Klaus Jetter ist Director Channel Sales bei F-Secure.

Sich epidemieartig verbreitende Viren und Würmer stellen für die Verfügbarkeit der IT eines Unternehmens ein grosses Risiko dar. Doch nach wie vor sind Firmen nicht oder nicht ausreichend vor den Gefahren des Internets geschützt. Gerade kleine und mittelständische Unternehmen schrecken vor zeit- und kostenintensiven Sicherheitslösungen zurück. Sicherheit als Managed Service schafft hier Abhilfe. Mit transparenten Kosten bleiben böse Überraschungen aus, Unternehmen können sich auf ihr Kerngeschäft konzentrieren, ohne einen Ausfall geschäftskritischer Systeme befürchten zu müssen.

Unternehmen, die Managed Security Services (MSS) nutzen, sind vor Computerschädlingen, neudeutsch: Malware, geschützt - und zwar ohne über das entsprechende Know-how oder über die notwendige Technik verfügen zu müssen. Anbieter von Security Software stellen Dienstleistern ihre Technologien und Services bereit. Damit haben Unternehmen die Möglichkeit, Content-Security-Lösungen über diese zu beziehen. Die Servicepartner verwalten und überwachen die Sicherheitssoftware zentral und können Dienste wie Viren-, Spyware- und Spamschutz oder auch Host Intrusion Prevention für Gateways, Server und Desktop-PC anbieten.

Die Vorteile liegen auf der Hand: Hohe Verfügbarkeit bei gleichzeitig geringem Aufwand und niedrigen Kosten. Unternehmen ersparen sich die Installation sowie Investition in neue Hardware und haben die Gewissheit, dass der Service nicht nur stets verfügbar, sondern auch aktuell ist. Denn Sicherheits- und Versions-Updates werden automatisch eingepflegt. Berichte in Echtzeit geben ausserdem Auskunft über den Sicherheitsstatus des gesamten Netzwerks. Die Abrechnung der Services erfolgt in der Regel volumenabhängig und auf Monatsbasis. Unternehmen zahlen demnach nur das, was sie auch tatsächlich nutzen. Damit ist ein Überblick über die Kosten ihrer Datensicherheit garantiert.

Doch nicht jedes Unternehmen ist unbedingt auf Managed Security Services angewiesen: Grossunternehmen, die in ihrer IT-Abteilung eigene Sicherheitsexperten beschäftigen und bereits die notwendige Infrastruktur besitzen, können ihre IT-Sicherheit meist selbst organisieren und kontrollieren. Sie benötigen dazu nicht extra einen externen Outsourcing-Dienstleister.

Aber auch viele Unternehmen, die von Managed Security Services profitieren würden, begegnen dem Outsourcing der unternehmenskritischen Services häufig noch äusserst zurückhaltend. Mit verständlichem Grund: Managed Security hat sehr viel mit Vertrauen zu tun. Der Kunde geht im Grunde in Vorkasse, weil er bei Vertragsabschluss noch nicht weiss, ob der Dienstleister wirklich hält, was er verspricht. Können die Servicepartner Transparenz schaffen, ist bereits viel gewonnen. Zudem sollte der Servicepartner sowie der Technologieanbieter über Erfahrungen mit MSS-Projekten verfügen und diese durch Referenzen belegen können. Ausserdem sollten Unternehmen darauf achten, dass ihre individuellen Anforderungen erfüllt werden können und nicht durch Standardlösungen eine Über- oder Unterversorgung erfolgt. Darüber hinaus muss die MSS-Lösung gemeinsam mit dem Unternehmen wachsen können.

Grundsätzlich gilt: Datensicherheit ist nicht nur eine Frage der Technologie. Und deshalb eignet sich gerade IT-Sicherheit als Managed Service. Denn: Security-Lösungen sind nur so sicher wie der dazugehörige Service. Dazu zählen zum Beispiel Software- und Virensignatur-Updates zum Schutz gegen alle neuen Bedrohungen, aber auch die kontinuierliche Administration der Lösungen sowie die Überwachung aller datensicherheitsrelevanten Vorgänge. Das kostet Zeit, frisst personelle Ressourcen und für Unternehmen ist es dabei oft schwer zu ermitteln, wie viel die Sicherheit ihrer IT tatsächlich kostet. Anbieter von Managed Security Services stellen dem Unternehmen Sicherheitsexperten zur Verfügung, die zur Installation, Konfiguration und Wartung ihrer Sicherheitslösungen notwendig sind. Darüber hinaus bieten sie ein Modell, das IT-Security ohne Anfangsinvestitionen ermöglicht.

Unternehmen können die Absicherung ihrer IT-Infrastruktur demnach in die Hände der Spezialisten geben. Doch komplett kann die Verantwortung wiederum nicht abgegeben werden. Das Thema IT-Sicherheit lässt sich auch bei Unterstützung durch einen MSS-Anbieter nicht aus dem Unternehmen verbannen. Datensicherheit beginnt bereits in den Köpfen der Mitarbeiter. Es ist die Aufgabe der Unternehmensführung, ihre Mitarbeiter entsprechend zu sensibilisieren und zu trainieren. Hierfür ist eine offene Kommunikation wichtig: die Mitarbeiter sollten über die Ziele des MSS-Projektes informiert werden, um mögliche Ängste abzubauen. Ausserdem sorgen Fortbildungs-angebote dafür, dass die Sicherheitsrichtlinien intern gelebt werden.

Der Erfolg eines MSS-Projektes ist stärker als bei anderen IT-Projekten daran geknüpft, dass das Management und die Fachabteilungen den Umfang des Service Level Agreement verstehen und dass das Vertragswerk auch für Nicht-Spezialisten verständlich ist. Im Vertrag mit dem -Servicepartner muss ausserdem klar festgelegt werden, welche Dienste das Unternehmen bezieht, wie deren Qualität geprüft wird und wer die Verantwortung trägt. Und es ist wichtig, dass der MSS-Partner das Unternehmen von Rechten Dritter befreit, so dass zum Beispiel keine zusätzlichen Lizenzgebühren für die Nutzung von Software anfallen.

MSS-Verträge beziehen sich auf die aktuelle Situation eines Unternehmens. Daher ist es ratsam, das Vertragswerk nicht allzu straff zu formulieren. So sind flexible Anpassungen an künftige Entwicklungen möglich. Beide Parteien sollten darauf eingestellt sein, dass das erste Vertragswerk nur ein Startpunkt ist und die Serviceleistungen laufend an neue Entwicklungen angepasst werden müssen. Vertraglich geregelt werden sollte auch eine vorzeitige Kündigung. Dazu gehört, dass das Projektwissen dokumentiert und bei Vertragsende übergeben wird, um einem Know-how-Verlust vorzubeugen. Die Ausstiegsklausel hat überdies den Effekt, dass sich das Unternehmen von seinem Servicepartner nicht abhängig fühlt.

Laut Forrester erbrachte der Markt für Managed Security Services im Jahr 2004 ungefähr 250 Millionen Dollar Umsatz, 2005 waren es bereits 380 Millionen Dollar. IDC schätzt, dass 2005 bereits 25 Prozent der Softwareverkäufe der Anbieter von Sicherheitsprodukten auf dem Abonnement-Modell basierten. Dieser Anteil werde bis 2010 auf über 43 Prozent steigen. Outsourcing und Managed-IT-Services wachsen schon jetzt jährlich zwischen 20 und 40 Prozent und damit allgemein rascher als der gesamte IT-Markt. Sicherheit ist dabei das sich am schnellsten entwickelnde Segment. Für den gesamten Outsourcing-Bereich treten insbesondere KMU immer stärker ins Blickfeld.