Sicherheits-Outsourcing

Privatpolizei für das Unternehmensnetz

18.01.2002
MÜNCHEN (fn) - Auf Security spezialisierte Dienstleister tun sich mit der Kundenakquise schwer: Viele Anwender haben Vorbehalte, die komplette Sicherung ihrer Systeme Dritten zu überlassen. Vorsicht ist auch angeraten, denn nicht alle Service- und Outsourcing-Angebote sind empfehlenswert.

Vor allem der Mangel an geschultem Personal und fehlendes Know-how treiben die Unternehmen dazu, sich in IT-Sicherheitsfragen einem Dienstleister anzuvertrauen. Fast schon zu den Klassikern in diesem Bereich zählt der Firewall-Betrieb per Fernwartung. Vermehrt lassen Firmen auch ihre Virtual-Private-Network-(VPN-)Infrastrukturen von externen Gesellschaften verwalten. Über solche abgesicherten Netze wählen sich Mitarbeiter in Filialen oder Kollegen aus dem Außendienst in ein zentrales Firmennetz ein. Noch ausgefeilter sind Intrusion-Detection-Systeme, die Hacker-Einbrüche sowie Verstöße gegen Sicherheitsrichtlinien aufdecken können. Doch je raffinierter die Installationen werden, desto schwieriger gestaltet sich die Auswertung der zahlreichen und oft zunächst wenig aussagekräftigen Alarmmeldungen und Berichte. Die Anwender benötigen die Unterstützung ihrer externen Partner.

In den Markt für Sicherheitsdienstleistungen drängen Hersteller von Security-Produkten, Internet-Service-Provider (ISPs) sowie spezialisierte Servicefirmen, die Managed-Security-Provider (MSPs). So übernehmen ISPs wie beispielsweise KPN Qwest oder Worldcom auf Wunsch auch den Remote-Betrieb der Firewalls ihrer Kunden und stellen ihnen VPNs zur Verfügung.

Marktforscher bescheinigen dem Geschäft mit IT-Sicherheitsdiensten gute Zukunftsaussichten. IDC beziffert den weltweiten Markt für Managed Security auf 17,2 Milliarden Dollar im Jahr 2004. Auch das Beratungshaus Meta Group geht von einer starken Nachfrage in den nächsten Jahren aus. In einer Studie des Unternehmens brachten nur 13 Prozent der 521 befragten IT-Verantwortlichen ihre Abneigung gegen Security-Outsourcing zum Ausdruck. Zurecht erwarten also Firmen wie Symantec, Articon-Integralis und ISS hierzulande steigende Umsätze.

ISS, ein vor allem für seine Intrusion-Detection-Software bekannter amerikanischer Softwarehersteller mit Niederlassung in Stuttgart, zählt weltweit zu den marktführenden Anbietern von Sicherheitsdiensten. Neben dem Betrieb von Firewalls und VPNs überwacht das Unternehmen im Rahmen des Dienstes "Managed Intrusion Protection" den gesamten Netzwerkverkehr eines Kunden, um Einbruchsversuche von innen und außen aufzuspüren. Die "Emergency Response Services" umfassen Prozeduren für den Ernstfall, sprich, wenn ein Anwender Opfer einer Virenattacke oder eines Hacker-Angriffs geworden ist. ISS unterhält hierzu spezielle Security Operation Centers in Schweden, Japan, USA und Brasilien.

Die in Ismaning bei München ansässige Firma Activis, eine Tochter der Articon-Integralis AG, bietet ebenfalls Sicherheitsdienste an. Während die Mutter vor allem einschlägige Produkte vertreibt, übernimmt Activis den Betrieb von Firewalls über ein Security Management Center. Das Angebot gliedert sich auf in ein reines Auswerten von Log-Dateien bis hin zum kompletten Management, inklusive dem Einspielen von Updates und Patches. Die Abstufung macht Sinn, denn oft wollen Kunden nur Teile der Firewall-Verwaltung außer Haus geben. Darüber hinaus inspiziert der Service-Provider die E-Mails und Dateien der Unternehmen, um Viren, Trojaner sowie Spam abzublocken. Auf Wunsch analysiert Activis die IT-Umgebung seiner Klienten kontinuierlich nach Schwachstellen. Noch in diesem Quartal möchte das Unternehmen Intrusion-Detection-Dienste ins Programm aufnehmen.

Die Articon-Integralis-Tochter zählt zu den Unternehmen, denen der Sicherheitsspezialist Symantec hierzulande den Kampf angesagt hat. Die Kalifornier haben im September vergangenen Jahres die Berliner Firma Lindner & Pelc Consult GmbH übernommen, um ihre Präsenz in Europa zu stärken. Symantec hat sich auf die Fahnen geschrieben, im Kundenauftrag nicht die eigenen Produkte zu verwalten, sondern auf Wunsch auch Geräte und Software von Drittherstellern fernzuwarten.

Nur Teilbereiche auslagernSelten gehen Anwender jedoch so weit, dass sie sämtliche sicherheitstechnischen Belange einem Dienstleister überlassen. Typischerweise suchen sie nach einem Anbieter, der den Betrieb der Hardware übernimmt, während sie selbst die Produkte auswählen und auch die Sicherheitsrichtlinien erarbeiten. Kaum ein Unternehmen verzichtet darauf, intern ein Mindestmaß an Sicherheits-Know-how aufzubauen, allein schon, um die Arbeit des Sicherheitsdienstleisters bewerten zu können, der künftig die IT-Umgebung überwachen soll.

Wie immer beim Outsourcing kommt es auf die Wahl des richtigen Partners an. Firmen sollten sich nicht blenden lassen, denn viele der angebotenen Services seien kaum erprobt, warnt Carsten Casper, Sicherheits-Consultant beim Beratungshaus Meta Group aus Essen. Für ausgereift hält Casper beispielsweise die vielfach angebotenen Firewall- und VPN-Dienste, nicht zuletzt deshalb, weil entsprechende Produkte bereits seit Jahren auf dem Markt sind und im Unternehmensumfeld eingesetzt werden. Vorsicht geboten ist hingegen bei Intrusion-Detection-Services. Hier lohne es sich, den Reifeprozess abzuwarten, denn manchem Anbieter mangele es noch an Know-how und Erfahrung mit der relativ jungen Technik. Der Consultant rät bei solchen Angeboten zu Verträgen mit einer Laufzeit von nur sechs bis zwölf Monaten. Danach könne der Auftraggeber dann entscheiden, ob die getroffene Wahl richtig war.

Ohnehin denken Unternehmen beim Unterschreiben des Servicevertrags keineswegs immer an eine langfristige Bindung: Einige betrachten das Sicherheits-Outsourcing als Zwischenlösung, bis sie genügend Wissen aufgebaut haben, um den Betrieb der Systeme selbst in die Hand nehmen zu können. Der Trennungsschmerz dürfte nicht allzu schlimm sein, da die Sicherheitshardware sowieso im Firmennetz des Anwender steht.

Abb: Gründe für ein Sicherheits-Outsourcing

Das Beratungsunternehmen Meta Group befragte 521 IT-Verantwortliche ob und warum sie outsourcen wollen. Quelle: META Group Inc.