Die Anbieter, die durchkommen, hoffen auf einen Sinneswandel der Anwender, weil Sicherheit ihrer Meinung zufolge kaum noch in Eigenregie zu schaffen ist. Die weltweite Vernetzung sowie die tiefe Integration der Partner und Zulieferer in die IT der Unternehmen stellen hohe Ansprüche. Unbefugten muss der Zutritt verwehrt, Kunden, Mitarbeitern und Partner hingegen Zugang zu unterschiedlichen Ressourcen und Bedingungen gewährt werden, und zwar rund um die Uhr. Das ist teuer und erfordert häufig einen Drei-Schichten-Betrieb, denn Firewall, Netzwerk-Layer, Betriebssystem und Router wollen permanent überwacht und angepasst werden. "Ein Drei-Schicht-Betrieb ist bei uns nicht zwingend erforderlich. Um die Sicherheit der IT-Systeme selbst zu gewährleisten, hätten wir aber zwei bis drei weitere Mitarbeiter einstellen müssen, da wir die entsprechende Kompetenz nicht im Haus haben", räumt DIS-Manager Büchner ein. Die Systeme müssen beispielsweise ständig aktualisiert werden, um gegen neue Bedrohungsszenarien gewappnet zu sein. Änderungswünsche der Fachabteilungen, weil etwa eine neue Applikation angeschafft oder Niederlassungen eröffnet wurden, tun ein Übriges, um die Sicherheitsexperten zu beschäftigen.

Wie beim klassischen Rechenzentrums-, Netzwerk- oder Desktop-Outsourcing spielen die Kosten eine große Rolle bei der Entscheidungsfindung, doch bei den bisher abgeschlossenen MSS-Verträgen hat sich gezeigt, dass die Anwender mehr noch als bei anderen Auslagerungsprojekten auf das Fachwissen, die Ressourcen und Kapazitäten der externen Dienstleister bauen. "Wir sind wiederholtes Ziel von Viren- und Hacker-Attacken", schildert Bib Spencer, Chef der IT-Abteilung der britischen Handelsbank Lloyds TSB, der die Sicherheitsanlagen des Hauses von Unisys betreiben lässt. "Der Unisys-Dienst bringt uns zwar keine Kostenersparnis, er räumt uns aber Zugriff auf Spezialwissen ein, das wir intern nicht aufbauen können. Zudem haben wir stets aktuelle Hinweise auf mögliche Angriffe."

Security bleibt in Eigenverantwortung

Das Security-Outsourcing unterscheidet sich in einem weiteren Punkt von herkömmlichen Auslagerungsverträgen. Weil Sicherheitsthemen in großem Maße Vertrauen erfordern, haben viele Kunden Bedenken, ihre Geräte einem externen Dienstleister zu überlassen. Während beim Übergang von Rechenzentren komplette Anlagen und Systeme den Eigentümer wechseln, sind die Anwender beim Thema Sicherheit diesbezüglich sehr viel zurückhaltender. "Viele Unternehmen würden ihre Security-Installationen niemals außer Haus geben", schildert Urs Brawand, CEO des Sicherheitsspezialisten und Security-Dienstleisters Celeris AG in Hinwil, Schweiz. "Sie wollen ihren Datenverkehr nicht über eine gemeinsam mit anderen Unternehmen genutzte Firewall vermitteln." Technisch ist dieser Wunsch ohne weiteres zu erfüllen, Celeris verwaltet beispielsweise per Fernzugriff überwiegend Security-Geräte, die in den Räumen der Kunden stehen und ihnen gehören. "Den Unternehmen ist es wichtig, rasch und unbürokratisch den Betreiber zu wechseln, sollten sie mit ihm unzufrieden sein", erläutert Brawand. IT-Leiter Büchner bestätigt diese Einschätzung: "Sämtliche Firewalls, Router und Server gehören der DIS AG. Wir sind zwar sehr zufrieden mit unserem Service-Provider, wollen aber unabhängig bleiben und in der Lage sein, jederzeit den Anbieter zu wechseln."

Anwender sollten umdenken

Die Frage nach dem Eigentümer der Geräte ist für Peter Wirnsperger von der Deloitte & Touche GmbH in Hamburg hingegen zweitrangig. Der Senior Manager der Security Services Group befürwortet sogar das Outsourcing an einen zuverlässigen Betreiber, solange die Prozesse noch im eigenen Haus zusammengehalten werden. Denn die so eingesparte Arbeitszeit der Mitarbeiter lässt sich besser nutzen. Statt mit routinemäßigen Wartungsdiensten sollten die Unternehmen ihre Fachkräfte besser damit beschäftigen, strategische IT-Projekte weiterzubringen und beim Entdecken und Ausweiten neuer Geschäftsfelder einen aktiven Part zu spielen. "In den Unternehmen sprießt allmählich die Erkenntnis, dass Sicherheit nicht allein dazu da ist, Schlimmes zu verhindern; sie kann auch einen Mehrwert für das Geschäft liefern.

Das setzt allerdings zwischen Service-Provider und Kunde eindeutige Schnittstellen, Absprachen und Abläufe voraus. Auftraggeber und -nehmer sollten Klarheit darüber haben, wie ein Prozess angestoßen wird und wer wann welche Aufgaben zu erledigen hat, um etwa Änderungswünsche schnell und verbindlich umzusetzen. "Ab Eingang des Änderungsauftrags garantieren wir im Rahmen der Service-Level- Agreements (SLAs), dass die Arbeiten innerhalb von 30 Minuten gestartet werden", verspricht Celeris-Manager Brawand. Ähnliche Zeitrahmen gelten für außergewöhnliche Zwischenfälle. Bei Attacken, Virenbefall oder Ausfall wichtiger Komponenten geht spätestens nach 30 Minuten eine Alarmmeldung an den zuständigen Mitarbeiter des Kunden. Dazu sind für jedes denkbare Ereignis detaillierte Prozesse dokumentiert, wie die Beteiligten sich zu verhalten haben.