Sicherheit zum Mieten

Andreas Roesler-Schmidt

Besonders kleinere Unternehmen schrecken allzu leicht vor hohen Ausgaben für IT-Sicherheit zurück. Erst recht in einer Zeit, in der IT-Budgets generell gekürzt werden. Schließlich sind Sicherheitsexperten, die eine Firewall auch wirklich dicht machen und halten können nicht gerade billig. Daher könnte das in den USA bereits relativ erfolgreiche Modell der "Managed Security Services", also Outsourcing von IT-Sicherheit, auch hierzulande an Bedeutung gewinnen.

Eine interessante Alternative

"Beim derzeitigen Druck zu mehr Sicherheit und unterbrechungsfreien Geschäften kann das Outsourcen von IT-Sicherheit eine interessante Alternative sein", meint Gartner Analyst William Maurer. "Wichtig ist, dass Unternehmen ihre Bedürfnisse genau dokumentieren und sicherstellen, dass der externe Service Provider wirklich in der Lage ist, genau diese Bedürfnisse entsprechend zu erfüllen."

Gerade für den Mittelstand können Managed Security Services für viele Unternehmen ohne eigene Security-Spezialisten Abhilfe beim Management von Sicherheitsinfrastrukturen schaffen, heißt es in der Studie "IT Security im Jahr 2003" der Meta Group. "In wirtschaftlich unsicheren Zeiten möchten sich die Unternehmen ungern an neue Mitarbeiter binden. Managed Services für Firewalls gehören zu den Bereichen, auf die vor allem auch der Mittelstand verstärkt zugreifen wird."

"Dienstleistung Firewall"

Anstelle von Hard- und Software wird schlicht die "Dienstleistung Firewall" gekauft. Die Sicherung des Netzes wird Aufgabe eines Dienstleisters, der alle Firewalls seiner Kunden permanent zentral überwacht und ihnen dabei Firewall-Alltagssorgen abnimmt. Wird etwa aufgrund eines neu aufgetauchten Bugs ein Software-Update fällig, kümmert sich der Managed Security Service darum und installiert es direkt übers Internet.

Vom Wiener Arsenal aus steuert die Telekom Austria die Firewalls ihrer Kunden, derzeit vornehmlich größere Betriebe. "Wir wollen uns aber verstärkt den KMUs widmen", meint Produktmanager Markus Oswald. "Schließlich können sich gerade diese in den seltensten Fällen teures Security-Personal leisten und rund um die Uhr auf Alarme reagieren."

In eine ähnliche Kerbe schlägt auch MyPC-Geschäftsführer Peter Ukwitz: "Wer wirklich 24 Stunden Sicherheit haben will, benötigt sieben gut ausgebildete Mitarbeiter, die auch ständig geschult werden müssen." Hingegen koste der Betrieb einer Firewall im Jahr etwa ein halbes Jahresgehalt eines einzigen IT-Technikers. Als Zielgruppe für die Firewall-Dienstleistungen sieht er vor allem Freiberufler wie Steuerberater, Notare oder Rechtsanwälte, die zwar sensible Daten verarbeiten, jedoch meist hohe Investitionen in die EDV-Infrastruktur scheuen. "Vielen Kleinbetrieben sind die Sicherheitskosten zu hoch", weiß Ukwitz. "Es stehen den Ausgaben ja nicht immer tatsächliche Schadensfälle gegenüber. Das ist aber gerade bei Unternehmen mit sensiblen Daten eine gefährliche Situation."

Zugeschnitten sind die Services für kleinere Netzwerke mit bis zu 250 IP-Adressen. In diesen Fällen rechne sich ein firmeneigenes Team nicht. Das Outsourcing der Firewall kostet bis 50 IP-Adressen rund 3600 Euro im Jahr. Das Unternehmen, das als erstes Managed Security Services in Österreich anbot, überwacht mit 20 Mitarbeitern 24 Stunden am Tag von seinem "Internet Security Center" aus die Firewalls der Kunden. Während ein Team für die 24-Stunden Wartung und Überwachung der Firewalls sorgt, testet ein anderes die Qualität der Arbeit: Ständige Intrusion Tests sollen sicherstellen, dass die Firewalls auch wirklich halten.

Verantwortung abgeben

Ernst Gamauf, COO von Globalcore, sieht neben den Kosten einen weiteren Vorteil: "Die Kunden können auch die Verantwortung für die Sicherheit an uns abgeben." Entsprechend bieten Service Level Agreements garantierte Sicherheits-Niveaus und Reaktionszeiten. "Schäden durch IT-Ausfälle werden eine versicherbare Leistung."

Nicht nur Firewalls lassen sich delegieren. Der österreichische Antiviren-Software-Hersteller Ikarus bietet mit "myMailWall" ausgelagertes Virenscannen an. "Der Administrator muss sich nicht mehr um Updates gegen neue Viren kümmern", erklärt Produktmanager Ernst Krippl die Vorteile. Angesichts der jüngsten massiven Virenplagen ein interessanter Aspekt. Schließlich ist es bei der Geschwindigkeit der Viren-Epidemien wichtig, über entsprechende Patches und Updates möglichst früh zu verfügen.

Die myMailWall steht entweder beim jeweiligen Internet Provider oder im Netzwerkzentrum von Ikarus selbst. "Es kommt kein infiziertes Mail mehr ins Firmennetz", beschwört Krippl. Schließlich laufen die Mails durch drei verschiedene Virenscanner, bevor sie das Netz des Providers überhaupt verlassen. Die Viren werden beseitigt, noch bevor sie ins interne Firmennetz gelangen. Wer die Kontrolle über den Virenscanner nicht ganz aus der Hand geben will, kann die Sicherheitsrichtlinien über ein Web-Interface weiterhin selbst definieren. Nach dem Motto "vier Augen sehen doppelt", kann man selbstverständlich weiterhin firmenintern Mails scannen. Laut Ikarus hat die myMailWall aber einen deutlichen Vorsprung: Durch die Push-Technologie kann der Virenscan-Service bereits nach neuen Viren scannen, sobald Ikarus das Update publiziert, während herkömmliche Virenscanner nur stündlich am Server des Herstellers nach Updates suchen.

Setzt sich das Outsourcing von Virenscannern durch, könnte auch die Schadenswirkung von Viren reduziert werden. "Man könnte der Verbreitung massiv entgegentreten", meint Rizan Flenner, Security-Experte von Computer Associates. "Administratoren wissen oft einfach nicht früh genug, was sie gegen einen Virus machen sollen." Service Provider, zu deren Stammgeschäft es gehört, sich um Bugfixes und neue Virensignaturen zu kümmern, könnten hingegen rechtzeitig reagieren. "Managed Security Services werden im nächsten Jahr sicher an Bedeutung gewinnen", meint er. Das glaubt auch Markus Oswald: "In den USA beeinflusst das Security-Niveau bereits die Bonitätseinstufung von Unternehmen. Kleine Unternehmen werden solche Kriterien nur schwer im Alleingang erfüllen können."

Vertrauen ist wichtig

Martin Hofbauer, Security Consultant von Bacher Systems betrachtet das Outsourcing von Firewalls mit gemischten Gefühlen: "Es ist sicher eine Frage von Vertrauen und Kundenbindung. Der Schwachpunkt ist, dass man dem Anbieter absolut vertrauen muss." Es sollte auch genau überlegt werden, welche Agenden an externe Firmen delegiert werden. "Ob es sinnvoll ist, Sicherheits-Policies und Regeln auszulagern, ist fraglich. Das Schließen von Sicherheitslücken und das Auswerten von Log-Files zu delegieren kann aber sinnvoll sein. Ein MSP (Managed Security Provider) versteht die Log-Files sicher besser." Auch könnte ein Provider besser auf Angriffe reagieren. "In Österreich steckt das aber alles noch in den Kinderschuhen."

Einen immanenten Nachteil hat jede externe Lösung: Das "interne Sicherheitsproblem" wird größer. Die größte Hemmschwelle für die Verbreitung von Managed Security Services ist dabei das notwendige Vertrauen in die Anbieter. "70 Prozent aller Sicherheits-Brüche kommen von innen", weiß Flenner. Und dem Security-Provider muss genauso vertraut werden wie den eigenen Mitarbeitern hinter der Firewall.