Security-Outsorcing: Martin Wirth vs. Thomas M. Wenk
Artikel erschienen in Swiss IT Magazine 2003/09
Durch den zunehmenden Vernetzungsgrad unternehmensinterner IT-Ressourcen mit dem Internet steigt die Gefahr, von Hackern, Viren oder Würmern angegriffen zu werden. Überforderte und eingeschüchterte Manager überlassen deshalb gern die Überwachung der Anlagen professionellen Wächtern à la Securitas. Doch wie undurchlässig ist deren Schutz wirklich? Wie professionell die Überwachung? Wie flexibel? Und vor allem, wie teuer?
Pro: Wenn die Kosten mit einer seriösen Inhouse-Variante verglichen werden, kommt ein Outsourcing wesentlich günstiger zu stehen. Es muss unbedingt darauf geachtet werden, dass nicht Äpfel mit Birnen verglichen werden. Würden wir im Bereich des Security-Managements dieselben Leistungen, die unser Outsourcing-Partner bietet, intern erbringen wollen, so würde uns dies wesentlich teurer zu stehen kommen. Unsere IT-Mitarbeiter sind Generalisten und IT-Projektleiter und keine fokussierten Security-Experten. Bei rund 130 Usern ergibt es schlicht keinen Business-Case, ein spezialisiertes Security-Know-how intern aufzubauen und dieses permanent up to date zu halten.
Kontra: Die Kosten werden von den Outsourcing-Providern in oft praxisfremden Szenarien schöngerechnet, um den Auftrag überhaupt zu erhalten. Dabei werden nur Teile der gesamthaft betriebswirtschaftlich anfallenden Kosten einbezogen. Aufwände wie beispielsweise der Mehraufwand für die Pflege der Schnittstelle zwischen Auftraggeber und Service-Provider fallen stillschweigend unter den Tisch, oder grundlegende Anforderungen sind nicht im Standardportfolio enthalten und müssen extra berappt werden.
Pro: Grundsätzlich outsourcen wir keine Kerngeschäftsprozesse. Der Security-Bereich ist bei uns klar bei den Supportprozessen angesiedelt. Aber auch in diesem Bereich haben wir klare Schnittstellen zum Partner definiert, die es uns ermöglichen, die Leistungserbringung zu überwachen. Bestandteil dieser Leistungserbringung ist eine stets aktuelle Dokumentation, die es uns erlaubt, jederzeit alle Änderungen auf den Systemen auch im nachhinein nachzuvollziehen und das Risiko des Outsourcing zu managen.
Kontra: Wir pflegen eine klare Strategie des internen Know-hows. Die internen Ansprechpersonen sind bestens mit der Unternehmensstruktur und -kultur vertraut und können angepasste, massgeschneiderte Lösungen innert kürzester Zeit anbieten und realisieren. Bei Unterkapazitäten kann vorübergehend auf externe Ressourcen zurückgegriffen werden, wobei der Know-how-Transfer im Vordergrund steht.
Pro: Dies hängt stark von der Art des Outsourcing ab. Wir haben bei der Selektion des Outsourcing-Partners sehr viel Wert auf unsere Unabhängigkeit gelegt: So besitzen wir alle Hard- und Software-Lizenzen und haben jederzeit Zugriff auf die Dokumentation und den Status der Systeme über ein Internet-basierendes Security-Cockpit. Im Fall einer ausserordentlichen Situation garantiert uns ein spezieller Zugriffs-Account, dass wir die Systeme von einem Tag auf den anderen selber verwalten können.
Kontra: Die Abhängigkeit von einem Outsourcing-Partner ist erwiesen! Jedes Gebiet erfordert einen gewissen Initialaufwand (Einarbeitungszeit). Die Outsourcing-Verträge sind so ausgelegt, dass dieser Aufwand gesichert, das heisst, dass die Abzahlung nach der Mindestvertragsdauer erfolgt ist. Bei einem allfälligen Wechsel fällt dieser Initialaufwand erneut an, welcher sich kosten- und zeitmässig niederschlagen wird. Die oftmals hochgelobte Flexibilität ist, wenn überhaupt, nur auf dem Papier existent.
Pro: Bei der Selektion des Partners haben wir darauf geachtet, dass sich der Outsourcer ausschliesslich auf Security fokussiert. Aufgrund seiner Spezialisierung kann unser Outsourcing-Partner sehr viele Prozesse wie Backup, Monitoring, Inventarisierung, Lizenz-Management etc. auf seiner Security-Management-Plattform standardisiert und automatisiert abwickeln. Dies gewährleistet die von uns geforderte gleichbleibende hohe Prozessqualität. Intern könnten wir diese Prozesssicherheit nur mit sehr grossem Aufwand sicherstellen.
Kontra: Wie in allen Bereichen der Informatik gibt es auch in diesem unzählige schwarze Schafe! Ein Auftraggeber, welcher seinen Security-Bereich outsourcen will, weil ihm das interne Know-how fehlt, kann wohl schlecht beurteilen, ob das, was ihm von einer Firma versprochen wird, tatsächlich stimmt und ob dies den heutigen Anforderungen genügt. Zu diesem Zweck muss zwingend eine unabhängige Firma zugezogen werden. Wir haben zudem in der Praxis festgestellt, dass beim Vorlegen der Offerte und der Vorbereitung des Vertragsabschlusses immer alles kein Problem ist. Bei der Realisation werden einem dann "Lehrlinge" geschickt, welche nicht einmal über ein Basiswissen verfügen und jeden Schritt per Telefon nachfragen müssen. Die Verrechnung erfolgt selbstverständlich zum Expertentarif! Bei solchen Vorgängen geht auf allen Seiten Zeit verloren, welche sich nicht in Zahlen fassen lässt.
Pro: Ein gesundes Mass an Skepsis tut immer gut. In der Evaluationsphase musste der Anbieter zuerst unser Vertrauen durch seine Professionalität gewinnen. Zusätzlich outsourcen wir im Security-Bereich nur Systeme, die sich klar abgrenzen lassen. So hat unser Outsourcer keinen Zugriff auf interne Systeme, sondern nur auf sogenannte Perimeter-Systeme, die zwischen lokalem LAN und dem Internet stehen wie beispielsweise Firewalls, Proxy Server, Antiviren-Gateways, Mail-Gateways und Network-Intrusion-Detection-Systeme. Wir behalten uns auch jederzeit vor, den Outsourcer durch eine externe Firma überprüfen zu lassen.
Kontra: Das Vertrauen ist insofern ein Problem, als man keine Kontrolle über die internen Abläufe und einen allfälligen Personalwechsel des Outsourcing-Partners hat; der Outsourcing-Partner erscheint zu oft als "Blackbox". Im allgemeinen muss das Management einer Firma für die eigene Situation entscheiden, wer Zugriff auf die Daten haben soll und wer diese Zugriffe kontrolliert.
Pro: Martin Wirth ist CIO bei Brütsch/Rüegger AG.
Brütsch/Rüegger
Anzahl Clients: 130
Anzahl Attacken pro Jahr: ca. 30'000
Kontra: Thomas M. Wenk ist Leiter Ressort IT Services bei der WIR Bank.
WIR Bank
Anzahl Clients: ca. 200
Anzahl Attacken pro Jahr: ca 36'500
Die Anzahl "richtiger" oder "ernstzunehmender" Angriffe beziffert Wenk mit eins bis fünf pro Jahr, wobei keiner in irgendeiner Weise besorgniserregend gewesen wäre.