- Anzeige -


Sie sind hier: Startseite » Fachartikel » Grundlagen

Outsourcing-Modell für IT-Sicherheit


Hosted oder Managed Services, Could Computing oder Konsolidierung der eigenen IT-Sicherheit: Das richtige Modell zu finden ist kein Kinderspiel
IT-Security und ihre Outsourcing-Modelle: Das Modell der "Hosted Security" erlaubt es Unternehmen, sich größere Ausgaben zu sparen


Autor Gert Hansen:
Autor Gert Hansen: Das noch immer viel diskutierte Cloud Computing stellt eine weitere Outsourcing-Alternative für den Bereich IT-Sicherheit dar, Bild: Astaro

Von Gert Hansen, VP Product Management, Astaro AG

(02.09.10) - Die Wirtschaftskrise, bei der es sich laut statistischem Bundesamt um die schlimmste Rezession seit dem zweiten Weltkrieg handelt, scheint ihre Talsohle in Deutschland durchschritten zu haben. Noch immer sind jedoch viele Unternehmen bei Neu-Investitionen vor allem im IT-Bereich zurückhaltend. Und obwohl Outsourcing als klassisches Element der IT-Kostenreduzierung gilt, üben sich laut den Analysten von IDC noch immer viele Unternehmen in Vorsicht, da sie sich gerade in wirtschaftlich knappen Zeiten mittel- und langfristig nicht fest binden möchten. Die weltweite Krise und die damit verbundene wirtschaftliche Unsicherheit führten in vielen Unternehmen gerade im vergangenen Jahr dazu, dass geplante IT-Ausgaben nochmals geprüft oder aufgeschoben und Budgets gekürzt, eingefroren oder ganz gestrichen wurden.

Die Experten von IDC erwarten nun für die zweite Jahreshälfte 2010 einen nachhaltigen Aufschwung der Gesamtwirtschaft und damit auch eine spürbare Erholung des IT-Service-Marktes. Doch erst wenn sich das Vertrauen in den Aufschwung festigt, werden die Unternehmen laut IDC wieder vermehrt in IT-Services, insbesondere in Outsourcing, investieren.

Gerade im Bereich der Informationstechnologie stehen Unternehmen schon heute vor der Qual der Wahl "Make or Buy", auslagern oder nicht auslagern? Ist die Entscheidung für das Outsourcing erst einmal gefallen, stellt sich die nächste Frage: Welches Outsourcing-Modell ist am geeignetsten? Die Hauptziele der meisten IT-Entscheider werden sich dabei auch bei einem Aufschwung nicht ändern: Gleichbleibend gute Qualität mit möglichst geringem Kosten- und Zeitaufwand. Die Lösung dieser mitunter schwierigen Aufgabe kann in der Praxis ganz unterschiedlich aussehen.

Denn so, wie die Ansprüche an die IT-Sicherheit je nach Unternehmen auseinander gehen können, unterscheiden sich auch die verschiedenen angebotenen Modelle. Egal welche Parameter einem Unternehmen wichtig ist, ob Kontrolle, Infrastruktur oder Service, vor dem Hintergrund reduzierter Budgets lässt sich nur selten ein Rundum-Sorglos-Paket finden. Die unterschiedlichen Alternativen sorgfältig abzuwägen, ist daher die Grundvoraussetzung für Unternehmen.

Hosted Security Services
Das Modell der "Hosted Security" erlaubt es Unternehmen, sich größere Ausgaben zu sparen. Outsourcing-Anbieter stellen dem Kunden dabei für gewisse Bereiche der IT-Sicherheitsressourcen ihrer Datenzentren zur Verfügung. Gerade serverseitige Sicherheits-Lösungen lassen sich so einfach realisieren, da für die Software und medienneutrale Datenhaltung keine umfassenden Investitionen in die eigene IT-Infrastruktur anfallen. Es müssen lediglich Clients für den jeweiligen Zugriff implementiert werden. Hosted Security Services lohnen sich jedoch vornehmlich für kleinere Unternehmen. Der Zugriff auf die gehosteten Dienste und Daten ist in der Regel unabhängig vom Standort des Zugreifenden, weswegen sich das Modell auch für verzweigte Niederlassungs- oder Filialnetze anbietet. Nachteilig ist allerdings, dass etwaige Anpassungen an neue Sicherheitsregularien oder Unternehmensstandards oft nur begrenzt und mit Zeitverzögerung möglich sind.

Managed Security Services
Ist bereits eigene IT-Sicherheits-Infrastruktur vorhanden und etabliert – sei es aus historisch gewachsenen Strukturen oder weil sie aus Compliance-Gründen lokal betrieben werden muss – bietet sich eher das Modell der Managed Security Services an. Ein Unternehmen kann dabei einen Großteil der Verantwortung für Instandhaltung, rechtliche Vorgaben, Remote Access Management, Updates und Verwaltung der eingesetzten Lösung an einen Dienstleister abgeben. Der Vorteil dieser Lösung liegt auf der Hand: Der spezialisierte Outsourcing-Dienstleister hat in der Vergangenheit oft bereits mit Tausenden von Sicherheitsvorfällen zu tun gehabt und kann diese Erfahrung auch die Dienste für andere Unternehmen einbringen. Die Erfahrung der meisten Managed Security-Anbieter schlägt sich auch in der Kenntnis über die Einhaltung aktueller und zukünftiger rechtlicher Vorgaben und Regeln nieder.

Das Modell hat allerdings auch seine Nachteile, da eine enge Zusammenarbeit zwischen Auftraggeber und Anbieter unerlässlich ist. Denn nur durch eine kontinuierliche enge Absprache kann der Outsourcing-Anbieter die individuellen Bedürfnisse und Anforderungen des Auftraggebers bei der IT-Sicherheit berücksichtigen. Das Modell ist daher primär für kleine und mittelständische Unternehmen (KMU) geeignet. Denn gerade KMU fehlt es oftmals an notwendigem Fachwissen bezüglich Compliance- und Sicherheitsanforderungen sowie an ausreichend personellen Ressourcen, um die Netzwerke und IT-Architekturen rund um die Uhr zu beobachten.

Die Wolke
Das noch immer viel diskutierte Cloud Computing stellt eine weitere Outsourcing-Alternative für den Bereich IT-Sicherheit dar. Es bezeichnet primär den Ansatz, abstrahierte IT-Infrastrukturen wie Rechenkapazität oder Datenspeicher, fertige Programmpakete und Programmierumgebungen dynamisch an den Bedarf angepasst über Netzwerk zur Verfügung zu stellen. Daten und Security-Anwendungen werden hier nicht mehr lokal, sondern in einer Wolke abgelegt, die aus zahlreichen, über das Internet miteinander verbundenen Rechenzentren besteht. Services werden von Rechenzentren weltweit zur Verfügung gestellt und sind praktisch dauerhaft und überall verfügbar. Zudem lassen sich Cloud-Services leicht an veränderte Bedürfnisse anpassen. Einer der Hauptvorteile des Modells ist die hohe Skalierbarkeit, also die freie Anpassung an den jeweiligen tatsächlichen Bedarf ohne jegliche Verzögerung. Unternehmen können mithilfe der Wolke ihren Kapitalaufwand reduzieren, ohne dabei Gefahr zu laufen, ihre Systeme in Stoßzeiten zu überlasten.

Nachteile des Modells: Ebenso wie bei Hosted Services macht sich der Anwender von einer unbedingt und störungsfrei funktionierenden Internetverbindung abhängig. Fallt diese aus, sind die in der Wolke gelagerten Sicherheitsmaßnahmen wirkungslos. Eine weitere Herausforderung in der Cloud ist die Abhängigkeit vom jeweiligen Cloud-Anbieter, da die angebotenen Schnittstellen meist sehr herstellerspezifisch sind.

Alternative zum Outsourcing: Konsolidierung
Trotz des großen Angebots an Outsourcing-Alternativen, zeigt die Erfahrung, dass sich ein Outsourcing der IT-Sicherheitsfunktionen nicht für alle Unternehmen der Königsweg ist. Vor allem große Unternehmen ziehen es vor, geschäftskritische Daten auf eigenen Servern zu speichern und die Verwaltung der IT-Security der eigenen IT-Abteilung zuzuschreiben. Oftmals scheitert die Auslagerung der IT-Sicherheit auch an gesetzlichen, unternehmenbezogenen oder kundenvertraglichen Regelungen, die ein Unternehmen bezüglich der IT-Sicherheit berücksichtigen muss. Um sich dennoch kosteneffizient gegen die wachsende Vielzahl der alltäglichen Sicherheitsbedrohungen zu rüsten, bietet sich die Konsolidierung von mehreren Funktionen und Services in einem System an. Idealerweise lassen sich Netzwerk-, Web- und Mail-Sicherheit auf einer einzigen Plattform bündeln. Alle Security-Installationen können dann zentral verwaltet und konfiguriert werden.

Konsolidierung lässt sich durch eine integrierte Lösung oder aber über Virtualisierung und Automatisierung erreichen. Unternehmen profitieren hierbei klar von der Minimierung der selbst vorzuhaltenden IT-Infrastruktur, einer geringeren Systemkomplexität und niedrigen Kosten. Allerdings lassen sich nicht beliebig viele Services in einer Plattform zusammenfassen, und auch für das zentralisierte System und die darin integrierten Services ist ein gewisser Aufwand für Installation und Instandhaltung einzurechnen.

Fazit
Ob und in welcher Form Outsourcing in Frage kommt, muss letztlich jedes Unternehmen anhand der individuellen Vorgaben und Bedürfnisse selbst entscheiden. Seien es nun Hosted oder Managed Services, Could Computing oder doch lieber die Konsolidierung der eigenen IT-Sicherheit, das richtige Modell zu finden ist sicherlich kein Kinderspiel. Es wird für die meisten Firmen jedoch immer aufwendiger sein, die IT-Sicherheit selbst zu betreiben, als sie in die Hände eines Spezialisten zu geben. Dies gilt besonders im Hinblick auf Komplexität, Kosten und Regularien. Um also die richtige Entscheidung zu treffen, spielt vor allem der Faktor Zeit eine Rolle – Zeit für eine umfassende Anforderungsanalyse und Risikoevaluierung. Auch der Faktor Vertrauen gegenüber dem Outsourcing-Partner spielt eine wichtige Rolle, da Unternehmen ihre wichtigsten Daten in seine Hände geben.

Wer sich nicht auf Anhieb für ein Modell entscheiden kann, für den ist möglicherweise ein Modell-Mix die richtige Alternative. Die Konsolidierung von Sicherheitsfunktionen, ein Auslagern von Security-Services sowie der Einsatz virtualisierter Lösungen auf der existierenden Hardware-Infrastruktur wären Möglichkeiten, um bei gleichzeitiger Kostenoptimierung die notwendige Netzwerksicherheit zu gewährleisten. (Astaro: ra)

Astaro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Grundlagen

  • Durchsetzung von Cloud-Sicherheitsrichtlinien

    Cloud Computing-Services bieten Unternehmen heute eine kostengünstige und flexible Alternative zu teurer, lokal implementierter Hardware. Vorteile wie hohe Skalierbarkeit, Leistung und Effizienz sowie reduzierte Kosten liegen auf der Hand, sodass immer mehr Unternehmen ihre Anwendungen und Daten in die Cloud migrieren. Sensible Daten wie personenbezogene Informationen, Geschäftsgeheimnisse oder geistiges Eigentum sind jedoch neuen Risiken ausgesetzt. Denn in der Cloud gespeicherte Daten liegen außerhalb der Reichweite vieler lokaler Sicherheitsvorkehrungen. Unternehmen müssen deshalb zusätzliche Maßnahmen ergreifen, um ihre Daten in der Cloud, über den teils rudimentären Schutz der Anbieter hinaus, gegen Cyberangriffe und Datenlecks abzusichern. Allgemein sind Public-Cloud-Provider für die physische Sicherheit, globale und regionale Konnektivität sowie die Stromversorgung und Kühlung ihrer eigenen Rechenzentren zuständig. Dies ermöglicht Unternehmen eine flexible Skalierbarkeit und entlastet sie davon, eine eigene Infrastruktur wie ein Rechenzentrum oder Server-Hardware bereitzustellen. Zugleich liegt es in der Verantwortung der Unternehmen, all ihre in die Cloud migrierten Daten und Anwendung selbst auf gewünschte Weise zu schützen.

  • Redundante SaaS-Anwendungen ermittetteln

    Die Software-as-a-Service (SaaS)-Landschaft wächst und wächst. Wer bis jetzt noch nicht auf Wolken geht, plant in absehbarer Zeit himmelwärts zu wandern. Für den IT-Betrieb bringt die Cloud bei allen Vorteilen jedoch auch Herausforderungen mit. Das gilt insbesondere bei der Verwaltung von SaaS-Ausgaben. Auf den ersten Blick steht die Inventarisierung und Konsolidierung von SaaS mit Recht ganz unten auf der Prioritätenliste von IT-Abteilung. Bei den unzähligen täglichen Aufgaben und den Herausforderungen im Zuge der digitalen Transformation, wird das "Ausmisten" im IT-Haushalt gerne auf die lange Bank geschoben. Das kann sich auf lange Sicht jedoch zu einem kostspieligen Fehler auswachsen, denn die Ausgaben für die Cloud (22 Prozent) liegen mittlerweile nur noch knapp hinter den Ausgaben für On-Premise (23 Prozent). Dazu gehört auch Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS). Über 80 Prozent der befragten Unternehmen planen die Ausgaben für SaaS und IaaS/PaaS im nächsten Jahr weiter zu erhöhen.

  • CLOUD Act auch für europäische Cloud-Provider?

    Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt. Nicht nur für Cloud-Anbieter, sondern auch für Unternehmen, die Cloud Computing-Anwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen. Anliegen des "Clarifying Lawful Overseas Use of Data" (CLOUD) Act ist es, die US-amerikanische Strafverfolgung zu erleichtern, indem der Zugriff auf im Ausland gespeicherte Kommunikationsdaten von Verdächtigen vereinfacht wird. Was bislang im Rahmen von Rechtshilfeabkommen zwischen den Regierungsbehörden verschiedener Länder im Laufe mehrerer Monate abgewickelt wurde, soll nun schneller möglich sein.

  • Cloud-Repatriation eine Realität

    Unternehmen nutzen vermehrt die Hybrid Cloud um Daten und Anwendungen in alle Umgebungen verschieben zu können. Dies macht das Zurückholen von Daten und Anwendungen ins eigene Rechenzentrum offiziell zu einem Trend. Noch vor wenigen Jahren glaubten wir, dass die Public Cloud die Zukunft der IT ist und früher oder später, physische Rechenzentren ersetzen würde. Tatsächlich ist der Trend Daten und Workloads in Public Clouds zu migrieren seit langem ungebrochen stark und es ist kein Ende dieser Entwicklung auszumachen. Doch trotz dieses generell anhaltenden Trends in Richtung Public Cloud ist Cloud-Repatriation, also die entgegengesetzte Entscheidung, Daten und Workloads zurück nach Hause ins eigene Rechenzentrum zu holen, in letzter Zeit zur Realität geworden. Was treibt diese Entwicklung an?

  • So hilft die KI bei der Datenanalyse

    Die Elektromobilität wird dazu führen, dass Fahrzeuge und Infrastrukturen riesige Datenströme generieren. In dieser Daten-Goldgrube verstecken sich viele Hinweise darauf, wie Unternehmen ihre Angebote und Produkte verbessern, aber auch die Kundenzufriedenheit steigern können. Wer den Datenschatz heben möchte, benötigt eine übergreifende Datenplattform und KI-Lösungen mit Maschine Learning-Komponenten. In den Medien generiert das Thema Elektromobilität derzeit interessante Schlagzeilen. Daimler kündigte an, ab 2021 mit der Produktion von autonom fahrenden Taxis zu starten. Auch Volkswagen steht unter Strom, denn die Wolfsburger wollen in den kommenden zehn Jahren 70 neue vollelektrische Elektrofahrzeuge entwickeln. Dazu meldet nun auch Lidl, dass der Lebensmitteldiscounter auf seinen Parkplätzen künftig Ladestationen für Elektrofahrzeuge installieren wird, wie es schon andere Handelsketten, beispielsweise Aldi, Rewe und Ikea, vormachen. Und im nächsten James Bond-Film wird der Superagent vermutlich mit einem Elektrofahrzeug von Aston Martin auf Gangsterjagd gehen.

  • Funktionierende DevOps-Kultur zu etablieren

    DevOps mit grundlegender IT-Modernisierung verbinden: Weitreichende Veränderungen wie die digitale Transformation oder neue Regularien wie die DSGVO wurden von vielen Unternehmen zum Anlass genommen, die eigene IT-Architektur von Grund auf zu überdenken. Die Ziele dabei waren und sind im Prinzip immer eine flexiblere IT, die schnell auf sich ändernde Umstände reagieren kann - eine der Kernkompetenzen von DevOps. Es ist also überaus sinnvoll, DevOps als eine der zentralen Säulen der neuen IT zu etablieren und sich dadurch kürzere Softwareentwicklungs- und Bereitstellungszyklen zu sichern.

  • Cloud-Big Data-Projekte: Exponentielles Wachstum

    Für IT-Verantwortliche wird es immer wichtiger, mit der Cloud den Einsatz innovativer Technologien zu unterstützen. Cloud Cpmputing-Services für Machine Learning, Künstliche Intelligenz, Blockchain oder Serverless Computing sind heute mit wenigen Mausklicks abrufbar. Damit beschleunigt sich die Umsetzung neuer Geschäftsmodelle ebenso wie die Produktentwicklung. Warum ein organisationsweites Datenmanagement für den Cloud-Erfolg wichtig ist, zeigt der folgende Beitrag. In der Studie "Multi-Cloud in deutschen Unternehmen" berichten die Analysten von IDC, dass 68 Prozent der Unternehmen bereits Cloud Computing-Services und -Technologien für mehrere Workloads verwenden.

  • Multiple Clouds nicht gleich Multi-Cloud

    Multi-Cloud ist derzeit einer der heißesten Trends für Unternehmen. Die Verwendung mehrerer Clouds gleichzeitig, kann viele Vorteile bieten. Richtig eingesetzt kann man mit der richtigen Kombination von Clouds unter anderem die Kosten für Infrastruktur senken, die Präsenz von Daten und Workloads in verschiedenen Regionen verbessern oder die Herstellerbindung an Cloud Computing-Anbieter vermeiden. Unternehmen, die den Ansatz Multi-Cloud hingegen falsch verstanden haben, kann dieses Missverständnis viel Geld kosten. Denn eine fehlgeleitete Multi-Cloud-Strategie hat das Potenzial, Anwendungen, Teams und Budgets unnötig aufzusplitten.

  • So gelingt der Umzug in die Cloud

    Geblendet von den zahlreichen Vorteilen, wollen viele Unternehmen zumindest Teile ihrer IT in die Cloud migrieren. Der Wunsch dies so schnell wie möglich zu tun ist verständlich, aber in den meisten Fällen völlig unrealistisch. Entscheidungsträger sollten neben den offensichtlichen Vorteilen auch die Zeit in Betracht ziehen, die nötig ist diese zu erreichen. Hierbei kann das Konzept Time To Value (TTV) helfen den richtigen Zeitpunkt für den Umzug zu ermitteln. Die Vorteile Cloud Computing-Technologien zu nutzen sind mittlerweile gut dokumentiert. Einer der wichtigsten ist die mit ihr verbundene Flexibilität, die es erlaubt nur für die Leistung zu bezahlen, die auch gebraucht wird. Die Entscheidung pro Cloud scheint somit auf der Hand zu liegen. Doch der Teufel steckt bekanntlich im Detail und trotz des Willens vieler Organisationen, mehr auf die Cloud zu setzen, ist ein Umzug über Nacht einfach nicht möglich sondern muss von langer Hand geplant sein.

  • Bedarf an schnellem Service-Management

    "Die Fabrik der Zukunft wird nur noch zwei Mitarbeiter haben, einen Mann und einen Hund. Der Mann ist da, um den Hund zu füttern und der Hund, um den Mann davon abzuhalten, Geräte zu berühren." Wie weit wir aktuell noch von dieser im Jahr 1990 geäußerten Vision von Warren Bennis entfernt sind, wird immer wieder versucht vorherzusagen. Schon den jetzigen technologischen Stand vor fünf Jahren präzise vorauszusehen, wäre aber nahezu unmöglich gewesen. In Bezug auf IT-Service Management (ITSM) zeichnet sich meiner Ansicht nach bereits ab, was kurz- und mittelfristig auf Unternehmen zukommen wird. Zum Beispiel werden neue Technologien wie Künstliche Intelligenz und Machine Learning noch stärker in den Mittelpunkt rücken, während eine ansprechende Benutzererfahrung und die Minimierung der Total Cost of Ownership weiterhin wichtig bleiben werden. Folgende fünf Themen sollten IT-Verantwortliche im Auge behalten und prüfen, ob ihre Service Management-Infrastruktur dafür gewappnet ist.