Die Sicherheit andern überlassen

Das Outsourcing der IT-Security ist ein Trend. Worauf muss ich aber achten und was habe ich in der Schweiz für Möglichkeiten dafür?

Artikel erschienen in Swiss IT Magazine 2008/03

     

Das Thema Sicherheit beschäftigt die IT aktuell mehr denn je. Wie im einleitenden Artikel zu Security Management bereits erwähnt wurde, nehmen die Sicherheitsbedrohungen stetig zu und werden immer professioneller. Entsprechend hat man sich mit möglichen Massnahmen dagegen auseinanderzusetzen.


Eine Lösung, sich den Ärger mit der IT-Security zu ersparen oder ihn zumindest zu verringern, ist auf den ersten Blick das Outsourcing: Man sucht sich einen Managed Securtiy Service (MSS) Provider, der spezielle Sicherheitsaufgaben für einen übernimmt.



Das Angebot an MSS ist unglaublich gross. Es gibt das Komplett-Outsourcing, wo alles Sicherheitsrelevante beim Provider steht beziehungsweise vor sich geht, aber auch eine Vielzahl an Teillösungen, bei denen man nur bestimmte Themen externen Profis überlässt.


Sicherheit ist heikles Thema

Immer mehr Unternehmen denken über das Outsourcing ihrer IT-Security nach. Die Marktforscher von Gartner prophezeien der Branche bis 2009 ein jährliches Wachstum von 14,9 Prozent. Auch IDC sieht eine deutliche Zunahme. Wo liegen denn die Vorteile des Outsourcing? Kurz zusammengefasst: Sicherheitsbudgets haben Limiten und können schnell einmal aus dem Ruder laufen. Ein 365x24x7-Betrieb ist teuer, bestens geschultes Personal ebenfalls, und auch die Kosten für laufend auf dem neusten Stand zu haltende Hard- und Software sind nicht zu unterschätzen.


Ein optimaler MSS-Provider kann sein Know-how und seine Infrastruktur für mehrere Kunden brauchen, ist immer auf dem neusten Stand und arbeitet so in der Regel kostengünstiger als eine eigene, grosse Security-Abteilung. Zudem bietet er massgeschneiderte Lösungen an (dazu später mehr), meist zu einem monatlichen oder jährlichen Grundtarif. Man hat die Kosten also im Griff.



Ein weiterer Vorteil ist die Sicherheit der Sicherheit: Die Security-Richtlinien nehmen ständig zu. Durch ein Outsourcing kann ich mich, sofern das vertraglich richtig geregelt ist, rechtlich relativ einfach schützen.
Trotzdem fehlt die Akzeptanz. Die Angst, seine eigene Sicherheit aus der Hand zu geben, obsiegt jeweils. Schon alleine die Diskussion über Security-Themen mit einem Service Provider wird als hochsensibel eingestuft. Das bestätigt eine aktuelle Studie der Experton Group. Man lässt sich demnach zwar sehr gerne extern beraten und zählt auf die Mithilfe bei der Konzeption und dem Aufbau von Security-Architekturen. Die Auslagerung dagegen weist aber nur eine geringe Akzeptanz auf. Nur 50 Prozent der Befragten denken laut den Umfrageergebnissen über ein mögliches Outsourcing nach beziehungsweise haben bereits Teile der Security ausgelagert. Der Rest nicht.


Viele Anbieter auf noch kleinem Markt

Der MSS-Markt boomt aber trotzdem. Auch bei uns in der Schweiz. Wir haben uns einmal umgeschaut, um für Sie ein paar der vielen Angebote in einer Markt­übersicht zu vergleichen. Insgesamt sind es 16 MSS-Provider, deren Dienstleistungen wir näher unter die Lupe nehmen.


Managed Security Services werden zum einen von Herstellern von IT-Sicherheitsprodukten wie beispielsweise Symantec oder Norman angeboten. Sie bieten vor allem die gängigsten, outgesourcten Dienste wie Spam-Filtering, Firewall oder Anti-Viren-Schutz an. Sie sind aber, als Hersteller, auch bei anderen Providern im Hintergrund tätig. Dazu aber später mehr.

Eine zweite Anbieter-Gruppe bilden die eigentlichen IT-Dienstleister. Zu ihnen zählen grosse Firmen wie Hewlett Packard oder IBM, aber auch kleinere, spezialisierte Unternehmen wie beispielsweise United Security Providers, Terre Acitve, Open Systems, Uplink, CMFnet oder Cyberlink. Eine dritte Gruppe bilden Orange Business Services und Swisscom. Die beiden eigentlichen Netzwerk-Provider haben heute ebenfalls ein grosses Angebot an Managed IT-Services. Interessantes am Rande: Die Swisscom bietet sogar in zwei Geschäftsbereichen MSS an, sowohl bei Swisscom IT Services
als auch bei Swisscom Solutions.


Sorgfältige Auswahl des MSS-Providers

Bevor wir nun aber die verschiedenen Angebote vergleichen, noch etwas Grundsätzliches vorab: Möchte man ein Outsourcing der digitalen Sicherheit, sollte man sich, egal bei wem, wie und wo man das Geschäft plant, umfassend über Bedingungen und Konditionen Gedanken machen. Diese Punkte spielen dann, neben anderen wichtigen Argumenten, eine grosse Rolle beim Entscheid für oder gegen einen Anbieter. Zusammengefasst werden sie gemeinsam mit dem Provider in einem sogenannten Service-Level-Agreement (SLA).


Kommen wir nun aber zu den MSS-Providern in der Schweiz. Was haben sie zu bieten? Wir haben ihre Dienstleistungen bezüglich des Angebots an Services und Support verglichen. Als Erstes fällt auf, dass es viele verschiedene mögliche Themenfelder gibt, die man auslagern kann. Das reicht von einer «simplen» Firewall über komplexe Identity-Management-Funktionen bis hin zu einem Komplett-Outsourcing.



Die ganze Bandbreite an den von uns nachgefragten MSS decken in der Marktübersicht nur die fünf Anbieter Hewlett Packard, Orange Business Services, Swisscom Solutions, United Security Providers und Verizon Business ab. Allerdings muss ein Wunsch-Provider ja nicht alles können. Es reicht, wenn nur das angeboten wird, was man sich auch auszulagern wünscht. Ausser man beabsichtigt eventuell zu einem späteren Zeitpunkt noch weitere Services in Anspruch zu nehmen.


Wer nur zentrale Sachen wie die Firewall, VPN, IDS/IPS, Anti-Virus oder Spam-Filter outsourcen möchte, hat keine Probleme: Fast alle Provider haben diese Services im Angebot. Schwerer wird’s da schon, wer Gebiete wie die Verschlüsselung, Backup-Prozesse, Identity-Management oder die WLAN-Security auslagern möchte.


Was beim Vergleich der nachgefragten Services auffällt, ist, dass die beiden bekannten Hersteller von Antiviren-Software, Symantec und Norman, das schmalste Angebot haben. Sie bieten nur zwei bzw. drei Services an. Allerdings haben sie ja nicht nur dieses «Standbein»: Ihre Produkte, wie eben Antiviren-Software oder Spam-Filter, findet man auch bei anderen Providern im Einsatz. Für ein grosses und komplexes Security-Outsourcing kommen die beiden aber nicht in Frage.


Eine Vielzahl an Services

Wer ein Komplett-Outsourcing der IT-Security in Betracht zieht, für den gibt es ein paar Alternativen. Wirklich komplett sind allerdings nur die bereits erwähnten fünf Provider, die alle Services anbieten. Die anderen sourcen zwar auch alles aus, aber halt nur alles das, was sie offerieren.


Apropos Angebot: Natürlich existieren noch viele weitere Services, die man bei den einzelnen Providern beziehen kann. Das reicht, je nach Spezialisierung des Unternehmens, von Managed Server (Cyberlink) über VoIP-Security (Orange Business Services) bis zu PKI (Swisscom) und DDOS Mitigation (Verizon Business), um nur einige zu nennen.



Wer seine Security komplett in fremde Hände gibt, aber auch für alle, die nur Teile davon auslagern, ist das Reporting ein weiterer wichtiger Punkt. Es sollte möglichst schnell passieren und einfach zu handhaben sein. Am besten funktioniert das beispielsweise mit einem Web-Portal, wo ich mich jederzeit informieren kann. Diese Lösung ist, wie unsere Umfrage zeigt, sehr weit verbreitet. Die Benachrichtigung durch E-Mails oder Telefonate ist aber die Nummer eins, diese Arten sind quasi Standard. Einige informieren auch per SMS, Fax oder direkt auf den Pager, ganz nach Wunsch. Interessant: Trotz unserer heutigen, schnellebigen Zeit, legt United Security Providers Wert darauf, dass sie auch offline, sprich via Papier, reporten.


Rund-um-die-Uhr-Support

Wer seine Security-Aufgaben Externen überlässt, für den sind natürlich auch die Supportleis­tungen wichtig. Ein Rund-um-die-Uhr-Support (24/7) ist Standard. Nur gerade der Provider Secu­trends bietet diese Dienstleistung nicht an, alle anderen sind jederzeit im Einsatz und sieben Tage die Woche rund um die Uhr erreichbar. Neun unserer Marktübersichtteilnehmer bieten sogar einen 24/7-Support vor Ort an.


Damit es aber nicht zu einem Fall kommt, wo ich Support brauche, betreiben alle Provider ein Monitoring, das heisst, sie beobachten oder überwachen die Vorgänge oder Prozesse, die die Security betreffen, mittels Systemen rund um die Uhr.
All diese Support-Services nützen einem aber nichts, wenn die Verfügbarkeit nicht stimmt. Die ist aber in unserer Marktübersicht überall gewährleistet. Sie reicht von Werten von 99,60 Prozent bis zu 99,9999 Prozent und einige geben sogar an, 100 Prozent zu erreichen. Allerdings kommen die Zahlen von den Herstellern selbst, wir konnten diese nicht überprüfen und wissen nicht, ob sie in jeder Hinsicht stimmen. Sie sind nämlich stark abhängig von den gewählten Services und natürlich auch der gewählten Hard- und Software.



Bleiben wir gleich bei diesem Thema: Wichtig beim Entscheid für einen MSS-Provider dürfte für den einen oder anderen IT-Verantwortlichen auch sein, ob und für welche Produkte der Anbieter zertifiziert ist. Wie wir im Rahmen der Marktübersicht festgestellt haben, sind überall eine ganze Reihe von Zertifikaten vorhanden, die eine Auflistung verunmöglichen würden. Kurz zusammengefasst: Fast alle MSS-Provider in der Übersicht haben Zertifikate von namhaften Hardware- und Softwareherstellern (z.B. Cisco, Checkpoint, Microsoft, Symantec, Fortinet, Juniper, etc.).


Weitere Entscheidungshilfen

Neben den bereits besprochenen Kriterien und als Ergänzung dazu sollten bei einem Entscheid für einen MSS-Anbieter noch weitere Aspekte miteinbezogen werden. Wichtig ist, wie auch die Marktforscher von Forrester festgestellt haben, beispielsweise, ob der Provider über dokumentierte Richtlinien und Prozeduren, die den Schutz der Daten garantieren, verfügt.


Interessant könnten auch Aspekte zum Personal sein: Wie wird es überwacht, wie sieht seine Aus- und Weiterbildung aus? Eventuell ist es auch möglich, dass der Anbieter externe Dienstleister für Service, Installation, Konfiguration, und/oder Support angestellt hat.



Eine Frage, die man sich im Vorfeld auch noch stellen sollte, ist, ob die Services und Supportfunktionen allenfalls den Einsatz proprietärer Techniken voraussetzen, die man zusätzlich erwerben müsste. Das könnte zu Änderungen in der eigenen Architektur und zu grösseren Kosten führen.


Schliesslich sollte man auch die SLAs genauer betrachten. Es genügt nicht nur, sie abzuschliessen, sondern es gilt auch festzulegen, was denn passiert, falls die SLAs ihre Aufgabe nicht erfüllen oder sie geändert werden müssen. In diesem Zusammenhang sind auch Garantieleistungen sowie Haftungsbeschränkungen zu vereinbaren.


Vergleichen lohnt sich

Unsere Marktübersicht liefert viele Tips und Hinweise, welcher MSS-Provider was anbietet. Praktisch alle Provider machen bis auf wenige negative Punkte einen guten Eindruck. Das Security-Outsourcing ist also durchaus eine Sache, die man sich überlegen sollte. Für einen definitiven Outsourcing-Entscheid sind aber die individuellen Bedürfnisse so hoch einzuschätzen, dass man unbedingt mehrere Vergleichsofferten einholen sollte.
Schliesslich gibt es auch noch einen Aspekt, den wir bisher bewusst verschwiegen haben: den Preis. Er variiert natürlich von Angebot zu Angebot stark, dürfte aber ein zusätzliches, gewichtiges Wörtchen beim Provider-Entscheid mitspielen.




Managed Security Service Provider

(mv)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER