28-1-2008 Gedruckt am 22-10-2014 aus www.monitor.co.at/index.cfm/storyid/9416

Studie: Experton Group

Gehobener Mittelstand aufgeschlossen für externe Security-Dienstleistungen

Der gehobene Mittelstand hat oftmals ähnlich komplexe Anforderungen an IT und Informationssicherheit wie Großunternehmen, verfügt in der Regel aber nur über beschränkte Personalressourcen. Gleichzeitig ist der Nachholbedarf in Sachen IT-Sicherheit teilweise erheblich. Für externe Dienstleister stellt er ein lukratives Marktsegment dar.

Die höchsten Ausgaben für IT-Sicherheit entfallen nach den Planungen mittelständischer und großer Unternehmen in Deutschland auf klassische Netzwerksicherheit und Schutz vor Viren, Würmern und Spam. Dies zeigt eine von T-Systems beauftragte Analyse der Experton Group bei 120 Unternehmen mit mindestens 500 IT-Nutzern.

Die Studie beleuchtete nicht nur spezifische Technologietrends und Entwicklungen im Bereich Identity und Access Management, sondern vor allem auch die Frage: „Welche Leistungen erbringen die Unternehmen selbst und für welche beauftragen sie externe Dienstleister?“ Befragt nach der Höhe der künftig erwarteten Ausgaben liegen die betrachteten Security-Felder alle in einem relativ engen Korridor, und kein Einzel-Thema wird mit „großen“ bis „sehr großen“ Ausgaben bedacht. Bei den größeren Unternehmen sind allerdings deutlich höhere geplante Ausgaben für Identity & Access Management (IAM) und Mobile Security zu verzeichnen als im gehobenen Mittelstand.

Externe Dienstleister können Unternehmen bei der Bewältigung der Aufgaben im Bereich der IT-Sicherheit unterstützen. Nach der Analyse von T-Systems und Experton Group ist die Akzeptanz für externe Services bei Sicherheitsanalysen, Penetrationstests sowie Schutzbedarfs- und Risikoanalysen sehr hoch. 74% der Befragten würden spezialisierten externen Beratern entsprechende Aufgaben anvertrauen, um das Sicherheitsniveau einschätzen und weitere erforderliche Maßnahmen ableiten zu können. 52% nutzen – ausschließlich oder ergänzend - eigene IT-Sicherheits-Spezialisten und 48% eigenes IT-Personal allgemein.

Bei der Erstellung von Sicherheitskonzepten, dem Entwerfen und Implementieren von Prozessen, ICT-Architekturen und Maßnahmenkatalogen halten sich externe und interne Security-Spezialisten nach den Vorstellungen der Befragten die Waage, wobei mittelständische Unternehmen mit 500-999 Nutzern eine deutlich höhere Neigung zum Outsourcing an den Tag legen.
79% und damit die klare Mehrheit der befragten Unternehmen würden die Auswahl und Implementierung konkreter IT-Sicherheitslösungen einschließlich der dazu notwendigen Prozesse demselben Dienstleister, der die Beratungsleistungen erbracht hat, übertragen – nach dem Motto: „Wer bei den Beratungsleistungen einen guten Job gemacht hat, hat auch sehr hohe Chancen auf Folgeaufträge bei der Umsetzung“.

Für die Konzeption und Integration von Netzwerk- und Server-basierten IT-Sicherheitslösungen favorisieren 73% der Befragten eine Realisierung durch die IT-Abteilung gemeinsam mit einem externen IT-Dienstleister, gegenüber 23% mit rein interner Abwicklung. Beim Schutz von und auf Arbeitsplatzrechnern und mobilen Endgeräten liegt dieser Wert nur bei 53% (interne Realisierung: 43%). Bei beiden Themen lagern lediglich drei Prozent diese Leistungen komplett aus. Insgesamt sind große Mittelständler mit 500 bis 999 Mitarbeitern deutlich aufgeschlossener für das Outsourcing von Netzwerk- und Desktop-bezogenen Themen als größere Unternehmen. 

„Anwenderunternehmen sollten die übergeordnete Verantwortung für IT-Sicherheit immer im Unternehmen halten, gleichzeitig aber externe Dienstleister auch im Bereich Security stärker heranziehen“, empfiehlt Wolfram Funk, Senior Advisor bei der Experton Group. Dies bedeutet im Einzelnen folgendes: Strategische Themen wie Architektur, Policy- und Risikomanagement müssen als interne Funktion vorhanden und ausgeführt werden. Dabei macht es durchaus Sinn, externe Unterstützung in Form von Coaching und Consulting ergänzend in Anspruch zu nehmen. Technologische Spezialthemen, für die das Unternehmen keine eigenen Ressourcen aufbauen möchte, können hingegen in der Regel im Rahmen einzelner Vorhaben weitestgehend von externen Beratern und Entwicklern abgedeckt werden.

Für Managed Security Services, also Betriebsdienstleistungen im Security-Umfeld, müssen Funktionen und Kompetenzen im Unternehmen aufrechterhalten werden. „Dennoch ist die konkrete Ausführung von Überwachungsdiensten (Monitoring), Schwachstellen-Research, Konfigurationsmanagement und Forensik geradezu prädestiniert für ein Auslagern an externe Experten, können diese doch auf Spezialexpertise und Skaleneffekte zurückgreifen, die für das Anwenderunternehmen nur mit hohem Aufwand aufzubauen sind“, so Wolfram Funk. Eine Ausnahme bildet das Thema Response: hier haben die Erfahrungen in der Praxis gezeigt, dass die Reaktion auf Sicherheitsprobleme am erfolgreichsten von interner Seite angestoßen und ausgeführt wird. Es sei denn, das Unternehmen hat seine komplette IT ausgelagert.
 
www.experton-group.de

  • Artikel bookmarken
  • del.icio.us
  • Mister Wong
  • Yahoo MyWeb

Userkommentare

DISQUS ist ein Service von disqus.com und unabhängig von monitor.at - siehe die Hinweise zum Datenschutz der DISQUS-Kommentarfunktion

comments powered by Disqus