Wegen unzureichender IT-Schutzvorkehrungen hält jeder fünfte deutsche Sicherheitsexperte die eigene Organisation für gefährdet, meldet das Bundesamt für Sicherheit in der Informationstechnik. Doch mit der einmaligen Installation von Firewall und Virenscanner ist es nicht getan: Aufbau und Management firmeneigener Strukturen für die IT-Sicherheit kosten Geld und binden Personal. Schmale Budgets für die Sicherheit halten Mittelstandsunternehmen davon ab, ihre Mitarbeiter laufend zu schulen und ihre Systeme dauernd mit den nötigen Updates zu versorgen. Eine Alternative sind so genannte „Managed Security Services“: Spezialisierte Dienstleister nehmen den Firmen einen Großteil der Arbeit ab und bieten im Rahmen von Outsourcing-Vereinbarungen maßgeschneiderte Dienstleistungen für die IT-Sicherheit „rund um die Uhr“.
Viren, Hacker, Spionageattacken – die Angriffe auf die Informationstechnik (IT) von Unternehmen sind vielfältig und gefährlich. Die Konsequenzen macht eine Studie von Macarthur Stroud International klar: Danach erleben mehr als die Hälfte der 670 befragten mittelständischen und großen Firmen in Europa mindestens ein Mal pro Quartal einen ungeplanten Ausfall ihrer IT-Systeme. Das größte Risiko stellt dabei nach Auffassung von drei Vierteln der Umfrageteilnehmer die „Malware“ dar: Software mit negativen Auswirkungen wie zum Beispiel Viren und so genannte Trojaner, die via Internet in ungeschützte Systeme eingeschleust werden.
Doch gerade mittelständische Unternehmen ohne eigene IT-Abteilung fürchten die Belastungen, die sich aus den steigenden Sicherheitsanforderungen für das Budget ergeben. Eine Vielzahl von preisgünstigen Sicherheitslösungen gibt es mittlerweile am Markt, allerdings ist es mit deren Installation allein nicht getan. Diese dynamischen Systeme müssen regelmäßig gepflegt werden, und das ist für viele Unternehmen neben dem Tagesgeschäft einfach zu aufwändig.
Regelmäßige Pflege
Verschiedene Marktforschungsergebnisse bestätigen dies: Danach ist die Anschaffung der entsprechenden Sicherheitstechnologie nur ein kleiner Teil der zu leistenden Arbeit. So sind nach Auffassung der Meta Group mehr als 80 Prozent der aktuellen Sicherheitsprobleme die Folge unzureichender Konfigurationen, fehlender Patches und unregelmäßiger Wartung. Doch die kontinuierliche Pflege verursacht hohe Kosten für das notwendige Fachpersonal und dessen fortwährende Qualifizierung, so dass immer mehr Unternehmen das Outsourcing dieser Dienstleistung als Managed Security Services in Betracht ziehen.
Um Internet und e-mail guten Gewissens als zusätzliche Medien für die Gewinnung von Kunden und Umsätzen nutzen zu können, brauchen die Unternehmen eine Lösung, mit der die Sicherheit der Systeme und Daten garantiert werden kann. Dies können Dienstleister übernehmen, weshalb im Unternehmen selbst kein Personal für die Systempflege vorgehalten werden muss. Ein spezialisierter Managed Security Service Provider garantiert ihm ein bestimmtes Sicherheitsniveau zu einem kalkulierbaren Betrag.
Eine solche Managed-Security-Service-Lösung kann auf einer Firewall und einem individuellen Servicepaket basieren, eine hohe Verfügbarkeit garantieren und gleichzeitig von Administration, Konfiguration, Wartung und Pflege entlasten. Durch Call-Center sollte die Annahme sicherheitsrelevanter Meldungen rund um die Uhr gewährleistet sein. Je nach Wichtigkeit des Standortes ist eine Reaktionszeit festgelegt, in der die Störung behoben wird. Ist das Problem nicht per Fernzugriff zu bewältigen, so wird die Störung durch den Einsatz eines Systemspezialisten vor Ort beseitigt. Alle Fäden, aus denen das Sicherheitsnetz geknüpft ist, laufen im Sicherheitszentrum des Dienstleisters zusammen, von dem aus auch die permanente Überwachung des Security-Systems auf seine Verfügbarkeit erfolgt. Kommt es zu einem Störfall, so wird automatisch eine entsprechende Alarmmeldung generiert. Hinzu kommen sollten Management-Dienstleistungen wie die Software-Pflege des Firewall-Systems, die Administration des Firewall-Regelwerks sowie Backups wichtiger Dateien und Konfigurationen. Des Weiteren werden die aufgezeichneten Logfiles regelmäßig analysiert und ausgewertet.
Klare Zuständigkeiten sind nach Expertenmeinung das A und O beim Outsourcing der Security Services. So rät die Meta Group den Nutzern, die Zuständigkeiten und Rollen sowie die Prozesse für Monitoring, Eskalation und Reporting im Vertrag eindeutig festzuschreiben. „Anwenderunternehmen sollten niemals die Verantwortung für IT-Sicherheit komplett outsourcen“, empfiehlt Wolfram Funk, Consultant bei dem Beratungsunternehmen. Wichtig seien ein straffes Management der Outsourcing-Beziehung und ein umfassendes Verständnis des Anwenders für die Funktionen, die nach außen vergeben werden. Zudem sei es ratsam, die finanzielle Stabilität des Managed Security Service Providers im Vorfeld eindeutig zu hinterfragen.
Jan de Vries
Viren, Hacker, Spionageattacken – die Angriffe auf die Informationstechnik (IT) von Unternehmen sind vielfältig und gefährlich. Die Konsequenzen macht eine Studie von Macarthur Stroud International klar: Danach erleben mehr als die Hälfte der 670 befragten mittelständischen und großen Firmen in Europa mindestens ein Mal pro Quartal einen ungeplanten Ausfall ihrer IT-Systeme. Das größte Risiko stellt dabei nach Auffassung von drei Vierteln der Umfrageteilnehmer die „Malware“ dar: Software mit negativen Auswirkungen wie zum Beispiel Viren und so genannte Trojaner, die via Internet in ungeschützte Systeme eingeschleust werden.
Doch gerade mittelständische Unternehmen ohne eigene IT-Abteilung fürchten die Belastungen, die sich aus den steigenden Sicherheitsanforderungen für das Budget ergeben. Eine Vielzahl von preisgünstigen Sicherheitslösungen gibt es mittlerweile am Markt, allerdings ist es mit deren Installation allein nicht getan. Diese dynamischen Systeme müssen regelmäßig gepflegt werden, und das ist für viele Unternehmen neben dem Tagesgeschäft einfach zu aufwändig.
Regelmäßige Pflege
Verschiedene Marktforschungsergebnisse bestätigen dies: Danach ist die Anschaffung der entsprechenden Sicherheitstechnologie nur ein kleiner Teil der zu leistenden Arbeit. So sind nach Auffassung der Meta Group mehr als 80 Prozent der aktuellen Sicherheitsprobleme die Folge unzureichender Konfigurationen, fehlender Patches und unregelmäßiger Wartung. Doch die kontinuierliche Pflege verursacht hohe Kosten für das notwendige Fachpersonal und dessen fortwährende Qualifizierung, so dass immer mehr Unternehmen das Outsourcing dieser Dienstleistung als Managed Security Services in Betracht ziehen.
Um Internet und e-mail guten Gewissens als zusätzliche Medien für die Gewinnung von Kunden und Umsätzen nutzen zu können, brauchen die Unternehmen eine Lösung, mit der die Sicherheit der Systeme und Daten garantiert werden kann. Dies können Dienstleister übernehmen, weshalb im Unternehmen selbst kein Personal für die Systempflege vorgehalten werden muss. Ein spezialisierter Managed Security Service Provider garantiert ihm ein bestimmtes Sicherheitsniveau zu einem kalkulierbaren Betrag.
Eine solche Managed-Security-Service-Lösung kann auf einer Firewall und einem individuellen Servicepaket basieren, eine hohe Verfügbarkeit garantieren und gleichzeitig von Administration, Konfiguration, Wartung und Pflege entlasten. Durch Call-Center sollte die Annahme sicherheitsrelevanter Meldungen rund um die Uhr gewährleistet sein. Je nach Wichtigkeit des Standortes ist eine Reaktionszeit festgelegt, in der die Störung behoben wird. Ist das Problem nicht per Fernzugriff zu bewältigen, so wird die Störung durch den Einsatz eines Systemspezialisten vor Ort beseitigt. Alle Fäden, aus denen das Sicherheitsnetz geknüpft ist, laufen im Sicherheitszentrum des Dienstleisters zusammen, von dem aus auch die permanente Überwachung des Security-Systems auf seine Verfügbarkeit erfolgt. Kommt es zu einem Störfall, so wird automatisch eine entsprechende Alarmmeldung generiert. Hinzu kommen sollten Management-Dienstleistungen wie die Software-Pflege des Firewall-Systems, die Administration des Firewall-Regelwerks sowie Backups wichtiger Dateien und Konfigurationen. Des Weiteren werden die aufgezeichneten Logfiles regelmäßig analysiert und ausgewertet.
Klare Zuständigkeiten sind nach Expertenmeinung das A und O beim Outsourcing der Security Services. So rät die Meta Group den Nutzern, die Zuständigkeiten und Rollen sowie die Prozesse für Monitoring, Eskalation und Reporting im Vertrag eindeutig festzuschreiben. „Anwenderunternehmen sollten niemals die Verantwortung für IT-Sicherheit komplett outsourcen“, empfiehlt Wolfram Funk, Consultant bei dem Beratungsunternehmen. Wichtig seien ein straffes Management der Outsourcing-Beziehung und ein umfassendes Verständnis des Anwenders für die Funktionen, die nach außen vergeben werden. Zudem sei es ratsam, die finanzielle Stabilität des Managed Security Service Providers im Vorfeld eindeutig zu hinterfragen.
Jan de Vries
