![[Porträtfoto Uwe Bergweiler]](04-5-018-1-400.jpg)
"Der sicherheitskritischte Kunde prägt das generell hohe Niveau der IT-Sicherheitsarchitektur des Dienstleisters", erläutert Uwe Bergweiler (Steria), warum Kunden qualitativ vom Outsourcing profitieren.Die gezielte Auslagerung von Teilen der IT einschließlich der damit absolvierten Geschäftsprozesse könnte eine verlockende Option sein, um wachsendem Kosten- und Wettbewerbsdruck wirkungsvoll zu begegnen. Wäre da nicht das Ressentiment vieler Unternehmen und Behörden, mit dieser Auslagerung auch die Verantwortung für die Sicherheit abgeben zu müssen. Mit welchen Argumenten begegnen die Outsourcing-Dienstleister der Zurückhaltung ihrer potenziellen Kunden?
Für Stefan Waitzinger, Leiter Market Development bei Siemens Business Services Deutschland, sind solche Vorbehalte fehl am Platze: "Gerade große IT-Outsourcer haben ihre IT-Security-Architektur so weit ausgebaut, dass sie den Sicherheitsansprüchen ihrer Kunden nahezu beliebig folgen können", unterstreicht er. Gerade die hohen Ansprüche von Finanzdienstleistern hätten zu einem Sicherheitsschub innerhalb der Outsourcing-Architektur beigetragen, von dem nun alle Branchen profitieren. Außerdem, so Waitzinger weiter, erachten professionelle Outsourcer Sicherheit im eigenen Geschäftsinteresse mittlerweile als notwendige Kernkompetenz für eine stabile Kunden-/Dienstleisterbeziehung.
"Der sicherheitskritischte Kunde prägt das generell hohe Niveau der IT-Sicherheitsarchitektur des Dienstleisters", erläutert Uwe Bergweiler (Steria), warum Kunden qualitativ vom Outsourcing profitieren.
Auch bei Steria sieht man sich sicherheitstechnisch für alle Auslagerungsvarianten der Kunden gut gewappnet. Uwe Bergweiler, der dortige Leiter Managed Services, registriert in wachsender Auslagerungsbereitschaft für seine Kunden sogar ein markantes Sicherheitsplus: "Sie müssen sich im Vorfeld der Auslagerung über ein umfassendes Audit detailliert Überblick über das bestehende Sicherheitsniveau verschaffen." Nur auf diese Weise könnten sie das Anforderungsprofil zur Security bestimmen und in Form konkreter Service-Level-Agreements (SLAs) festlegen. "Diese Vorbereitung", so Bergweiler, "verhilft in vielen Fällen dazu, über den externen Dienst ein höheres Sicherheitsniveau für Daten, Systeme und Prozesse als vorher zu etablieren."
Umfassend "gerüstet" sieht die Angebote auch Marcus Rubenschuh, verantwortlich für den Produktbereich IT-Security bei Ernst & Young: "Das notwendige Arsenal an Sicherheitstechniken reicht auf Dienstleisterseite meist aus." Rubenschuh sieht dort oft das "komplette Set", das sich von der sorgsam (und teilweise durch biometrische Verfahren) geschützten Zutrittskontrolle, Application-Firewalls und Verschlüsselungssysteme über Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) bis hin zu Content- und Virus-Scannern spannt. Hinzu komme eine umfassende Plattform für Identity Management einschließlich dem Einsatz von Biometrie, Chipkarten und Public-Key-Infrastrukturen (PKI). Er rät dennoch den Entscheidern, sich in der Angebotsphase einen genauen Überblick über das Angebot an Technik und Funktionen zu verschaffen und auch Referenzen einzuholen: "Denn das tatsächlich gebotene Sicherheitsniveau ist nicht nur von den eingesetzten Sicherheitstechniken, sondern auch von der organisatorischen und betriebstechnischen Aufstellung des Dienstleisters abhängig", sensibilisiert der Berater.
Aber auch hier sieht man sich auf Dienstleisterseite hinreichend gewappnet. Waitzinger (Siemens B. S.) verweist auf einen zentralen Pool an Sicherheitsspezialisten: "Er steht bei Bedarf für unsere Kunden rund um die Uhr bereit." Diese qualitativ hochwertige Unterstützung mit eigenem Personal und eigenen Mitteln aufrechtzuerhalten ginge dagegen für eine einzelne Organisation unter dem (Kosten-)Strich selten auf. Daneben sieht Waitzinger den Dienstleister über den Spezialisten-Pool in der besseren Ausgangsposition, notwendige Sicherheitsinnovationen schneller und gezielter voranzutreiben. "Und das ohne", so Waitzinger weiter, "hier viel in Manpower, Betriebsprozesse und Sicherheitstechnologien investieren zu müssen." Auch komplexen und personalaufwändigen Projektierungen im Sicherheitsumfeld würde über den externen Dienst ein Riegel vorgeschoben werden.
![[Porträtfoto Olaf Lindner]](04-5-018-2-400.jpg)
Externe Sicherheitsdienste sind sogar transparenter als interne, meint Olaf Lindner (Symantec): "Durch SLAs und Protokollierung haben unsere Kunden stets Einblick auch in die Sicherheitsvorfälle und wie unsere Spezialisten darauf reagiert haben."
Bergweiler (Steria) verdeutlicht die höhere Wirtschaftlichkeit des externen Sicherheitsdienstes aus dem kaufmännischen Kalkül heraus: "Organisationen, die Sicherheit in den eigenen Händen belassen, müssen allein für alle Investitionen rund um die IT-Sicherheitsarchitektur aufkommen." Der Dienstleister könne sie dagegen einschließlich aller notwendigen Weiterentwicklungen vielen Kunden und somit rationeller vorhalten. Zudem würden über den externen Dienst aus ehedem hohen Fixkosten in Zeiten von Service-on-Demand wirtschaftlichere, variable Gebühren werden. Auch qualitativ profitiere der Kunde, so Bergweiler weiter: "Denn der Sicherheitskritischste von ihnen prägt das generell hohe Niveau der IT-Sicherheitsarchitektur des Dienstleisters."
Olaf Lindner, Director Symantec Security Services, untermauert die höhere Wirtschaftlichkeit des externen Sicherheitsdienstes: "Er rechnet sich bereits für kleine Mittelständler. Ab 800 Euro monatlich kostet bei uns beispielsweise das komplette Firewall-Monitoring."
----------Anfang Textkasten----------
"Sicheres Outsourcing ist für Unternehmen und Behörden alles andere als ein Selbstläufer", resümiert Marcus Rubenschuh seine Praxiserfahrungen. Auf beiden Seiten sei höchste Aufmerksamkeit geboten. Der Verantwortliche für IT-Security bei Ernst & Young hat eine lange Liste potenzieller Stolpersteine auf dem Weg zur sicheren Outsourcing-Partnerschaft:
----------Ende Textkasten----------
Trotz allen Beteuerungen bleibt bei mehr oder weniger Auslagerungswilligen oft das Unbehagen, dass extern mit Daten, Systemen und Prozessen nicht so sorgsam wie im eigenen Haus umgegangen werden könnte. Georg Magg, Vorstand und Director Central and Southern Europe bei Integralis, nennt solche Ansichten irrational: "Auch die eigenen Mitarbeiter sind keine Garantie gegen Datenraub und Datenvernichtung." Zudem könne der Dienstleister für solche Vergehen vertraglich in die Pflicht genommen werden; gegenüber den eigenen Mitarbeitern sei das eher schwierig. Darüber hinaus schließe das Vier-Augen-Prinzip, also dass bei Integralis immer mindestens zwei Spezialisten "an einem Fall" arbeiten, Gefährdungen auf Dienstleisterseite weitgehend aus.
Lindner (Symantec) verweist zudem auf die Transparenz des externen Sicherheitsdienstes: "In den Verträgen mit unseren Kunden wird detailliert die Art der Analysen und Leistungen festgehalten, die wir zu erbringen haben." Zudem würden sämtliche Leistungen, also auch die Sicherheitsdienste, in Form garantierter SLAs permanent vom Dienstleister protokolliert. "Dadurch haben unsere Kunden stets Einblick auch in die Sicherheitsvorfälle und wie unsere Spezialisten darauf reagiert haben", hebt Lindner hervor.
Waitzinger (Siemens B. S.) unterstreicht darüber hinaus die Verbindlichkeit der gebotenen Sicherheitsdienste: "Das Niveau der physischen Zutrittskontrolle sowie der kompletten IT-Sicherheitsarchitektur wird regelmäßig von neutralen Stellen geprüft und zertifiziert." Er verweist dazu unter anderem auf das Bundesaufsichtsamt für das Kreditwesen und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Daneben unterziehe man sich "regelmäßigen Einbruchstests", geprüft über Intrusion-Detection-Systeme und Vulnerability-Scans: "Dadurch können wir schnell neue Sicherheitslöcher schließen, bevor die Daten, Systeme und Prozesse unserer Kunden in Gefahr geraten."
----------Anfang Textkasten----------
Identity Management wird zunehmend zum strategischen Instrument für IT-Outsourcer. "Je mehr die Unternehmen und Behörden über eine sichere Auslagerung von Teilen ihrer IT nachdenken, umso mehr erwarten sie für diese Teile einen maßgeschneiderten Zugriffsschutz, der bis in die Applikationen hinein wirkt", erläutert Jürgen Görtz, Vice President Business Development Security bei Siemens ICN (Information & Communication Networks) in München. Dieser Trend hin zum umfassenden Identity Management, das alle unberechtigten Zugriffe in voller Breite gegenüber Intranet, Extranet und Internet abwehrt, verstärke sich noch durch Business Process Outsourcing (BPO), so der Siemens-Manager: "Denn mit dem Blick auf die Geschäftsprozessanforderungen treten auch die Sicherheitsansprüche dieser Abläufe deutlicher zu Tage." Das sensibilisiere die Entscheider zusätzlich, auf die notwendige Sicherheit ihrer Prozesse im Rahmen von IT-Outsourcing zu achten.
Ein professionelles Identity Management sei auf Outsourcer-Seite noch aus einem anderen Grund unverzichtbar, meint Görtz: "Jedes Kundenprojekt ist für den Dienstleister kundenindividuell. Nur Identity Management eröffnet ihm die Flexibilität, den Zugriffskontrollschirm exakt am Schutzbedarf der Kunden-Applikationen auszurichten und Veränderungen in seinem Sicherheitsszenario passgenau nachzuvollziehen." Marktanalysten wie Gartner und die International Data Corporation (IDC) verweisen ebenfalls auf die wachsende, strategische Bedeutung des Identity Managements für IT-Outsourcer.
----------Ende Textkasten----------
Dienstleister aus der Ecke der Sicherheitsspezialisten wähnen sich gegenüber den klassischen Outsourcern teilweise im Vorteil. Magg (Integralis) : "Sicherheit ist für uns Kernkompetenz, bei den klassischen Outsourcern dagegen nur ein Teilbereich", äußert er. Lindner (Symantec) führt darüber hinaus die umfassenden Forschungs- und Analyseabteilungen auf, mit denen man sich für die Kunden engagiere.
Andere bremsen solchen Elan und meinen, er könne wiederum nicht über ein Manko der Spezialisten hinwegtäuschen: Geboten würden dort meist nur Dienste des ersten Sicherheitswalls wie Verschlüsselung, Authentifizierung, Firewalling, IDS/IPS, Viren- und Content-Scan. Die Offerte "Identity Management" für eine umfassende Zugriffskontrolle gegenüber den Firmenapplikationen fehle stattdessen in der Regel: "Diese Sicherheitseinschränkung ist für die Unternehmen und Behörden umso schmerzlicher, zumal für sie das Identity Management zunehmend eine strategische Rolle im Konzert der Sicherheitstechniken spielen wird", betont hierzu etwa Rubenschuh (Ernst & Young). "Business Process Outsourcing (BPO), also die Auslagerung kompletter Geschäftsprozessabschnitte, benötigt ein effektives Identity Management, um den damit einhergehenden neuen Risiken wirkungsvoll entgegenzutreten."
Ob man sich nun eher Spezialist oder Generalist zuneigt – letztlich bleibt die Auswahl des "passenden" Dienstleisters wohl immer vor allem eine Frage des Vertrauens, das ein Anbieter vermitteln kann. Für die anschließende erfolgreiche Zusammenarbeit sieht Rubenschuh allerdings auch den Nutzer in der Pflicht (vgl. Kasten "Stolperfallen") – grob zusammengefasst könnte man vielleicht generalisieren: Man muss schon wissen, was man braucht, um zu bekommen, was man will.
Stefanie Jaene ist freie Autorin in Frankfurt/Main.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#5, Seite 18
| 