leistungen seines MSSP kompetent einzuschätzen. (sra)
*Christian Tabernig ist Senior Manager Product Marketing bei Mercury Interactive in München.
Wiederkehrende Aufgaben lassen sich auslagern
- Aufbau einer grundlegenden Sicherheitskonzeption inklusive der Definition unterschiedlicher Risikograde und detaillierter Maßnahmenpläne
- Konzeption der Architektur
- Auswahl der optimalen Produkte für Zugangskontrolle, Verschlüsselung und Authentifizierung
- Festlegung der vollständigen Betriebskonzepte
- Implementierung der ausgewählten Hard- und Software
- Betrieb, Wartung und Überwachung der Sicherheits-Tools
- Mitarbeiter-Trainings
- Analyse der Anfälligkeiten aller Systeme