IT-Security-Outsourcing
Artikel erschienen in Swiss IT Magazine 2004/08
Ein Unternehmensnetz vor Viren- und Hackangriffen zu schützen, wird immer schwieriger und überfordert nicht selten die unternehmensinterne IT-Abteilung. Aber deshalb den Schutz der IT an einen externen Partner auslagern? Moritz Elmiger von der Partners Group ist fürs Auslagern. Der Security-Officer von KPMG Schweiz, Pius Ziegler, ist dagegen.
Kostenfaktor
In vielen Fällen werden die aktuellen Ausgaben für die IT-Security mit den Kosten eines allfälligen Outsourcings verglichen. Auf den ersten Blick scheinen die Kosten des Outsourcings höher zu sein, doch werden vielfach Äpfel mit Birnen verglichen. Nur wenn die
internen Ressourcen dieselben Leistungen erbringen wie eine Outsourcing-Firma, darf ein direkter Kostenvergleich angestellt werden. Und hier liegen die Vorteile klar beim Outsourcer. Denn dieser kann seine Ressourcen auf mehrere Kunden aufteilen. Abgesehen davon braucht es auch eine kritische Grösse, um überhaupt noch den Überblick über die verschiedenen Bedrohungen zu behalten. Von einem generellen Security-Outsourcing zu sprechen, ist ohnehin meistens nicht richtig, weil nur Teilbereiche ausgelagert werden, die sich gut abgrenzen lassen.
Know-how
Bevor wir uns im Sommer 2002 für ein Outsourcing der Internet-Sicherheit entschieden haben, standen wir vor der Herausforderung, dass die internen IT-Ressourcen nicht mehr in der Lage waren, einen ausreichenden Schutz gegen Attacken aufrechtzuerhalten. Die immer komplexer werdenden Angriffsmethoden, die starke Häufung der Internet-Attacken und der enorme Zeitaufwand für die Informationsbeschaffung im Security-Umfeld führten dazu, dass wir die Situation neu beurteilen mussten. Die eigenen Ressourcen waren auch teilweise überfordert, die Security-Policy in die immer komplexeren Strukturen umzusetzen. Auch hatten wir eine mangelhafte Übersicht über die Sicherheitssysteme infolge fehlender oder
rudimentärer Reportingmöglichkeiten. Wir mussten uns entscheiden, entweder in eigene Ressourcen zu investieren oder einen geeigneten Partner zu finden.
Anhängigkeit
Wir suchten nach einem Partner, der uns einen transparenten Service anbieten konnte und uns gleichzeitig keine Fesseln anlegen würde. Das erreichten wir dadurch, dass die Sicherheits-Infrastruktur in unserem Besitz blieb. Zudem erhalten wir von unserem Service-Partner die Zugriffsdaten für die entsprechenden Systeme. Ein Zugriff unsererseits wäre zwar ein Bruch des Service Level Agreements, doch in einem unvorhergesehenen Extremfall, wie zum Beispiel dem Konkurs des Security-Providers, hätten wir die Möglichkeit, die Systeme sofort zu übernehmen.
Vertrauen
Grundsätzlich setzt ein erfolgreiches Outsourcing ein gutes Vertrauensverhältnis voraus. Dieses mussten auch wir zuerst aufbauen. Sicherlich waren hier der sehr transparente Ansatz wichtig, der den Zugriff auf die Daten und ein detailliertes Online-Reporting umfasst. Jede noch so kleine Änderung an den Systemen wird so sichtbar. Ebenfalls haben wir zu jeder Zeit Zugriff auf die Live-Konfiguration, wie zum Beispiel die Firewall-Regeln. Diese Möglichkeiten erlauben die Überwachung des Anbieters. Die Service-Qualität hängt allerdings stark vom Niveau und Engagement der Provider-Mitarbeiter ab, was erst nach der Umstellung für den Kunden sichtbar wird.
Kostenfaktor
Die direkten Security-Service-Kosten sind abhängig von der Service-Qualität und der Mitarbeiter-Auslastung - aber unabhängig davon, ob sie beim Outsourcer oder bei dessen Kunden anfallen. Der Unterschied liegt darin, dass der Outsourcer gewinnorientiert arbeitet und dagegen eigene Mitarbeiter im Sinne der Vollkostenrechnung "nur" ihren Deckungsbeitrag leisten müssen. IT-Security-Management ist per se ein integraler Bestandteil des IT-Managements - sei es im Betrieb der Infrastruktur oder bei der Umsetzung interner Projekte. Werden diese eng gekoppelten Themenbereiche auseinandergerissen, entstehen zusätzliche Schnittstellen, die einerseits direkte Kosten beim Management verursachen und andererseits über die Zeit auch mühsam und nervenaufreibend sein können.
Know-how
Werden Security-Services eingekauft, dann waren das Know-how oder die Ressourcen intern entweder nicht vorhanden oder die Firma hat entschieden, internes Know-how abzubauen. Ansprechpartner für Security-Fragen aus dem Business - von dort wo die Sicherheitsanforderungen herkommen sollten - werden damit zunehmend rarer und müssen ebenfalls extern im Sinne von Beratung eingekauft werden oder werden aufgrund des komplizierteren Prozesses zunehmend vernachlässigt. Dies kann je nach Firma soweit führen, dass das Security-Niveau - wohlverstanden zur Sicherung des Geschäfts - aufgrund der Komplexität der Schnittstellen zu den Outsourcern über die Zeit abnimmt. Werden Security-Dienste extern eingekauft, dann sollen daher primär Kompetenzlücken gedeckt und das Know-how wenn möglich transferiert werden.
Anhängigkeit
Bei Vertragsabschluss sind Services und Leistungen im gegenseitigen Einverständnis klar geregelt, beidseitig bekannt und in Papierform "fixiert". Die Anforderungen aus dem Business ändern jedoch dynamisch und bedürfen ebenfalls dynamischer Service-Level-Anpassungen. Fehlende Kompetenzen bezüglich IT-Security und der zugehörigen SLAs überfordert SL-Manager in vielen Fällen. In Kombination mit dem Know-how-Abbau führt es oftmals zur Unfähigkeit, die Leistung des Outsourcing-Providers beurteilen zu können. Die Kosten/Leistungstransparenz ist damit nicht mehr gegeben, und die Firma ist bezüglich Security-Management im Blindflug. Uneinigkeiten bezüglich mangelnder Leistungen sind zudem bei Providern mühsamer zu bereinigen, als wenn direkt über die Linie der eigenen Firma Einfluss genommen werden kann. Der Eskalationsweg bei Outsourcern erfolgt über Verhandlungen, Verweigerung von Zahlungen oder dann über den Rechtsweg - nervenaufreibend und mühsam in jedem Fall. Auch wird ein Insourcing oder ein Wechsel des Outsourcing-Partners aufgrund des fehlenden eigenen Know-hows schwierig und nur mit enormen Reibungsverlusten möglich.
Vertrauen
Ein Outsourcing-Provider muss das gleiche Vertrauensverhältnis wie der interne Dienstleister erfüllen. Dieses muss kontinuierlich aufgebaut werden. Vertrauen ist gut - Kontrolle ist besser. Darum ist es wichtig, dass man eine klare, organisatorische Gewaltentrennung einführt und ein Ausstiegsszenario von Beginn weg einplant.
Pro: Moritz Elmiger ist IT-Manager bei Partners Group in Zug. Das Unternehmen entschied sich im Sommer 2002 für eine Auslagerung der IT-Security an die Celeris AG in Hinwil.