Make or Buy. Managed Security Services. Entscheidungen bei IT-Sicherheitslösungen IT SECURITY ADVISOR

Transkript

1 AUSGABE Managed Security Services IT SECURITY ADVISOR Entscheidungen bei IT-Sicherheitslösungen Make or Buy WAN Acceleration & Visibility: Welchen Beitrag können sie im Bereich MSS leisten? Service Level Agreements: Worin besteht die rechtliche Bedeutung eines SLA? Managed Security Services: Chancen und Vorteile für die Kommunikation im Unternehmen Eine Publikation von

2 Speed data recovery from centralized backups. Accelerate data replication for disaster recovery. And reduce your costs for doing both. As the leader in WDS solutions, Riverbed helps companies worldwide cut backup time over the WAN by up to 98% and replicate data exponentially faster. So now companies everywhere can reduce backup windows, improve backup consistency, and implement their DR solutions ensuring they are prepared for any contingency. Discover what over 6,000 customers already know. Copyright 2009 Riverbed Technology, Inc. All rights reserved.

3 Editorial Lieber Leser, eine Redaktion muss sich lange überlegen, mit welchen Themen sie die Bedürfnisse des Markts abdeckt. Was wird gewünscht? Welche Themen könnten aktuell sein? Daher haben wir zum Telefon gegriffen und etliche IT-Security- Verantwortliche ins Gebet genommen. Ob wir wirklich»ins Schwarze«getroffen haben, wissen wir nicht. Auffallend oft wurden Service Level Agreements im Zusammenhang mit Managed Security Services erwähnt. Wen wundert das? Abweichungen der Soll- von der Ist-Beschaffenheit einer Leistung lösen ohne besondere Regelung möglicherweise gleich Rechtsfolgen wie Schadenersatz oder Rücktritt aus. Schon bei kleinen Störungen kann ein Vertrags- und Vertrauensverhältnis daher»ins Trudeln«geraten. Hier kann durch ein SLA ein Mängelregime auf vertraglicher Grundlage geschaffen werden. Zu diesem Thema haben wir Ihnen einen recht ausführlichen Fachbeitrag vorbereitet, der aus der Feder eines Rechtsanwalts stammt. Eine bittere Enttäuschung mussten wir jedoch ebenfalls einstecken! Seitens der Dienstleister und all deren, die sich dieses Thema als einen ihrer Kern-Services auf die Fahne geschrieben haben (zumindest auf deren Webseiten), kam überraschend wenig. Viel weniger als ursprünglich geplant. Wir fragen uns noch immer,»warum?«. Werden mit diesen Services noch immer zu geringe Umsätze generiert? Gibt es zu wenig zu berichten? Eine Antwort darauf bleiben wir Ihnen leider schuldig. Daher ein extra Lob an die Unternehmen, die sich in diesem Heft zu Wort gemeldet haben. Mit besten Grüßen Ihre Redaktion von IT SECURITY ADVISOR 3

4 SERVICE Inhalt EINFÜHRUNG Service Level Agreements Eine Bestandsaufnahme im deutschen Markt AUS DER PRAXIS Mit Sicherheit zum Erfolg TITEL-STORY Make or Buy Entscheidungen bei IT-Sicherheitslösungen AUS DER PRAXIS Wirksamer Schutz für Ihre IT Sicherheitsvirtuosen Internetprovider WAN-Acceleration & Visibility Werden wir bereits als Verkomplizierer geboren oder enden wir lediglich als solche? Managed Security Services: Chancen und Vorteile für Unternehmen Die digitale Müllabfuhr Kleiner, gleich, weniger Von Turkojan zum Intrusion Prevention System Hacken als Hobby war gestern SERVICE Impressum IT SECURITY ADVISOR

5 EINFÜHRUNG Service Level Agreements Wann haben Sie zum ersten Mal von einem Service Level Agreement oder SLA gehört? Die Chancen stehen gut, dass das noch gar nicht unendlich lang her ist, vielleicht so in den späten Neunzigern des vergangenen Jahrhunderts war. RECHTSANWALT ARNE TRAUTMANN Grafik: photobility/fotolia.com Damit darf man als Jurist womit man eher langsame Abläufe gewohnt ist SLAs durchaus nach wie vor als»neuen Vertragstypen«bezeichnen. Grund genug, das Thema ein wenig auch aus rechtlicher Sicht zu beleuchten. 1. Was ist ein SLA? Ein Service Level Agreement (SLA) ist eine Vereinbarung zwischen dem Erbringer einer Dienstleistung und seinem Kunden über Art und Umfang der zu erbringenden Dienste.»Dienste«ist dabei im weiteren nicht streng juristischen Sinn zu verstehen. Das können sowohl Pflichten aus einem Dienstvertrag im Rechtssinn sein, als auch etwa Miet- oder Werkleistungen. Diese»Falschbezeichnung«rührt natürlich daher, dass der Begriff des SLA aus dem angloamerikanischen Rechtsraum stammt, der auf deutsche Ka- IT SECURITY ADVISOR 5

6 EINFÜHRUNG tegorien zur Einteilung von Verträgen keine rechte Rücksicht nimmt. Häufig ist das SLA lediglich der beschreibende Teil eines Dienst- oder sonstigen Vertrags, oft ein Anhang zum»eigentlichen«vertrag. Das entspricht auch der Wortbedeutung eben nur der Festlegung des»levels«eines anderweitig schon vereinbarten»services«. In der Praxis wird aber auch ein eigenständiger Vertrag häufig als SLA bezeichnet, wenn er denn in seiner Grundstruktur wie ein typisches SLA gestaltet ist. In der Praxis beschreiben SLA oft nicht nur eine bestimmte Leistung, sondern definieren eine ganze Reihe möglicher Ausgestaltungen der Leistung (eben die»levels«), aus denen der Kunde dann wählen kann. 2. Beispiele für ein SLA Das geradezu archetypische Beispiel für ein SLA ist die Vereinbarung eines Anbieters von Internetzugängen über die Verfügbarkeit des Zugangs. Üblicherweise wird hier eine bestimmte, in Prozent angegebene Verfügbarkeit des Services zugesagt. So mag ein Provider eine Verfügbarkeit des Zugangs zu 99,5% pro Jahr zusichern, wobei die»downzeit«am Stück nicht länger als 30 Minuten dauern darf. Alternativ ist vielleicht auch eine höhere Verfügbarkeit zu buchen zu einem entsprechenden Preis. Gute Beispiele sind aber auch der Vertrag mit einem Call-Center über die Verfügbarkeit und Geschwindigkeit einer Hotline für ein bestimmtes Produkt, die Vereinbarungen von Reaktions- und Fehlerbehebungszeiten in einem Software-Wartungsvertrag oder Abkommen über die Geschwindigkeit der Bearbeitung und Beantwortung von Netzwerkanfragen. Letztlich finden sich SLAs aber nicht nur im IT- und TK-Bereich. Auch ein Hausmeisterservice oder die Dienste eines Reinigungsunternehmens lassen sich durch ein SLA erfassen. 3. Wo werden SLA verwendet? Der klassische Anwendungsfall eines SLA liegt sicher dann vor, wenn es im Verhältnis zu externen Dienstleistern abgeschlossen wird, um die Parameter der erbrachten Dienste durchsichtig zu regeln und damit kontrollierbar zu machen. Häufig ist ein SLA Teil einer Outsourcing-Vereinbarung. Sachlich sinnvoll ist der Abschluss aber nicht nur in diesem Zusammenhang, sondern immer dann, wenn eine zu erbringende Dienstleistung sehr komplex ist und ohne gesonderte Vereinbarung keine Marktstandards existieren. Relativ neu ist die Institution des SLA als Ins trument des internen Controllings eines Unternehmens. Hierbei werden SLAs zwischen den verschiedenen Stellen im Unternehmen geschlossen, um Kosten und Leistungen unternehmensweit transparent zu gestalten. Somit ist auch ein Vergleich zwischen internen und (ggf.) externen Dienstleistern möglich. Seitens des Managements lässt sich auf diese Weise verlässlich beurteilen, an welchen Stellen Outsourcing von Unternehmensfunktionen in Betracht kommt und wo es eher kontraproduktiv wirken würde. Hinzuweisen ist darauf, dass ein solches SLA dann kein Vertrag im Rechtssinn ist, wenn es wirklich zwischen verschiedenen Stellen einer juristischen Person geschlossen wird. Durchaus»echte«(intracompany) Verträge können dagegen vorliegen, wenn das SLA zwischen verschiedenen Unternehmen eines Konzerns besteht. 4. Worin besteht die rechtliche Bedeutung eines SLA? Die rechtliche Bedeutung eines SLA besteht vorrangig darin festzulegen, in welcher Art und in welchem Umfang eine erbrachte Leistung vertragsgemäß ist. Dies hat vielfältige Auswirkungen. Bei verschiedenen Vertragstypen greifen Mängelgewährleistungsrechte dann, wenn die tatsächlich erbrachte Leistung von der vertraglich geschuldeten Leistung abweicht. Selbstverständlich kann das Gesetz aber diese Leistung nicht im Detail beschreiben, da sie in jedem Einzelfall unterschiedlich aussieht. Im Streitfall entscheidet daher erst die Rechtsprechung da- 6 IT SECURITY ADVISOR

7 EINFÜHRUNG rüber, inwiefern eine Leistung vertragsgemäß erbracht ist, dies aber gerade bei»neuen«oder nicht standardisierten Leistungen ohne klare und für die Parteien vorhersehbare Kriterien. Eine verlässliche Entscheidungsgrundlage kann aber ein SLA bringen. Die Parteien erhalten somit Rechts- und Planungssicherheit. Noch weiter geht die Bedeutung von SLAs bei Vertragstypen, die nach der Konzeption des Gesetzes keine gesonderten Mängelgewährleistungsregeln besitzen. Dazu zählt etwa der Dienstvertrag. Abweichungen der Soll- von der Ist-Beschaffenheit einer Leistung lösen daher ohne besondere Regelung möglicherweise gleich Rechtsfolgen wie Schadenersatz oder Rücktritt aus. Schon bei kleinen Störungen kann ein Vertrags- und Vertrauensverhältnis daher»ins Trudeln«geraten. Hier kann durch ein SLA ein Mängelregime auf vertraglicher Grundlage geschaffen werden. So mag etwa vorgesehen sein, bei Überschreitung von Reaktionszeiten eines Reparaturservices das Entgelt für die Reparatur zu ermäßigen und bei dauernder Unterschreitung bestimmter Parameter ein vorzeitiges Kündigungsrecht einzuräumen. Letztlich bietet ein SLA den Parteien die Möglichkeit, ihre Rechtsbeziehungen nach eigenem Gutdünken frei zu regeln. Gerade bei»modernen«dienstleistungen, die der Gesetzgeber bei der Erstellung des nun schon mehr als 100 Jahre alten BGBs schlicht nicht berücksichtigen konnte, ist dies der Rechtssicherheit ausgesprochen zuträglich. 5. Was ist bei der Erstellung eines SLA zu beachten? 5.1 Ausgangslage Bei nur wenigen Vertragstypen ist ein größerer Wildwuchs an unverständlichen, teils auch unwirksamen und nicht durchsetzbaren Regelungen zu finden als gerade bei SLAs. Dies dürfte seine Ursache im Wesentlichen in zwei Gründen finden: Einerseits wurde die Institution des SLA weitgehend im angloamerikanischen Rechtsraum entwickelt und stellt im deutschen Rechtssystem ein dogmatisches Dunkelland dar, obwohl es sich doch mit ein wenig Mühe und Sorgfalt recht gut in die deutsche Vertragsdogmatik integrieren ließe. Weiterhin steht ein SLA wie kaum ein anderer Vertragstypus an der Schnittstelle zwischen oft ausgesprochen komplexen juristischen, technischen und betriebswirtschaftlichen Fragen. Häufig aber erstellt im Unternehmen entweder ein Team von Technikern oder aber die Rechtsabteilung (ob im Haus oder als beauftragter Anwalt) das Dokument allein. Dies führt regelmäßig zu unausgewogenen Vertragsvorschlägen, die entweder technisch nicht durchführbar oder juristisch unwirksam sind. Grafik: mercury/fotolia.com 5.2 Generelle Erwägungen Für die Erstellung eines SLA gelten zunächst die allgemeinen Regeln für die erfolgreiche Erstellung und Verhandlung eines Vertrags. Hier sollen nur in Kurzform einige typische Punkte genannt werden: Es ist für den Anbieter von Leistungen ausgesprochen sinnvoll, die»redaktionshoheit«eines Vertrags zu behalten, also den Vertragstext selbst zu formulieren und dem Vertragspartner vorzulegen. Denn es ist einfach, zu einem Entwurf des Partners Wünsche und Änderungen vorzubringen. Es ist aber fast unmöglich, die Grundstruktur das zugrundeliegende Gedankengebäude eines Vertragsentwurfs zu ändern. Und genau diese Struktur ist bei SLAs noch wichtiger als ohnehin: Es gibt kein Standard-SLA. SLAs dienen ja gerade dazu, nicht standardisierte Dienste messbar zu machen. Diese Dienste kennt aber niemand so genau wie der Dienstleister selbst. Verträge sollten unbe- IT SECURITY ADVISOR 7

8 EINFÜHRUNG dingt im Zusammenspiel von fachlich und juristisch kompetenten Personen entworfen und verhandelt werden. Verträge müssen einen spezifischen Einzelfall regeln. Bei komplexen Sachverhalten verbietet sich daher das schlichte Abschreiben anderweitig bereits verwandter Vertragsmuster. Verträge müssen durchsetzbar sein. Die Regelung sollte daher möglichst präzise formuliert, unmissverständlich und gelegentlich ein ernstes Problem in der Praxis durchführbar sein. 5.3 Spezifische Überlegungen Anhand eines SLA muss die eine Dienstleistung in ihren Details zu fassen, beschreiben und bewerten sein. Den Parteien muss es möglich sein, im Vergleich von Sein und Sollen festzustellen, ob Serviceziele erreicht worden sind. Dazu muss das SLA einigen Mindestanforderungen genügen. Geregelt werden sollten: Grafik: Petra Schlösser/Fotolia.com Art der zu erbringenden Dienste Ist das SLA lediglich ein Vertragsanhang, so wird diese Festlegung in der Regel bereits im Hauptdokument erfolgen. Steht das SLA allein, so ist dort der Platz für diese Bestimmung. Wo auch immer: Erfolgen muss sie. Es mag trivial klingen, darauf hinzuweisen, dass die geschuldeten Leistungen benannt werden müssen müßig ist der Hinweis gleichwohl nicht. Denn in der Praxis scheitern Verträge bekanntermaßen selten an falschen Formulierungen in der salvatorischen Klausel. Viel häufiger entsteht Streit, weil die Parteien die Leistungsbeschreibung nicht ausreichend diskutiert haben. Details des geschuldeten Umfangs der Dienste Für den Empfänger von Leistungen liegt der Teufel häufig im Detail der Definition des Umfangs der Dienste. So kann etwa eine Verfügbarkeit von»99,5%«durchaus eine Auszeit von länger als 40 Stunden am Stück bedeuten, wenn sie auf ein Jahr bezogen ist. Eine Verfügbarkeit von 99,5% pro Tag ist da ganz offensichtlich eine bessere und damit wertvollere Leistung. Metriken, um die Dienste»messbar«zu gestalten An dieser Stelle bestehen oft Bedenken gerade des Dienstleisters. Wenn er Dienste transparent erklärt und deren Erfüllung für den Kunden nachprüfbar gestaltet, gibt er sich dann nicht in dessen Hand? Muss er dann nicht mit Forderungen des Kunden rechnen? Gibt er dann nicht Verhandlungsspielraum auf? Das alles mag der Fall sein ist angesichts der möglichen Varianten aber ein Segen. Denn wenn keine genauen Maßstäbe für die Leistung bestimmt sind, dann gelten ganz allgemeine Maßstäbe wie»anerkannter Stand der Technik«oder»mittlere Art und Güte«. Was das dann ist, entscheidet im Zweifel ein Gericht denn die Parteien werden sich angesichts solch weicher Maßstäbe kaum je einigen. Im Gegenteil: So wird Streit provoziert. Verträge aber haben primär die Funktion, dem geschäftlichen Verhältnis der Parteien eine Spielregel zu geben. Die aber muss klar und eindeutig sein. Berichts- und Evaluierungsverfahren Überdacht werden sollte, wer wie die Einhaltung des SLA kontrollieren kann oder diese zu dokumentieren hat. Hier ist etwa denkbar, dass der Dienstleister in regelmäßigen Abständen Berichte über die Zielerreichung übergibt. Damit der Vertragspartner diese Berichte zumindest stichprobenartig überprüfen kann, sind ihm entspre- 8 IT SECURITY ADVISOR

9 EINFÜHRUNG chende Rechte und Instrumentarien an die Hand zu geben. Einzelheiten des Managements des SLA und der danach geschuldeten Dienste Wie jeder längerfristig angelegte Vertrag, muss auch ein SLA gemanaged werden. Gerade komplexe Dienste erfordern oft in der täglichen Durchführung eine ständige Abstimmung auf technischer Ebene. Hierfür sind kompetente Ansprechpartner unbedingt zu bestimmen. Es empfiehlt sich weiterhin, Verfahren zu deren Vertretung und ggf. Austausch zu installieren. Oft ist es empfehlenswert, im SLA Eskalationsmechanismen vorzusehen, die eingreifen, wenn Unstimmigkeiten entstehen, die auf der Arbeitsebene nicht behoben werden können. Folgen bei Nichterreichen der Serviceziele (ggf. getrennt in Folgen bei kurzfristigen und andauernden Störungen) Hier bietet sich eine Reihe von verschiedenen Gestaltungen an, die in der Sache oft zum gleichen Ergebnis führen, sich in ihrer»verpackung«aber fundamental voneinander unterscheiden. So mag man für eine bestimmte Leistung einen Preis festsetzen und bei Nichterreichen des Serviceziels eine Vertragsstrafe vorsehen. Man kann aber aus der Strafe auch nur einen einfachen Preismodifikator machen. Beides mag letztlich zu einer 10%igen Reduktion des geschuldeten Entgelts führen. Die zweite Variante wird aber oft deutlich leichter und ohne Gesichtsverlust für eine der beiden Seite verhandel- und durchsetzbar sein. Grenzen der Serviceziele Nicht für jeden Umstand, der einen bestimmten Service beeinträchtigt, kann und will der Dienstleister verantwortlich sein. Das wird augenfällig etwa am Beispiel der Bereitstellung von Bandbreite. Nur selten ist nicht das gesamte Netz, das für eine solche Bereitstellung benutzt wird, IT SECURITY ADVISOR 9

10 EINFÜHRUNG in der Hand eines Dienstleisters. Dieser möchte daher vielleicht nur für den von ihm zu beeinflussenden Teil der Leistung geradestehen. Sinnvollerweise regelt man dies, indem etwa Übergabepunkte definiert werden, an denen die Erbringung der Leistung zu messen ist. Oft sollen auch bestimmte Umstände aus dem SLA ausgenommen werden. So mag sich etwa ein Hosting-Provider vorbehalten, jeden Mittwoch von 03:00 bis 04:30 Uhr Software- Updates auf seine Server aufzuspielen und in diesem Zeitraum möglicherweise nicht oder nur eingeschränkt erreichbar zu sein. Hier kann etwa vereinbart werden, dass solche Wartungsfenster nicht im Rahmen des SLA berücksichtigt werden. Mechanismen zur Anpassung von Parametern an geänderte tatsächliche oder technische Verhältnisse SLAs werden im Regelfall auf einen längeren Zeitraum geschlossen. Gerade in der IT- und TK-Industrie, in der sich sehr viele SLAs finden, entwickelt sich die Technik aber weiter stürmisch. Was heute Cutting Edge ist, wird morgen allgemeiner Stand der Technik sein und übermorgen veraltet. Nur selten ist es aber überhaupt machbar, Verträge auch SLAs alle sechs Monate neu zu verhandeln. Hier sind vielmehr Lösungen gefragt, die bereits jetzt künftige Entwicklungen antizipieren. Erreicht werden kann das in vielfältiger Art und Weise. Möglich ist etwa, die zu erreichenden Ziele jährlich um einen bestimmten Faktor zu steigern oder umgekehrt, die Vergütung für fix festgelegte Ziele jährlich um einen bestimmten Faktor zu senken. Existieren für bestimmte Leis- tungen Industriestandards, so kann ein Bezug auf diese hergestellt werden. Es kann auch vereinbart werden, dass die Parteien bestimmte Faktoren (und nur diese) pro Quartal neu vereinbaren und, wenn eine solche Vereinbarung nicht erreicht werden kann, ein kurzfristiges Kündigungsrecht besteht. Der Fantasie sind hier keine Grenzen gesetzt. 6. Fazit Der Abriss zeigt: Ein SLA ist in der Regel komplex. Es muss auf den Einzelfall bezogen sehr sorgfältig strukturiert und entworfen werden. Seine Durchführung und Überwachung sind anspruchsvoll und bedürfen in der Regel der dauernden Aufmerksamkeit beider beteiligter Parteien. Eine Reihe ganz allgemeiner und auch für viele anderen Vertragstypen anwendbarer Grundsätze wird dabei regelmäßig zu beachten sein. Dennoch aber sind die Erstellung und Verhandlung eines SLA eine immer wieder neue Herausforderung. Mit gutem Willen, Sorgfalt und praktischer Erfahrung kann dies aber gut gemeistert werden. RA Arne Trautmann S N P Schlawien Naab Partnerschaft Brienner Straße 12 a München Tel.: +49 (0) Fax: +49 (0) arne.trautmann@snp-online.de 10 IT SECURITY ADVISOR

11 EINFÜHRUNG Managed Security Services und Security Software as a Service: Eine Bestandsaufnahme im deutschen Markt Wachsende Anforderungen, das Streben nach einer guten Kosten-Nutzen-Relation, die Sensibilisierung von Management und Mitarbeitern sowie eine Vielzahl anderer Herausforderungen halten deutsche Unternehmen in Sachen Informationssicherheit in Atem und fordern neue Investitionen. WOLFRAM FUNK, SENIOR ADVISOR, EXPERTON GROUP AG Gleichzeitig stehen angesichts der schwierigen wirtschaftlichen Situation aktuell aber auch die Sicherheits-Budgets auf dem Prüfstand. Gleichwohl positionieren Anbieter unterschiedlichster Couleur Dienstleistungen im Sicherheits-Umfeld verstärkt als Allheilsbringer für die unter Kostendruck stehenden Anwenderunternehmen. Tatsächlich zeigen aktuelle Analysen der Experton Group, dass der deutsche Markt für Security Services im ersten Halbjahr 2009 nicht so stark unter Druck stand wie die Umsätze mit Sicherheitsprodukten. Der Markt für Sicherheitsdienstleistungen legt in 2009 mit 6,4 Prozent etwas stärker zu als der Produktmarkt. Dies liegt zum einen daran, dass kontinuierliche Wartungs- und Supportumsätze weniger stark von Budgetkürzungen betroffen sind als diskrete Produktumsätze. Außerdem tragen Managed Security Services dazu bei, die oftmals knappen personellen Ressourcen bei den Anwenderunternehmen zu entlasten und die Transparenz und Qualität der Leistungen zu steigern. Externe Services werden in unterschiedlicher Ausprägung sowohl durch Dienstleister als auch durch Produktanbieter erbracht. Dabei nimmt die Vielfalt der zur Auswahl stehenden Service- Modelle stetig zu. Am häufigsten werden derzeit Wartungs- und Supportleistungen in Anspruch genommen, wie eine aktuelle Analyse der Experton Group bei 150 Unternehmen in Deutschland zeigt. 54 Prozent aller Befragungsteilnehmer greifen hierfür auf externe Anbieter zurück. Es folgen technologische Beratung (43 Prozent), Implementierungs- und Integrationsdienstleistungen (39 Prozent) und Schwachstellenaudits (38 Prozent). Immerhin jedes dritte Unternehmen nutzt Managed Security Services (MSS). Die relative Wachstumsrate, also der nach den Planungen der Anwender zu prognostizierende Zuwachs des Einsatzgrades der einzelnen Service-Arten, ist mit Ausnahme von Wartung und Support bei allen Themen hoch. Vor allem bei IT-Sicherheits-Strategie- und Prozessberatung (39 Prozent), Sicherheits-Training (31 Prozent), Services rund um Business Continuity, IT SECURITY ADVISOR 11

12 EINFÜHRUNG Disaster Recovery und Wiederanlaufverfahren (29 Prozent), Schwachstellen-Audits (26 Prozent) und schließlich Managed Security Services (20 Prozent) liegt ein hohes geplantes relatives Wachstum vor (siehe Abbildung 1). Sollten diese Planungen tatsächlich so umgesetzt werden, dürfen die Dienstleister von diesen Themenbereichen bis etwa 2010 auch deutliches Umsatzwachstum erwarten. Sicherheits-Dienstleistungen: Einsatzgrad und Planungen Die Zufriedenheit mit den von externen Anbietern erbrachten Managed Security Services ist bei den Befragungsteilnehmern insgesamt hoch. Besonders überzeugt sind die Unternehmen von der Qualität der erbrachten Leistungen, der Zuverlässigkeit beim Einhalten von SLAs und speziell auch den Reaktionszeiten. Etwas weniger zufrieden, wenn auch nicht unzufrieden, sind die Befragten mit den Preisen der Dienstleister. Dienstleister, die sich beim Kunden einen guten Ruf erarbeitet haben, werden gute Voraussetzungen haben, ein solides Preisniveau zu halten. Hohe Priorität messen die Nutzer von Managed Security Services derzeit der Auslagerung von Firewall-, Messaging- und VPN-Management bei. Der Hauptfokus liegt immer noch bei Fernüberwachung (Remote Monitoring) und Management von Systemen, die im Rechenzentrum des Anwenders betrieben werden. Nur zehn Prozent der Befragten haben auch das Hosting komplett an einen externen Dienstleister ausgelagert. Besonders gering ist mit fünf Prozent der Anteil jener Unternehmen, die Sicherheit als Cloud-Services oder Security Softwareas-a-Service (SaaS) in Anspruch nehmen. Bei diesen Modellen teilt sich der Kunde mit ande- Bildunterschrift sollte hier noch rein oder auch nicht IT SECURITY ADVISOR

13 EINFÜHRUNG Security SaaS vs. Managed Security Services Die Abgrenzung von Security SaaS zu klassischen Managed Security Services Angeboten der Dienstleister ist nicht immer eindeutig möglich. Security SaaS ist in der Regel mit folgenden Merkmalen verbunden: Der Dienst ist ohne Installation spezifischer Systeme bzw. Software beim Kunden nutzbar (Ausnahme: Internet Browser). Der Kunde teilt sich mit anderen Kunden eine gemeinsame Plattform, die der Dienstleister betreibt. Dem Kunden ist kein spezifisches und von anderen Kunden abgegrenztes System zugeteilt, d.h. man spricht hier auch von einem Cloud Service. Die Technologieplattform als solche ist so weit standardisiert, dass sie (theoretisch) an Dritte lizensiert werden kann, z.b. an lokale Dienstleister, die diese Plattform in ihren eigenen Rechenzentren einsetzen und für ihre Kunden darauf basierende Dienste als SaaS erbringen. ren Unternehmen eine gemeinsame Plattform, die der Dienstleister im Sinne eines»shared MSS«betreibt und verwaltet. Die durch die Anwenderunternehmen postulierten geplanten relativen Einsatz-Wachstumsraten für Hosted Security und Security SaaS lassen darauf schließen, dass noch mindestens zwei bis drei Jahre ins Land ziehen werden, bis diese Serviceformen eine kritische Masse erreichen können. Am ehesten geeignet für Security Software-as-a-Service sind Messaging- Sicherheit, also der zentrale Schutz vor Spam und Malware, aber auch Virtual Private Networks (VPN) und Web-Sicherheit beziehungsweise Web Content Filtering so die Aussagen der Anwender. Nach Einschätzung der Experton Group wird Web-Sicherheit am Gateway im Software-as-a-Service-Modell in den kommenden Jahren eine stark wachsende Verbreitung erfahren. Dabei geht es vor allem um die sichere und regelkonforme Web-Nutzung. Allerdings wird SaaS die klassischen Inhouse-Lösungen nie komplett verdrängen, sondern nur eine von mehreren Varianten darstellen, wie Sicherheitsverantwortliche intern ihre Sicherheitsdienste umsetzen. Ein wichtiger Faktor bei der Entscheidung für oder gegen Managed Security Services sind neben der Entlastung von Mitarbeitern und der Erhöhung von Transparenz und Qualität letztendlich die Kosten. Sollen angesichts der gegenwärtigen wirtschaftlichen Abschwächung große Vorabinvestitionen in die Sicherheitsinfrastruktur vermieden werden, können Managed Security Services und Software as a Service eine wirtschaftlich sinnvolle Lösung sein. Oftmals sorgen die Skaleneffekte der externen Dienstleister dafür, dass die Outsourcingvariante auch langfristig für den Kunden günstiger ist als eine unternehmensinterne Implementierung und Verwaltung der Sicherheitslösung. Dies ist vor allem dann der Fall, wenn es sich um Systeme handelt, die ohne signifikanten Eingriff in die bestehende Infrastruktur und mit geringen Schnittstellenproblemen gewissermaßen als»filetstücke«ausgelagert werden können. Aus diesem Grund ist Messaging ( ) Security SaaS heute in der Entwicklung am weitesten fortgeschritten, ausgereift und am Markt akzeptiert. Experton Group Die Experton Group ist das führende, voll integrierte Research-, Advisoryund Consulting-Haus für mittelständische und große Unternehmen, das seine Kunden durch innovative, neutrale und unabhängige Expertenberatung bei der Maximierung des Geschäftsnutzen aus ihren ICT Investitionen maßgeblich unterstützt. IT SECURITY ADVISOR 13

14 Mit Sicherheit zum Erfolg Der globale Wettbewerb verändert die Märkte dramatisch. Im Zeitalter einer stetig zunehmenden Vernetzung steht die Informationstechnologie vor zum Teil völlig neuen Herausforderungen. Die Anzahl der durch Würmer, Viren, Hacker, Wirtschaftsspionage verursachten Sicherheitsvorfälle im Internet und in Unternehmensnetzwerken steigt stetig an. Diese Bedrohungslage ist also längst kein Science Fiction mehr. RENÉ REUTTER, CISSP, ABTEILUNGSLEITER ICT SECURITY, T-SYSTEMS Die Häufigkeit der Angriffe auf Applikationsebene steigt exponentiell. Angreifer und Wirtschaftskriminelle nutzen Schwachstellen von Unternehmen immer schneller aus. Ihr Handeln ist vermehrt auch von wirtschaftlichen Interessen getrieben, was exemplarisch der Zuwachs von Phishing, eine moderne Form des Trickbetrugs, deutlich macht. Schadsoftware geht verstärkt dazu über, Hintertüren in ICT- Systeme einzubauen durch kriminelle Sekundäraktivitäten entstehen in der eigentlichen Angriffsphase immer häufiger hohe finanzielle Schäden. Mit Hilfe von Bot-Netzen verschleiern Angreifer bei Attacken und der Verbreitung von Malware ihre Herkunft. Sowohl kleine und mittlere Unternehmen wie auch Großunternehmen müssen gerade jetzt den Sicherheits- und regulatorischen Anforderungen gerecht werden. Der Sarbane Oxley Act (SOX) oder Basel II geben hierbei wesentlich die Rahmenbedingungen vor. Für immer mehr Firmen ist daher eine große Palette bedarfsgerechter und innovativer Sicherheitslösungen von großer Bedeutung. Mit Managed Security Services (MSS) ist die Informationstechnologie in einem Unternehmen stets auf dem neuesten Stand. Durch eine inhärente Integration in die Business Prozesse entstehen Synergien bei der Umsetzung von Compliance-Anforderungen in der IT. Dazu gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. Firmen mit IT Systemen können sich somit voll auf Ihr Kerngeschäft konzentrieren. Gibt es maßgeschneiderte Managed Security Services über alle Kunden hinweg? Standardisierung ist wichtig, damit die Kunden von leistungsfähigen, kosteneffizienten und qualitativ hochwertigen Sicherheitslösungen profitieren können. Im Leistungsangebot der MSS-Dienstleister existieren daher vielfach vorkonfektionierte Sicherheitslösungen nach dem Baukastenprinzip. Auch, um den Investitionsschutz für bereits existierende Sicherheitslösungen in Firmen zu gewährleisten. Je nach Sicherheitsanforderung und Branchenausrichtung existieren bei marktführenden Dienstleistern modular aufgebaute Security Ser- 14 IT SECURITY ADVISOR

15 vice Level Agreements (SLA s), die sie kundenindividuell anpassen. Branchenspezifische Anforderungen werden damit effektiv umgesetzt. Es gelten auch hier die MSS-Grundsätze:»use what you need«,»pay for what you use«und»see what you are paying for«. Für das Vertrauen in einer vernetzten Welt schaffen integrierte Ende-zu-Ende-Sicherheitslösungen nach dem Baukastenprinzip einen spürbaren Mehrwert. Leistungsfähige MSS- Dienstleister passen sie nahtlos in die Business- Prozesse der Unternehmen ein. Eine professionelle und kosteneffiziente Security bei einfacher Bedienbarkeit überzeugt daher immer mehr IT- Entscheider in Unternehmen mit eigener EDV. Welche Vorteile können durch Managed Security Services erbracht werden? Managed Security Services zum Schutz vor Attacken gewinnen an Bedeutung. Wer jedoch Schaden von seiner Informations- und Kommunikationstechnologie (ICT) abwenden möchte, muss wie ein Angreifer denken und handeln. Der alleinige Einsatz technologischer Lösungen ist nicht ausreichend, vielmehr ist das synchronisierte Zusammenspiel organisatorischer, technischer und prozessualer Lösungen bedeutsam. Wichtige strategische Gründe einer»make or buy«entscheidung wie Sie auch Herr Wollny von T-Systems in dieser Ausgabe des IT Security Advisor im Detail beschreibt sind bei vielen Firmenkunden die Konzentration auf das Kerngeschäft. Aufgrund der Wettbewerbssituation vieler Unternehmen ist es wichtig, die intern vorhandenen Ressourcen im kundennahen Geschäft optimal einzusetzen. Wer bei der Prävention morgen noch zur Avantgarde gehören will, muss kontinuierlich an vorderster technologischer Front arbeiten. Nur dann ist er im Global Business nachhaltig erfolgreich. Lediglich wenige Firmen verfügen über das notwendige tiefgreifende Security Know-how. Auch die personellen Ressourcen reichen zumeist bei weitem nicht aus, um Netzwerke und ICT-Ressourcen Tag und Nacht von Grund auf zu durchleuchten. Das gilt gleichermaßen von innen wie von au- IT SECURITY ADVISOR 15

16 ßen. Vielfach bemerken sie Angriffe und Datendiebstähle gar nicht. Und falls doch, fehlen effiziente Notfallpläne und ausreichend geschulte Sicherheitsexperten. Auch für Managed Security Services gilt: Der Kunde hat ausnahmslos die Datenhoheit! Welche Leistungen können durch Managed Security Services erbracht werden? Professionelle Managed Security Dienstleister müssen eine breite Palette von modular aufgebauten Sicherheitslösungen anbieten, die Endpoints, Server und Netzwerke Ende-zu-Ende schützen können. Bedarfsgerechte Sicherheit erfordert darüber hinaus ein koordiniertes Zusammenspiel von Netzwerk-, System-Management- und Managed-Security-Service- Komponenten, um eine optimale Unterstützung der Business Prozesse zu gewährleisten. Frühwarnung ist nicht nur bei der Klimaforschung wichtig. Damit ein Security-Dienstleister rechtzeitig geeignete Maßnahmen ergreifen kann, muss er jederzeit einen detaillierten Überblick über die Bedrohungslage seiner ihm anvertrauten Kundenanlagen haben. Ein»blinder Fleck«muss zwingend ausgeschlossen werden. Security Information- & Event-Managementsysteme (SIEM) und entsprechende Security- Assistenzsysteme helfen den Spezialisten im Security Operation Center (SOC) den Überblick zu behalten. Aus diesen Informationen wird dann ein leistungsfähiges Security Monitoring und Reporting für die Firmenkunden erstellt. Um sich der jeweiligen Bedrohungslage flexibel anpassen zu können, ist das problemlose Ergänzen um weitere Sicherheitskomponenten von großer Bedeutung. Daher ist es wichtig, dass Security Dienstleister der Bedrohung immer einen Schritt voraus sind und neue Technologien schnell in die Service Pakete integrieren. Lässt sich IT-Sicherheit mit Managed Services zu optimalen Kosten realisieren? Eine kosteneffiziente Bereitstellung wird durch einen hohen Standardisierungsgrad und Skaleneffekte möglich. Dienstleister geben diese an die Kunden weiter. Mit Security Outsourcing in der IT können aber nicht nur Kosten gesenkt, sondern auch die Effizienz gesteigert und eine Flexibilisierung erreicht werden. Herr Wollny von T-Systems geht mit seinem Artikel»IT-Sicherheit make or buy«detaillierter auf diese Thematik ein. Service Level Agreement (SLAs) standardisiert oder individuell? Soll sich der Kunde nur anhand der SLAs orientieren? Der Begriff Service-Level-Agreement (SLA) stark durch ITIL geprägt bezeichnet einen Vertrag bzw. die Schnittstelle zwischen Auftraggeber und Security Dienstleister für wiederkehrende Dienstleistungen. Inhaltlich beschreibt er unter anderem Leistungsumfang, Reaktionszeiten und Schnelligkeit der Bearbeitung. Viele Dienstleister bieten vorkonfektionierte Security SLA an, die im Rahmen einer branchenspezifischen Ausrichtung unterschiedlich sein können, aber trotzdem in hohem Maße auf Standards aufsetzen. Damit gewährleisten sie Skaleneffekte und benchmarkfähige Kosten. Der Teufel steckt im Detail, denn nur eine exakte Definition der technischen Parameter eines SLA schützt beide Vertragspartner vor bösen Überraschungen. Gerade rechtliche Aspekte und Vertragsstrafen bei möglichen Abweichungen im Betrieb sind erfolgs- 16 IT SECURITY ADVISOR

17 kritisch. Sicherheit ist und bleibt letztendlich eine Vertrauenssache, die sich in keinem SLA abbilden lässt. Managed Security Services sind auch nur so gut wie das Know-how der Menschen, die sie erbringen. Zertifiziertes Personal (zum Beispiel CISSP, CISA etc.), entsprechende Referenzen und Einschätzungen von Security Analysten sind ebenfalls bei»make or buy«entscheidungen ein wichtiges Kriterium für die Auswahl des richtigen Dienstleisters. Achten die Kunden darauf welche Herstellerprodukte dahinterstecken oder reichen nur die versprochenen Service Level Agreements? Grundsätzlich ist für Kunden der SLA und die Servicebandbreite entscheidend, um den Grundsatz»Technik folgt der Policy«anzuwenden. Vor dem Hintergrund einer branchenspezifischen Betrachtungsweise kann es jedoch erforderlich sein, dass bestimmte Produkte, die in einen Security Service eingebettet sind bedeutsam werden. Das gilt beispielsweise besonders für Behörden und Organisationen mit sicherheitsrelevanten Aufgaben. Auch bei der Integration in eine bestehende Sicherheitsarchitektur kann eine produktspezifische Sicht sinnvoll sein. Professionelle Dienstleister bieten bei der Beantwortung solcher Fragestellungen entsprechende Unterstützung an, um eine optimale Lösung für den Kunden bereitzustellen. Managed Firewalls reicht das? Viele Unternehmen konzentrieren sich stark auf Perimeter-Sicherheit und lassen dabei eine ausreichende Kontrolle innerhalb ihrer IT vermissen. Anders formuliert:»harte Schale, weicher Kern«. Dieses latent»gefühlte«sicherheitsdefizit erklärt die anhaltend kräftigen Investitionen in Firewalls, Virenscanner, Intrusion-Prevention- Systeme und neuerdings immer häufiger»unified Threat Management«-Appliances. In der Hoffnung, dass starke Außengrenzen schützen, entstehen immer dickere Komponentenwälle. Richtig konfiguriert, leistet jede Technologie punktuell gute Dienste. Bedarfsgerechter Schutz entsteht aber nur, wenn die einzelnen Bausteine optimal verteilt sind, intelligent zusammenarbeiten und die wirklich sicherheitsrelevanten Vorfälle automatisch aus dem»information Overload«herauskristallisieren. Dann wird aus Informationen Wissen und Wissen ist und bleibt die beste Verteidigungsgrundlage. Wie wichtig sind Zertifizierungen von IT Dienstleistern? Bei vielen ausgeschriebenen Projekten dürfen inzwischen nur noch Unternehmen wie T-Systems mitbieten, die zertifiziert sind. Dies ist eine wichtige Grundlage für die qualitätsgerechte Erbringung der Security Service Dienstleistungen. Beispielsweise sind in der ISO die verbindlichen Regelungen verankert, wie die Sicherheit beim Dienstleister organisiert ist beziehungsweise sein muss. Verantwortungsbewusste ICT-Dienstleister gewährleisten dem Kunden gegenüber Vertraulichkeit, Integrität und die Verfügbarkeit von Daten. Durch die ISO Zertifizierung erhalten sie einen dokumentierten und extern geprüften Nachweis über die Informationssicherheit der ausgelagerten Geschäfte. Mit der Zertifizierung stellt T-Systems jedenfalls klar, dass das Thema Sicherheit einen hohen Stellenwert hat. IT SECURITY ADVISOR 17

18 TITEL-STORY Make or Buy Entscheidungen bei IT-Sicherheitslösungen Der Wandel vom Industrie- zum Informationszeitalter hat erhebliche Veränderungen mit sich gebracht. Informationen haben zunehmend an Wert gewonnen. Sie dienen nicht mehr allein der Wissensweitergabe, sondern sind vielmehr selbst Wirtschaftsgut, welches oft einen sehr hohen Wert besitzt. DIPL.-ING. STEPHAN WOLLNY, MBM, BUSINESS SOLUTION MANAGER, T-SYSTEMS Informationen dienen mehr und mehr als Grundlage für die Geschäfte von Unternehmen und sind somit zu einem wichtigen Wirtschaftsfaktor mutiert. Heute ist der Austausch von Daten und Informationen ein wesentlicher Bestandteil funktionierender Geschäftsprozesse. Die zunehmende Globalisierung stellt neue Herausforderungen an die Sicherheit, da das Gefahrenpotenzial beim Informationsaustausch dramatisch angestiegen ist. Da inzwischen nahezu alle Geschäftsprozesse in irgendeiner Weise durch Informationstechnologie unterstützt oder ganz abgebildet werden, wurden IT-Systeme als kritische Infrastrukturen identifiziert. Sie stellen ein Risiko dar, auf das die Gesetzgebung schon reagiert hat. Laut Umfrage haben bereits 63 Prozent der Unternehmen erkannt, dass die Einhaltung der gesetzlichen Vorgaben in den kommenden Jahren eine der kritischsten Aufgaben sein wird (CSI/FBI Computer Crime and Security Survey, 2006). Informationssicherheit ist damit zur Managementaufgabe geworden. Die Realisierung von IT-Sicherheitslösungen ist jedoch oft komplex und mit Aufwand verbunden. Daher stehen Unternehmen vor der Entscheidung, ob sie die erforderlichen Maßnahmen selbst umsetzen und betreiben oder eine darauf spezialisierte Firma damit beauftragen. Fehler bei der Umsetzung können unangenehme Konsequenzen haben: Wirtschaftlicher Schaden (Negativer Einfluss auf das Geschäftsergebnis, Umsatzausfall, Kursverlust bei börsennotierten Unternehmen, Insolvenz) Imageverlust Staatliche Sanktionen (Verlust staatlicher Aufträge, Strafen / Bußgelder, Persönliche Haftung durch den Geschäftsführer) IT-Sicherheitsprojekte erfordern daher eine gründliche Analyse. Studien zeigen einen stetig steigenden Bedarf an IT-Security-Dienstleistungen und -Produkten. Welche ist aber nun die richtige Vorgehensweise? Sollen Unternehmen die IT-Sicherheitslösungen in Eigenregie umsetzen und ggf. auch selbst betreiben, oder ist es möglich bzw. sinnvoll, diese Aufgabe an Dienstleister auszulagern? Im Rahmen ihrer Investitionsentscheidungen müssen Unternehmen eine Antwort darauf fin- 18 IT SECURITY ADVISOR

19 TITEL-STORY den. Warum sie die eine oder die andere Variante wählen, ist zu betrachten. Anforderungen an IT- Sicherheitslösungen Neben unternehmensinternen Vorgaben sind auch technische und organisatorische Anforderungen zu erfüllen. Das sind: Anforderungen aus der IT-Sicherheitsstrategie Anforderungen an die Integrationsfähigkeit von IT-Sicherheitslösungen Anforderungen an das Management von IT Sicherheitslösungen Ein weiterer und wesentlicher Teil der Anforderungen an IT-Sicherheitssysteme leitet sich aus betriebswirtschaftlichen Größen und gesetzlichen Vorgaben ab. Firmenzusammenbrüche und -insolvenzen durch Bilanzmanipulationen waren die maßgeblichen Impulse für die Schaffung von Gesetzen und Verordnungen. Ziel der Gesetze ist es, Transparenz zu schaffen und damit Anleger und Investoren zu schützen, den Fortbestand der Unternehmen zu sichern und Steuereinnahmen sicherzustellen. Make Or Buy Einflussfaktoren Welcher Einflussfaktor, welches Kriterium ist für diese Entscheidung von besonderer Wichtigkeit? Diese Frage lässt sich nicht absolut beantworten. Jedes Unternehmen, jeder Entscheider, jeder Einkäufer stellt unterschiedliche Anforderungen an die zu tätigende Investition und bewertet deren Erfüllung nach anderen Gesichtspunkten. Investitionsentscheidungen sind unternehmerische Entscheidungen mit zum Teil nachhaltiger Wirkung auf die Kapitalbindung und die Geschäftsprozesse des Unternehmens. Die dazu gehörenden Entscheidungsprozesse sind daher komplex. Allgemeine Faktoren Allgemeine unternehmensinterne Faktoren beziehen sich auf die Einfluss nehmenden Größen aus dem Unternehmen selbst. Im Rahmen von Investitionsentscheidungen führen oft nur komplexe Prozesse zur Entscheidungsfindung. Folgende Punkte werden betrachtet: Buying Center (Einkauf) Konzentration auf das Kerngeschäft und die Kernkompetenz Know-how / Ressourcen für einen Eigenbetrieb Standardisierung der eigenen Prozesse Unsicherheit / Abhängigkeit Buying Center Als Buying Center bezeichnet man die Gruppe von Personen, die an einem Kaufprozess beteiligt sind. Bei Investitionsentscheidungen in Bezug auf IT-Security ist das Buying Center sehr umfangreich besetzt. Und das, weil IT-Securitylösungen in der Regel nicht nur einen dezidierten Fachbereich im Unternehmen berühren. Als sogenannte horizontale Technologie bilden sie eine allgemeine Grundlage für die Umsetzung der IT-Strategie. Konzentration auf das Kerngeschäft und die Kernkompetenz Die Kernkompetenz beschreibt die Tätigkeit bzw. Fähigkeit eines Unternehmens, welche eine herausragende Rolle bei der Erlangung von Wettbewerbsvorteilen spielt. Alles, was nicht direkt in diesen Bereich fällt, wird somit nicht als Kernaufgabe angesehen. Ob ein Unternehmen den Betrieb von IT-Sicherheitslösungen als Kernaufgabe ansieht, hängt somit von seiner Kernkompetenz ab. Ist dies nicht der Fall, ist davon auszugehen, dass bei einer anstehenden Investitionsentscheidung die Wirtschaftlichkeit und die Servicequalität in den Vordergrund rücken. Der Betrieb im eigenen Haus kommt hierbei nur in Frage, wenn er für das Kerngeschäft von großer Bedeutung ist. Durch Outsourcing (Buy) behält das Unternehmen freie Sicht auf seine Kernkompetenzen. Im Zusammenhang mit der Konzentration auf das Kerngeschäft und dem komplexen juristischen Umfeld kann das Outsourcing von IT-Sicherheitsleistungen sogar Vorteile verschaffen. IT SECURITY ADVISOR 19

20 TITEL-STORY Know-how / Ressourcen für einen Eigenbetrieb Ein weiterer Faktor ist die Verfügbarkeit von Ressourcen mit dem erforderlichen Wissen. IT- Sicherheitslösungen zeichnen sich nicht selten durch hohe Komplexität und kurze Innovationszyklen aus. Unternehmen stehen somit vor der Herausforderung, qualifiziertes Personal zu beschäftigen und durch fortwährende Weiterbildung auf dem Stand der Technik zu halten. Ob ein Unternehmen diese Ressourcen aufbaut, hängt ab von der: Größe des Unternehmens strategischen Gewichtung der IT Security innerhalb des Unternehmens wirtschaftlichen Situation des Unternehmens. Standardisierung der eigenen Prozesse Der Versuch, ungelöste Probleme unreflektiert durch die Vergabe an einen Dienstleister zu beseitigen, ist von vornherein zum Scheitern verurteilt. 1 Wird diese Aufgabe nicht im Rahmen eines Migrationsprojekts erledigt, ist offen, ob der externe Betrieb zu einer Verbesserung führt. Die Entscheidung über Make or Buy hängt damit nicht unwesentlich vom unternehmensinternen Vorbereitungen ab. Gemeinsam mit dem Outsourcing-Partner sollten daher frühzeitig intensive Vorbereitungsgespräche geführt werden. Unsicherheit / Abhängigkeit Viele Unternehmen scheuen sich, Teilleistungen an Dritte zu vergeben. Das Gefühl, Services oder Prozesse ganz oder teilweise einem Dienstleister zu überlassen, erzeugt Unsicherheit. Es ist also erforderlich, von vornherein solche Fragen anzugehen und beispielsweise mit einem Service Level Agreement (SLA) einen nachhaltigen Schaden zu vermeiden. Ein weiterer Grund, der viele potenzielle Outsourcer abschreckt, ist das Gefühl der Abhängigkeit und des»ausgeliefertseins«. Outsourcing darf jedoch nicht den Verlust von Steuerungsmöglichkeiten zur Folge haben. Es obliegt dem Anbieter, dieses transparent darzustellen und dem Nachfrager entsprechende Kompetenzen zuzusichern. Besonders IT-Sicherheitslösungen lassen sich ohne Einigung auf ein detailliertes gemeinsames Verständnis der Zusammenarbeit nicht als Outsourcing-Leistung realisieren. Gelingt es dem Anbieter nicht, dem Kunden diese Unsicherheit zu nehmen, wird dieser den Eigenbetrieb bevorzugen. Dies gilt desto stärker, je mehr Einfluss die betrachtete Leistung auf sein Kerngeschäft hat. 20 IT SECURITY ADVISOR