Impressum
Aktuelles
Unternehmensprofil
Sicherheitsloesungen
Dienstleistungen
Trainings
Presse
Startseite
Uebersicht
Pressemeldungen
Veröffentlichungen
Berichterstattung
Aktuelle Marktnachrichten
Was ist was?

Sinn des Security-Outsourcings ist umstritten

Unternehmen müssen zunächst festlegen, was sie wie stark schützen wollen – Wichtig ist die Definition von Verantwortlichkeiten und Reaktionen

Dass IBM für 1,3 Milliarden Dollar den Sicherheitsspezialisten ISS übernimmt, zeigt, welche Hoffnungen auch große IT-Player in das Thema Managed Security Services (MSS) setzen.

Analysten prognostizieren dem Segment zumindest ein stattliches Wachstum: So erwartet Datamonitor für MSS eine Zunahme von 27 Prozent jährlich, während IT-Security-Services allgemein bloß etwa acht Prozent wachsen sollen.

Allerdings werde IBMs Akquisition von ISS den deutschen Markt nicht grundlegend umkrempeln, erwartet Wolfram Funk, Senior Advisor der Experton Group. Denn die Anbieterlandschaft habe sich ohnehin stark verbreitert:

Neben den Pionieren, also Security-Dienstleistern wie Integralis, Cybertrust, Verisign oder SHE IT AG, tummeln sich hier inzwischen Hersteller von Sicherheitsprodukten wie Symantec und ISS, Netzbetreiber a la Orange Business Services, BT, AT&T oder Arcor und QSC, Systemintegratoren (Computacenter, Controlware, Dimension Data und Info AG) sowie nicht zuletzt die großen IT- Outsourcer, etwa HP, CSC, SBS, T-Systems und IBM.

Darüber hinaus haben sich gerade beim E-Mail-Schutz einige Spezialisten etabliert, darunter Eleven, Messagelabs, Blackspider, Frontbridge/Microsoft oder Postini.

Firewall steht nicht mehr im Fokus. Zugleich sei der Markt inhaltlich gereift, berichtet Funk. So trete das früher dominierende Firewall-Management in den Hintergrund gegenüber Themen wie Intrusion Detection/Prevention, Schwachstellenverwaltung und eben E-Mail-Kontrolle.

Gartner sieht ebenfalls Vulnerability Management mit regelmäßigen Schwachstellen-Scans inklusive Reporting in den Fokus rücken, ebenso das Security Event Management. „Die Auswertung der Security-Daten ist nicht zuletzt aufgrund gesetzlicher Regelungen vorgeschrieben – etwa SOX, das als 8. EU-Richtlinie auch nach Europa schwappen wird“, so Tom Köhler, Country Manager Verisign.

Für Forrester-Mann Paul Stamp sprechen drei Gründe für eine Security-Auslagerung:

Kosten sparen: Gerade das Überwachen von Firewalls und Antivirus-Lösungen könne sehr arbeits- und zeitaufwändig sein.
Umsetzung: MSS-Provider können besser in komplexe, teure Technologie investieren, weil sie diese mehrfach nutzen.
Skills: Zudem können diese sich besser ausgebildete Spezialisten leisten.

Dennoch hat der Markt bislang noch nicht so abgehoben wie oft prognostiziert. „Managed Security Services waren ihrer Zeit voraus. Ähnlich wie Public Key Infrastrukturen (PKI) nicht abhoben, weil die Anwendungen fehlten“, räumt Köhler ein. Aber nun wachse das Bedürfnis für Security Services: „Denn die Lage wird komplexer.“ Entsprechend müsse man etwa die Firewall-Einstellungen im Kontext der Daten der Anti-Intrusion-Systeme sowie Verwundbarkeiten betrachten: „Wir konzentrieren uns daher auf diese Meta-Ebene.“ Themen wie Managed E-Mail-Security dagegen überlasse man lieber einem der vielen anderen Anbieter.

Dabei gehört gerade die Mail-Kontrolle zu den wenigen sinnvollen Angeboten, die der MSS-Kritiker Stefan Strobel ausmachen kann. Von Managed Firewalls dagegen hält der Cirosec-Geschäftsführer gar nichts: „Eine 24-Stunden-Auswertung von Firewall-Log-Daten ist für normale Unternehmen nicht sinnvoll. Denn schlaue Hacker, die offene Ports nutzen oder auf Anwendungsebene angreifen, tauchen sowieso nicht in den Logdaten der Firewall auf.“

Firmen mieten oft unnütze Dinge

Managed Intrusion Detection (IDS) sei „noch abstruser“, schimpft Strobel. „Erst kauft man für viel Geld ein IDS und stellt dann fest, dass man die Fülle an Meldungen und Fehlalarmen gar nicht handeln kann.“ Auch ein Auslagern helfe da nicht unbedingt. So kennt er Kunden, die drei- bis viertausend Euro im Monat für einen Managed IDS Dienst bezahlen. „Vom Outsourcer bekommen diese täglich 20 bis 30 Mails mit angeblich gefilterten und besonders wichtigen Alarmen. Ein paar davon versuchen sie nachzuvollziehen, aber die meisten werden einfach abgelegt“.

Da das reine Erkennen von Angriffen sowieso nicht zum Schutz beitrage, sondern erst die richtige Reaktion darauf, rät Strobel zuerst zu klären, wie man auf einen Angriff richtig reagiert. „Dabei wird dann schnell klar, dass die Reaktion vor allem intern erfolgen muss und dass der Outsourcer da kaum sinnvoll helfen kann.“

Es sei denn, ergänzt Experton-Mann Funk, man übergibt die weitere Reaktion auf Vorfälle – das Incident Management – auch gleich an den MSS-Anbieter. Aber das, bemängelt Strobel, könne eigentlich nur gut funktionieren, wenn man sowieso schon die ganze IT ausgelagert hat.

Kleine wählen eher lokale Anbieter

Strobels Fazit: Statt für viel Geld blind einen Managed Service zu mieten, sollte man zunächst mit den Grundlagen beginnen: Welche Ziele verfolge ich mit der IT-Security und welche Werte möchte ich schützen? „Dann kann ich bei jeder Technik überlegen, ob und wie sie zum Schutz meiner Werte beiträgt“, so Strobel, „und ich bin nicht mehr den Verkäufern der Anbieter ausgeliefert.“

Welcher Managed-Security-Provider nun der richtige ist, sei vor allem eine Frage des Vertrauens, hänge aber auch von den individuellen Voraussetzungen ab, so Funk. So sollten global tätige Unternehmen einen Anbieter wählen, der sie international unterstützen kann.

Dagegen sei für kleinere Mittelständler wohl ein lokaler Dienstleister auf Augenhöhe die bessere Wahl. Strobel nickt: „Denn als kleines Unternehmen bin ich bei dem kleineren Anbieter um die Ecke, der mich kennt und dem ich vertraue, besser aufgehoben, als bei einem großen Player, bei dem ich nur eine kleine Nummer bin.“

Computer Zeitung 38/2006, netigator 25.09.06

pdf-Datei

zurück
Bild Berichterstattung