IT-Sicherheit Das Risiko im Griff

Viele Unternehmen sind froh, wenn sie wichtige Bereiche des Risikomanagements an Dienstleister auslagern können. Eine umfassende Analyse erleichtert die Auswahl eines geeigneten Anbieters.
Von Carsten Graf

Bergisch Gladbach - Global agierende Unternehmen stehen heute vor großen Sicherheits- und regulatorischen Anforderungen: Die Daten sind nicht länger eine überschaubare Größe, sondern bilden kontinuierliche Ströme in das Unternehmen hinein und wieder heraus. Das bringt operative Risiken mit sich, die nicht mehr nur "draußen" lauern. Aktuelle Bedrohungen haben ihren Ursprung auch innerhalb der Datenströme und entlang der gesamten Lieferkette eines Unternehmens, zu der Geschäftspartner, Zulieferer und Anwender zählen.

Um diesen Risiken wirkungsvoll zu begegnen, müssen Unternehmen über die Grenzen bisheriger Sicherheitskonzepte hinausgehen und ihre punktuelle Sichtweise zugunsten einer Strategie aufgeben, die nicht nur die Standorte, sondern die gesamte Reichweite der Daten abdeckt. Die Komplexität dieser Sicherheitsfragen verlangt nach , über die heutzutage kaum eine hausinterne IT-Abteilung mehr verfügen kann.

Als Alternative etablieren sich immer stärker Managed Security Services – Dienstleistungen, die dabei helfen, das IT-Risiko kosteneffizient zu beherrschen und die Sicherheit an die Bedürfnisse der Geschäftsprozesse anzupassen. Kosteneffizient darf man dabei nicht mit kostengünstig verwechseln: Es gibt Anbieter, bei denen sich eine anfangs größere Investition auszahlt und andere, bei denen sich auch das kleinste Budget für Sicherheitsdienstleistungen nicht lohnt.

Die Zeichen dieses noch jungen Dienstleistungssegments stehen jedenfalls auf Wachstum: So sagen beispielsweise die Marktforscher von Frost & Sullivan voraus, dass das Geschäft mit Managed Security Services bis zum Jahr 2011 auf mehr als sechs Milliarden Dollar wachsen wird. Die Experton Group beziffert den Markt für IT-Security-Dienstleistungen in Deutschland derzeit auf 2,1 Milliarden Euro. Im kommenden Jahr werde er auf knapp 2,4 Milliarden Euro wachsen, was einer Zunahme um rund 12 Prozent entspricht.

Doch wie können die Verantwortlichen die Spreu vom Weizen trennen, sprich, den passenden Anbieter von Managed Security Services auswählen? Wie können sie den Dienstleister finden, der genau jenes Level an Sicherheit bieten kann, den das Unternehmen braucht – ohne Überfrachtung mit Lösungen und Services, die nicht wirklich mehr Sicherheit bieten?

Tipps für die Suche nach einem geeigneten Anbieter

Die Fähigkeiten des Providers bewerten: Unternehmen sollten sich genau anschauen, wie breit das Spektrum des potenziellen Managed-Security-Providers ist. Professional Services in den Bereichen Sicherheit und Netzwerk sollten auf jeden Fall dazugehören und zu den speziellen Anforderungen des Unternehmens gehören.

Die Breite des technologischen und personellen Know-hows ermitteln: Managed Security Services sind nur so gut wie die Menschen, die sie erbringen. Der potenzielle Dienstleister sollte daher kontinuierlich in Personal, Prozesse und Technologien investieren.

Die wirtschaftliche Lage des Anbieters analysieren: Überzeugen sollte ein Managed-Security-Anbieter nicht nur hinsichtlich Know-how und Prozessen, sondern auch im Hinblick auf seine Finanzlage. Nur ein solcher Anbieter kann auch zusätzliche Investitionen in neue Kapazitäten, Technologien und Serviceleistungen tätigen, ein weiteres wichtiges Zeichen für Verlässlichkeit.

Strategische Partnerschaften erörtern: Laut der Experton Group sind mehr als 150 Anbieter von Sicherheitsprodukten im deutschen Markt präsent oder möchten hier aktiv werden. Ein Provider, der nach eigenem Bekunden mit allen Partnerschaften unterhält, ist genauso mit Vorsicht zu genießen, wie einer, bei dem wichtige Anbieter nicht als Partner auftauchen. Dokumentation zu Service Level Agreements einsehen. Dienstleister bieten möglicherweise verschiedene Arten von Service-Level-Vereinbarungen an, teils auch länderspezifische. Dies kann für ein Unternehmen gerade auch im Hinblick auf die Einhaltung regulatorischer Anforderungen wichtig sein.

Umfang und Ausmaß der Verantwortlichkeiten des Providers feststellen: Unternehmen sollten prüfen, für was ein potenzieller Provider die Verantwortung übernimmt – ob beispielsweise für Infrastruktur-, Anwendungs-, Daten- oder End-to-end-Sicherheit.

Security-Center besuchen, wichtige Mitarbeiter kennenlernen: Steht für das Unternehmen ein spezielles Team beim Provider bereit, sollte man sich mit diesem vorab treffen. Auch Notfallpläne des Providers, wie er den Betrieb während unvorhergesehener Umstände aufrechterhalten will, können Hinweise auf mögliche künftige Reibungspunkte liefern.

Gespräche führen: Das Selbstverständnis der Mitarbeiter des Managed-Security-Providers kann ebenfalls aufschlussreich sein: Verstehen diese sich als eine Erweiterung des Mitarbeiterstabes des auslagernden Unternehmens oder ist nur eine geringe Identifikation mit der Branche und den besonderen Anforderungen des Unternehmens erkennbar?

Der Autor ist Manager Security Solutions bei Verizon Business Security Solutions

Mehr lesen über
Die Wiedergabe wurde unterbrochen.