Sicherheit nach Mass

Grundsätzlich gilt: Datensicherheit ist nicht nur eine Frage der Technologie. Und deshalb eignet sich gerade IT-Sicherheit als Managed Service. Denn: Security-Lösungen sind nur so sicher wie der dazugehörige Service. Dazu zählen zum Beispiel Software- und Virensignatur-Updates zum Schutz gegen alle neuen Bedrohungen, aber auch die kontinuierliche Administration der Lösungen sowie die Überwachung aller datensicherheitsrelevanten Vorgänge. Das kostet Zeit, frisst personelle Ressourcen und für Unternehmen ist es dabei oft schwer zu ermitteln, wie viel die Sicherheit ihrer IT tatsächlich kostet. Anbieter von Managed Security Services stellen dem Unternehmen Sicherheitsexperten zur Verfügung, die zur Installation, Konfiguration und Wartung ihrer Sicherheitslösungen notwendig sind. Darüber hinaus bieten sie ein Modell, das IT-Security ohne Anfangsinvestitionen ermöglicht.

Unternehmen können die Absicherung ihrer IT-Infrastruktur demnach in die Hände der Spezialisten geben. Doch komplett kann die Verantwortung wiederum nicht abgegeben werden. Das Thema IT-Sicherheit lässt sich auch bei Unterstützung durch einen MSS-Anbieter nicht aus dem Unternehmen verbannen. Datensicherheit beginnt bereits in den Köpfen der Mitarbeiter. Es ist die Aufgabe der Unternehmensführung, ihre Mitarbeiter entsprechend zu sensibilisieren und zu trainieren. Hierfür ist eine offene Kommunikation wichtig: die Mitarbeiter sollten über die Ziele des MSS-Projektes informiert werden, um mögliche Ängste abzubauen. Ausserdem sorgen Fortbildungs-angebote dafür, dass die Sicherheitsrichtlinien intern gelebt werden.

Der Erfolg eines MSS-Projektes ist stärker als bei anderen IT-Projekten daran geknüpft, dass das Management und die Fachabteilungen den Umfang des Service Level Agreement verstehen und dass das Vertragswerk auch für Nicht-Spezialisten verständlich ist. Im Vertrag mit dem -Servicepartner muss ausserdem klar festgelegt werden, welche Dienste das Unternehmen bezieht, wie deren Qualität geprüft wird und wer die Verantwortung trägt. Und es ist wichtig, dass der MSS-Partner das Unternehmen von Rechten Dritter befreit, so dass zum Beispiel keine zusätzlichen Lizenzgebühren für die Nutzung von Software anfallen.

MSS-Verträge beziehen sich auf die aktuelle Situation eines Unternehmens. Daher ist es ratsam, das Vertragswerk nicht allzu straff zu formulieren. So sind flexible Anpassungen an künftige Entwicklungen möglich. Beide Parteien sollten darauf eingestellt sein, dass das erste Vertragswerk nur ein Startpunkt ist und die Serviceleistungen laufend an neue Entwicklungen angepasst werden müssen. Vertraglich geregelt werden sollte auch eine vorzeitige Kündigung. Dazu gehört, dass das Projektwissen dokumentiert und bei Vertragsende übergeben wird, um einem Know-how-Verlust vorzubeugen. Die Ausstiegsklausel hat überdies den Effekt, dass sich das Unternehmen von seinem Servicepartner nicht abhängig fühlt.

Laut Forrester erbrachte der Markt für Managed Security Services im Jahr 2004 ungefähr 250 Millionen Dollar Umsatz, 2005 waren es bereits 380 Millionen Dollar. IDC schätzt, dass 2005 bereits 25 Prozent der Softwareverkäufe der Anbieter von Sicherheitsprodukten auf dem Abonnement-Modell basierten. Dieser Anteil werde bis 2010 auf über 43 Prozent steigen. Outsourcing und Managed-IT-Services wachsen schon jetzt jährlich zwischen 20 und 40 Prozent und damit allgemein rascher als der gesamte IT-Markt. Sicherheit ist dabei das sich am schnellsten entwickelnde Segment. Für den gesamten Outsourcing-Bereich treten insbesondere KMU immer stärker ins Blickfeld.