Das Thema Sicherheit beschäftigt die IT aktuell mehr denn je. Wie im einleitenden Artikel zu Security Management bereits erwähnt wurde, nehmen die Sicherheitsbedrohungen stetig zu und werden immer professioneller. Entsprechend hat man sich mit möglichen Massnahmen dagegen auseinanderzusetzen.
Eine Lösung, sich den Ärger mit der IT-Security zu ersparen oder ihn zumindest zu verringern, ist auf den ersten Blick das Outsourcing: Man sucht sich einen Managed Securtiy Service (MSS) Provider, der spezielle Sicherheitsaufgaben für einen übernimmt.
Immer mehr Unternehmen denken über das Outsourcing ihrer IT-Security nach. Die Marktforscher von Gartner prophezeien der Branche bis 2009 ein jährliches Wachstum von 14,9 Prozent. Auch IDC sieht eine deutliche Zunahme. Wo liegen denn die Vorteile des Outsourcing? Kurz zusammengefasst: Sicherheitsbudgets haben Limiten und können schnell einmal aus dem Ruder laufen. Ein 365x24x7-Betrieb ist teuer, bestens geschultes Personal ebenfalls, und auch die Kosten für laufend auf dem neusten Stand zu haltende Hard- und Software sind nicht zu unterschätzen.
Ein optimaler MSS-Provider kann sein Know-how und seine Infrastruktur für mehrere Kunden brauchen, ist immer auf dem neusten Stand und arbeitet so in der Regel kostengünstiger als eine eigene, grosse Security-Abteilung. Zudem bietet er massgeschneiderte Lösungen an (dazu später mehr), meist zu einem monatlichen oder jährlichen Grundtarif. Man hat die Kosten also im Griff.
Der MSS-Markt boomt aber trotzdem. Auch bei uns in der Schweiz. Wir haben uns einmal umgeschaut, um für Sie ein paar der vielen Angebote in einer Marktübersicht zu vergleichen. Insgesamt sind es 16 MSS-Provider, deren Dienstleistungen wir näher unter die Lupe nehmen.
Managed Security Services werden zum einen von Herstellern von IT-Sicherheitsprodukten wie beispielsweise Symantec oder Norman angeboten. Sie bieten vor allem die gängigsten, outgesourcten Dienste wie Spam-Filtering, Firewall oder Anti-Viren-Schutz an. Sie sind aber, als Hersteller, auch bei anderen Providern im Hintergrund tätig. Dazu aber später mehr.
Eine zweite Anbieter-Gruppe bilden die eigentlichen IT-Dienstleister. Zu ihnen zählen grosse Firmen wie Hewlett Packard oder IBM, aber auch kleinere, spezialisierte Unternehmen wie beispielsweise United Security Providers, Terre Acitve, Open Systems, Uplink, CMFnet oder Cyberlink. Eine dritte Gruppe bilden Orange Business Services und Swisscom. Die beiden eigentlichen Netzwerk-Provider haben heute ebenfalls ein grosses Angebot an Managed IT-Services. Interessantes am Rande: Die Swisscom bietet sogar in zwei Geschäftsbereichen MSS an, sowohl bei Swisscom IT Services
als auch bei Swisscom Solutions.
Bevor wir nun aber die verschiedenen Angebote vergleichen, noch etwas Grundsätzliches vorab: Möchte man ein Outsourcing der digitalen Sicherheit, sollte man sich, egal bei wem, wie und wo man das Geschäft plant, umfassend über Bedingungen und Konditionen Gedanken machen. Diese Punkte spielen dann, neben anderen wichtigen Argumenten, eine grosse Rolle beim Entscheid für oder gegen einen Anbieter. Zusammengefasst werden sie gemeinsam mit dem Provider in einem sogenannten Service-Level-Agreement (SLA).
Kommen wir nun aber zu den MSS-Providern in der Schweiz. Was haben sie zu bieten? Wir haben ihre Dienstleistungen bezüglich des Angebots an Services und Support verglichen. Als Erstes fällt auf, dass es viele verschiedene mögliche Themenfelder gibt, die man auslagern kann. Das reicht von einer «simplen» Firewall über komplexe Identity-Management-Funktionen bis hin zu einem Komplett-Outsourcing.
Wer ein Komplett-Outsourcing der IT-Security in Betracht zieht, für den gibt es ein paar Alternativen. Wirklich komplett sind allerdings nur die bereits erwähnten fünf Provider, die alle Services anbieten. Die anderen sourcen zwar auch alles aus, aber halt nur alles das, was sie offerieren.
Apropos Angebot: Natürlich existieren noch viele weitere Services, die man bei den einzelnen Providern beziehen kann. Das reicht, je nach Spezialisierung des Unternehmens, von Managed Server (Cyberlink) über VoIP-Security (Orange Business Services) bis zu PKI (Swisscom) und DDOS Mitigation (Verizon Business), um nur einige zu nennen.
Wer seine Security komplett in fremde Hände gibt, aber auch für alle, die nur Teile davon auslagern, ist das Reporting ein weiterer wichtiger Punkt. Es sollte möglichst schnell passieren und einfach zu handhaben sein. Am besten funktioniert das beispielsweise mit einem Web-Portal, wo ich mich jederzeit informieren kann. Diese Lösung ist, wie unsere Umfrage zeigt, sehr weit verbreitet. Die Benachrichtigung durch E-Mails oder Telefonate ist aber die Nummer eins, diese Arten sind quasi Standard. Einige informieren auch per SMS, Fax oder direkt auf den Pager, ganz nach Wunsch. Interessant: Trotz unserer heutigen, schnellebigen Zeit, legt United Security Providers Wert darauf, dass sie auch offline, sprich via Papier, reporten.
Wer seine Security-Aufgaben Externen überlässt, für den sind natürlich auch die Supportleistungen wichtig. Ein Rund-um-die-Uhr-Support (24/7) ist Standard. Nur gerade der Provider Secutrends bietet diese Dienstleistung nicht an, alle anderen sind jederzeit im Einsatz und sieben Tage die Woche rund um die Uhr erreichbar. Neun unserer Marktübersichtteilnehmer bieten sogar einen 24/7-Support vor Ort an.
Damit es aber nicht zu einem Fall kommt, wo ich Support brauche, betreiben alle Provider ein Monitoring, das heisst, sie beobachten oder überwachen die Vorgänge oder Prozesse, die die Security betreffen, mittels Systemen rund um die Uhr.
All diese Support-Services nützen einem aber nichts, wenn die Verfügbarkeit nicht stimmt. Die ist aber in unserer Marktübersicht überall gewährleistet. Sie reicht von Werten von 99,60 Prozent bis zu 99,9999 Prozent und einige geben sogar an, 100 Prozent zu erreichen. Allerdings kommen die Zahlen von den Herstellern selbst, wir konnten diese nicht überprüfen und wissen nicht, ob sie in jeder Hinsicht stimmen. Sie sind nämlich stark abhängig von den gewählten Services und natürlich auch der gewählten Hard- und Software.
Bleiben wir gleich bei diesem Thema: Wichtig beim Entscheid für einen MSS-Provider dürfte für den einen oder anderen IT-Verantwortlichen auch sein, ob und für welche Produkte der Anbieter zertifiziert ist. Wie wir im Rahmen der Marktübersicht festgestellt haben, sind überall eine ganze Reihe von Zertifikaten vorhanden, die eine Auflistung verunmöglichen würden. Kurz zusammengefasst: Fast alle MSS-Provider in der Übersicht haben Zertifikate von namhaften Hardware- und Softwareherstellern (z.B. Cisco, Checkpoint, Microsoft, Symantec, Fortinet, Juniper, etc.).
Neben den bereits besprochenen Kriterien und als Ergänzung dazu sollten bei einem Entscheid für einen MSS-Anbieter noch weitere Aspekte miteinbezogen werden. Wichtig ist, wie auch die Marktforscher von Forrester festgestellt haben, beispielsweise, ob der Provider über dokumentierte Richtlinien und Prozeduren, die den Schutz der Daten garantieren, verfügt.
Interessant könnten auch Aspekte zum Personal sein: Wie wird es überwacht, wie sieht seine Aus- und Weiterbildung aus? Eventuell ist es auch möglich, dass der Anbieter externe Dienstleister für Service, Installation, Konfiguration, und/oder Support angestellt hat.
Eine Frage, die man sich im Vorfeld auch noch stellen sollte, ist, ob die Services und Supportfunktionen allenfalls den Einsatz proprietärer Techniken voraussetzen, die man zusätzlich erwerben müsste. Das könnte zu Änderungen in der eigenen Architektur und zu grösseren Kosten führen.
Schliesslich sollte man auch die SLAs genauer betrachten. Es genügt nicht nur, sie abzuschliessen, sondern es gilt auch festzulegen, was denn passiert, falls die SLAs ihre Aufgabe nicht erfüllen oder sie geändert werden müssen. In diesem Zusammenhang sind auch Garantieleistungen sowie Haftungsbeschränkungen zu vereinbaren.
Unsere Marktübersicht liefert viele Tips und Hinweise, welcher MSS-Provider was anbietet. Praktisch alle Provider machen bis auf wenige negative Punkte einen guten Eindruck. Das Security-Outsourcing ist also durchaus eine Sache, die man sich überlegen sollte. Für einen definitiven Outsourcing-Entscheid sind aber die individuellen Bedürfnisse so hoch einzuschätzen, dass man unbedingt mehrere Vergleichsofferten einholen sollte.
Schliesslich gibt es auch noch einen Aspekt, den wir bisher bewusst verschwiegen haben: den Preis. Er variiert natürlich von Angebot zu Angebot stark, dürfte aber ein zusätzliches, gewichtiges Wörtchen beim Provider-Entscheid mitspielen.
Managed Security Service Provider
