Rubrik: Dienstleistungen/Managed Security Services

Der Kunde muss die Kontrolle über den Managed Security Service Provider bewahren

Viele Betriebe tun sich bei der Auswahl des passenden Sicherheits-Dienstleisters schwer

(19.06.08) - Neue Erkenntnisse der Experton Group belegen: Managed Security Services (MSS) sind kein Allheilsbringer, führen, richtig eingesetzt, aber zu einer Win-win-Situation für Kunde und Dienstleister. Der deutsche Markt für IT-Security-Dienstleistungen zieht weiter an. Dies belegen Analysen der Experton Group. Für 2009 sehen die Analysten in Deutschland einen Umsatz von knapp 2,4 Milliarden Euro, ein Plus von 13 Prozent im Vergleich zu 2,1 Milliarden Euro in diesem Jahr.

"Wir sehen weiterhin eine wachsende Bereitschaft der deutschen Unternehmen, einzelne Security-Dienste auszulagern", sagt Wolfram Funk, Senior Advisor bei der Experton Group AG mit Sitz in Ismaning, "jedoch tun sich viele Betriebe bei der Auswahl des passenden Sicherheits-Dienstleisters schwer." Deshalb rät der Analyst den Unternehmen, die Entscheidungsfindung von ihrem jeweiligen Anforderungsprofil abhängig zu machen, also der Art und des Umfangs der ausgelagerten Aufgabe. Dazu gehört auch, potentielle Partner auf Herz und Nieren zu prüfen: Besitzt der Dienstleister hinreichende Erfahrungen und nachweisliche Expertise  in den auszulagernden Security-Bereichen? Bietet er auch für langfristige Planungen des Unternehmens ausreichende Kapazitäten und die geforderten Services vor Ort?

Was auslagern, was inhouse halten?

Nach aktuellen Untersuchungen der Experton Group nutzen drei von vier deutschen Unternehmen die Services externer Dienstleister für IT-Security, etwa für Wartungs-, Support- oder Integrations-dienstleistungen. Unabhängig von der Art der genutzten Services raten die Analysten den Unternehmen aber, die übergeordnete Verantwortung für IT-Security immer bei sich im Haus zu behalten. "Für Managed Security Services, also im weiteren Sinne Betriebsdienstleistungen im Sicherheits-Umfeld, sollten Unternehmen stets einen kompetenten internen Ansprechpartner vorhalten", mahnt Wolfram Funk, sieht aber: "die konkrete Ausführung spezifischer Aufgaben wie etwa Monitoring, Forensik oder Konfigurationsmanagement, für die Unternehmen keine internen Ressourcen aufbauen möchten oder können, bei externen Dienstleistern durchaus gut aufgehoben".

Kontrolle bewahren

Der Kunde muss während des gesamten Lifecycles eines Security-Outsourcings die Kontrolle über den Managed Security Service Provider (MSSP) bewahren, nie umgekehrt, warnt die Experton Group. "Zum einen gilt es, Service Level Agreements (SLAs) und Messinstrumente zur Kontrolle und Bewertung erbrachter Dienstleistungen klar und eindeutig zu definieren", so Funk, und betont. "Die Unternehmen sollten allerdings auch genügend internes Fachpersonal einplanen, um die fachlichen Qualitäten des Dienstleisters regelmäßig auf den Prüfstein stellen um im Bedarfsfall, etwa durch Providerwechsel, reagieren zu können."

Fallstricke und Best Practices

"Erwägt ein Unternehmen, einzelne Security-Dienstleistungen an einen MSSP auszulagern, gilt es schon im Vorfeld, einige Dinge zu beachten", weiß Wolfram Funk und rät Unternehmen dringend dazu, vorab einige Regeln zu befolgen.

·         Strukturen schaffen - Unternehmen sollten schon im Vorfeld eines Outsourcings ihre Organisationsstrukturen auf Vordermann bringen. Ein Chief Informatjon Security Officer (CISO) oder eine ähnliche zentrale Funktion sorgt dafür, dass Verantwortlichkeiten, Rollen und Policies definiert werden

·         Kontrolle behalten - Die Rollen zwischen Unternehmen und MSSP sollten klar verteilt sein: Der Dienstleister übernimmt jeweils definierte Aufgaben, Qualitätskontrolle, Management und Koordination verbleiben im Unternehmen

·         Leistungsspektrum festlegen - Unternehmen sollten den Umfang der ausgelagerten Leistungen klar definieren. Ein Ausbalancieren von internem  und externen Personal verhindert Abhängigkeiten und Kontrollverlust

·         Eindeutige Regelungen treffen - SLAs und Metriken zur Leistungsbewertung sollten klar und eindeutig definiert, Sanktionen bei Nichterfüllung festgelegt werden.

·         Compliance-Aspekte beachten - Unternehmen sollten lokale Spezifika im Auge behalten, die Kommunikation zwischen einzelnen Business-Funktionen, Rechtsabteilung und CISO sollte gewährleistet sein

"Unternehmen sind gut beraten unabhängig von der Art der ausgelagerten Aufgaben großes Augenmerk darauf legen, dass die Zusammenarbeit mit einem MSSP von Anfang an auf eine Win-win-Situation ausgelegt ist", betont Funk abschließend. "Werden Aufgaben, Kompetenzen und Verantwortlichkeiten bereits im Vorfeld klar definiert, ist eine große Hürde für ein erfolgreiches Outsourcing überwunden", so der Analyst. (Integralis: ra)