Hannover - Der Trend zum selektiven Outsourcing, verfeinert als Managed Services bezeichnet, erfasst auch Funktionen und Prozesse für die Sicherheit von ITK-Systemen. Der rein reaktive Umgang mit Angriffen auf Unternehmensnetze reicht nach Auffassung von Branchenexperten allerdings nicht mehr aus. Die dramatisch zunehmende Zahl von Viren erfordert Präventiv-Maßnahmen. Es genügt einfach nicht, Updates für die Virenscanner einzuspielen, wenn sich der Angriff eines neuen Virus bereits in der Internetszene herumgesprochen hat. Das amerikanische E-Security Systemhaus MessageLabs http://www.messagelabs.com hat in einer Online-Studie festgestellt, dass das Verhältnis Virus zu E-Mail extrem angewachsen ist. "Das Verhältnis Virus zu E-Mail beträgt mittlerweile 1 zu 10,7", so Mark Sunner, Chief Technology Officer bei MessageLabs.
http://www.messagelabs.com hat in einer Online-Studie festgestellt, dass das Verhältnis Virus zu E-Mail extrem angewachsen ist. "Das Verhältnis Virus zu E-Mail beträgt mittlerweile 1 zu 10,7", so Mark Sunner, Chief Technology Officer bei MessageLabs. Vor einem Jahr habe es noch 1 zu 125,5 und im Jahr 2002 sogar nur 1 zu 212 betragen. MessageLabs empfiehlt daher den Einsatz proaktiver Managed Services. Diese könnten "alle bekannten und auch unbekannten Gefahren aus dem Netz bereits abblocken, bevor sie das Unternehmensnetzwerk erreichen", führt Sunner aus.
Sicherheit ist kein Zustand, sondern ein laufender Prozess, der auf einer Unternehmensstrategie aufsetzen muss. Sie reicht von der Zugangskontrolle zum Gebäude bis zu Unternehmensrichtlinien für den Umgang mit Daten:ITK-Sicherheit ist nur eine Untermenge des Themas. Mit dem Artikel-Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG) werden Unternehmen verpflichtet, ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten. Es zwingt Unternehmer und Geschäftsführer, sich mit Risiken und Gefahren aus mangelnder Datensicherheit zu beschäftigen. Der deutsche Zoll hat zudem am 1. April 2004 auf das elektronische Zollerfassungssystem Atlas umgestellt und verlangt auch von Transporteuren und Herstellern, ihre internationale Geschäftsabwicklung auf eine sichere Plattform zu bringen. Die Pflichten zur Datensicherheit werden also nicht nur auf das eigene Unternehmen beschränkt, sagt Michael Sander vom Beratungshaus TCP Terra Consulting http://www.terraconsult.de in Lindau.
Jede Art von Sicherheitssystem könne dabei umgangen und ausgehebelt werden. Wichtig ist daher, dass der Kunde weiß, wo er überall angreifbar ist, und den gewünschten Schutz, das Security-Level, bewerten kann. Sicherheit ist ein Projektgeschäft, und läuft sinnvoller weise immer auf Managed Services hinaus, so Helmut Reisinger, Geschäftsführer des Stuttgarter IT-Dienstleisters Nextiraone http://www.nextiraone.de. Die Risikoabschätzung müsse ungezielte Virenattacken, den Diebstahl von Daten, Datensabotage, grobe Fahrlässigkeit von Mitarbeitern und Zulieferern umfassen und sei die Grundlage für die Definition einer Sicherheitsstrategie. Auf dieser Basis lassen sich dann Leistungspakete definieren und abgrenzen, die letztlich in Service Level Agreements (SLA) münden und die Grundlage für einen Managed Security Service sind. Technisch gesehen ist dann von Managed Firewall Services bis hin zu einem kompletten Sicherheitsservice für die gesamte ITK-Infrastruktur alles umsetzbar, bis hin zur automatisierten Kameraüberwachung etwa von Zugangstüren über IP-vernetzte Kameras. Als Service läuft das auf einen Rund-um-die-Uhr-Dienst hinaus, sagt Reisinger.
Auch beim komplexen Sicherheitsthema sei der ROI kalkulierbar, diese Erfahrung hat Nextiraone in diversen Managed Services Projekten gemacht. Wenn auf Grundlage der Risikoabschätzung die Sicherheitsstandards definiert sind, kann man eine Make-or-buy Gegenüberstellung machen. Gerade bei einem Full-Service durch ein Management-Center erkennt man schnell die Kostenvorteile eines Managed Services-Vertrages im Vergleich zu den Investitionen für eigenes Personal, ist sich Reisinger sicher. Der Anbieter für Managed Security Service müsse allerdings für den Kunden ein vertrauenswürdiger und verlässlicher Partner sein. Langjährige Erfahrung im ITK-Geschäft, höchste Zertifizierungen mit den führenden Security-Soft- und Hardware-Anbietern und die kritische Größe in den Security-Skills sollten nach Reisingers Auffassung ebenfalls Kriterien sein, die ein geeigneter Anbieter aufweisen sollte. Auch die Haftungsbasis sei noch viel mehr als bei anderen Outsourcing-Projekten ein entscheidendes Kriterium.
X