- Anzeige -


Sie sind hier: Startseite » Fachartikel » Grundlagen

Outsourcing-Modell für IT-Sicherheit


Hosted oder Managed Services, Could Computing oder Konsolidierung der eigenen IT-Sicherheit: Das richtige Modell zu finden ist kein Kinderspiel
IT-Security und ihre Outsourcing-Modelle: Das Modell der "Hosted Security" erlaubt es Unternehmen, sich größere Ausgaben zu sparen


Autor Gert Hansen:
Autor Gert Hansen: Das noch immer viel diskutierte Cloud Computing stellt eine weitere Outsourcing-Alternative für den Bereich IT-Sicherheit dar, Bild: Astaro

Von Gert Hansen, VP Product Management, Astaro AG

(02.09.10) - Die Wirtschaftskrise, bei der es sich laut statistischem Bundesamt um die schlimmste Rezession seit dem zweiten Weltkrieg handelt, scheint ihre Talsohle in Deutschland durchschritten zu haben. Noch immer sind jedoch viele Unternehmen bei Neu-Investitionen vor allem im IT-Bereich zurückhaltend. Und obwohl Outsourcing als klassisches Element der IT-Kostenreduzierung gilt, üben sich laut den Analysten von IDC noch immer viele Unternehmen in Vorsicht, da sie sich gerade in wirtschaftlich knappen Zeiten mittel- und langfristig nicht fest binden möchten. Die weltweite Krise und die damit verbundene wirtschaftliche Unsicherheit führten in vielen Unternehmen gerade im vergangenen Jahr dazu, dass geplante IT-Ausgaben nochmals geprüft oder aufgeschoben und Budgets gekürzt, eingefroren oder ganz gestrichen wurden.

Die Experten von IDC erwarten nun für die zweite Jahreshälfte 2010 einen nachhaltigen Aufschwung der Gesamtwirtschaft und damit auch eine spürbare Erholung des IT-Service-Marktes. Doch erst wenn sich das Vertrauen in den Aufschwung festigt, werden die Unternehmen laut IDC wieder vermehrt in IT-Services, insbesondere in Outsourcing, investieren.

Gerade im Bereich der Informationstechnologie stehen Unternehmen schon heute vor der Qual der Wahl "Make or Buy", auslagern oder nicht auslagern? Ist die Entscheidung für das Outsourcing erst einmal gefallen, stellt sich die nächste Frage: Welches Outsourcing-Modell ist am geeignetsten? Die Hauptziele der meisten IT-Entscheider werden sich dabei auch bei einem Aufschwung nicht ändern: Gleichbleibend gute Qualität mit möglichst geringem Kosten- und Zeitaufwand. Die Lösung dieser mitunter schwierigen Aufgabe kann in der Praxis ganz unterschiedlich aussehen.

Denn so, wie die Ansprüche an die IT-Sicherheit je nach Unternehmen auseinander gehen können, unterscheiden sich auch die verschiedenen angebotenen Modelle. Egal welche Parameter einem Unternehmen wichtig ist, ob Kontrolle, Infrastruktur oder Service, vor dem Hintergrund reduzierter Budgets lässt sich nur selten ein Rundum-Sorglos-Paket finden. Die unterschiedlichen Alternativen sorgfältig abzuwägen, ist daher die Grundvoraussetzung für Unternehmen.

Hosted Security Services
Das Modell der "Hosted Security" erlaubt es Unternehmen, sich größere Ausgaben zu sparen. Outsourcing-Anbieter stellen dem Kunden dabei für gewisse Bereiche der IT-Sicherheitsressourcen ihrer Datenzentren zur Verfügung. Gerade serverseitige Sicherheits-Lösungen lassen sich so einfach realisieren, da für die Software und medienneutrale Datenhaltung keine umfassenden Investitionen in die eigene IT-Infrastruktur anfallen. Es müssen lediglich Clients für den jeweiligen Zugriff implementiert werden. Hosted Security Services lohnen sich jedoch vornehmlich für kleinere Unternehmen. Der Zugriff auf die gehosteten Dienste und Daten ist in der Regel unabhängig vom Standort des Zugreifenden, weswegen sich das Modell auch für verzweigte Niederlassungs- oder Filialnetze anbietet. Nachteilig ist allerdings, dass etwaige Anpassungen an neue Sicherheitsregularien oder Unternehmensstandards oft nur begrenzt und mit Zeitverzögerung möglich sind.

Managed Security Services
Ist bereits eigene IT-Sicherheits-Infrastruktur vorhanden und etabliert – sei es aus historisch gewachsenen Strukturen oder weil sie aus Compliance-Gründen lokal betrieben werden muss – bietet sich eher das Modell der Managed Security Services an. Ein Unternehmen kann dabei einen Großteil der Verantwortung für Instandhaltung, rechtliche Vorgaben, Remote Access Management, Updates und Verwaltung der eingesetzten Lösung an einen Dienstleister abgeben. Der Vorteil dieser Lösung liegt auf der Hand: Der spezialisierte Outsourcing-Dienstleister hat in der Vergangenheit oft bereits mit Tausenden von Sicherheitsvorfällen zu tun gehabt und kann diese Erfahrung auch die Dienste für andere Unternehmen einbringen. Die Erfahrung der meisten Managed Security-Anbieter schlägt sich auch in der Kenntnis über die Einhaltung aktueller und zukünftiger rechtlicher Vorgaben und Regeln nieder.

Das Modell hat allerdings auch seine Nachteile, da eine enge Zusammenarbeit zwischen Auftraggeber und Anbieter unerlässlich ist. Denn nur durch eine kontinuierliche enge Absprache kann der Outsourcing-Anbieter die individuellen Bedürfnisse und Anforderungen des Auftraggebers bei der IT-Sicherheit berücksichtigen. Das Modell ist daher primär für kleine und mittelständische Unternehmen (KMU) geeignet. Denn gerade KMU fehlt es oftmals an notwendigem Fachwissen bezüglich Compliance- und Sicherheitsanforderungen sowie an ausreichend personellen Ressourcen, um die Netzwerke und IT-Architekturen rund um die Uhr zu beobachten.

Die Wolke
Das noch immer viel diskutierte Cloud Computing stellt eine weitere Outsourcing-Alternative für den Bereich IT-Sicherheit dar. Es bezeichnet primär den Ansatz, abstrahierte IT-Infrastrukturen wie Rechenkapazität oder Datenspeicher, fertige Programmpakete und Programmierumgebungen dynamisch an den Bedarf angepasst über Netzwerk zur Verfügung zu stellen. Daten und Security-Anwendungen werden hier nicht mehr lokal, sondern in einer Wolke abgelegt, die aus zahlreichen, über das Internet miteinander verbundenen Rechenzentren besteht. Services werden von Rechenzentren weltweit zur Verfügung gestellt und sind praktisch dauerhaft und überall verfügbar. Zudem lassen sich Cloud-Services leicht an veränderte Bedürfnisse anpassen. Einer der Hauptvorteile des Modells ist die hohe Skalierbarkeit, also die freie Anpassung an den jeweiligen tatsächlichen Bedarf ohne jegliche Verzögerung. Unternehmen können mithilfe der Wolke ihren Kapitalaufwand reduzieren, ohne dabei Gefahr zu laufen, ihre Systeme in Stoßzeiten zu überlasten.

Nachteile des Modells: Ebenso wie bei Hosted Services macht sich der Anwender von einer unbedingt und störungsfrei funktionierenden Internetverbindung abhängig. Fallt diese aus, sind die in der Wolke gelagerten Sicherheitsmaßnahmen wirkungslos. Eine weitere Herausforderung in der Cloud ist die Abhängigkeit vom jeweiligen Cloud-Anbieter, da die angebotenen Schnittstellen meist sehr herstellerspezifisch sind.

Alternative zum Outsourcing: Konsolidierung
Trotz des großen Angebots an Outsourcing-Alternativen, zeigt die Erfahrung, dass sich ein Outsourcing der IT-Sicherheitsfunktionen nicht für alle Unternehmen der Königsweg ist. Vor allem große Unternehmen ziehen es vor, geschäftskritische Daten auf eigenen Servern zu speichern und die Verwaltung der IT-Security der eigenen IT-Abteilung zuzuschreiben. Oftmals scheitert die Auslagerung der IT-Sicherheit auch an gesetzlichen, unternehmenbezogenen oder kundenvertraglichen Regelungen, die ein Unternehmen bezüglich der IT-Sicherheit berücksichtigen muss. Um sich dennoch kosteneffizient gegen die wachsende Vielzahl der alltäglichen Sicherheitsbedrohungen zu rüsten, bietet sich die Konsolidierung von mehreren Funktionen und Services in einem System an. Idealerweise lassen sich Netzwerk-, Web- und Mail-Sicherheit auf einer einzigen Plattform bündeln. Alle Security-Installationen können dann zentral verwaltet und konfiguriert werden.

Konsolidierung lässt sich durch eine integrierte Lösung oder aber über Virtualisierung und Automatisierung erreichen. Unternehmen profitieren hierbei klar von der Minimierung der selbst vorzuhaltenden IT-Infrastruktur, einer geringeren Systemkomplexität und niedrigen Kosten. Allerdings lassen sich nicht beliebig viele Services in einer Plattform zusammenfassen, und auch für das zentralisierte System und die darin integrierten Services ist ein gewisser Aufwand für Installation und Instandhaltung einzurechnen.

Fazit
Ob und in welcher Form Outsourcing in Frage kommt, muss letztlich jedes Unternehmen anhand der individuellen Vorgaben und Bedürfnisse selbst entscheiden. Seien es nun Hosted oder Managed Services, Could Computing oder doch lieber die Konsolidierung der eigenen IT-Sicherheit, das richtige Modell zu finden ist sicherlich kein Kinderspiel. Es wird für die meisten Firmen jedoch immer aufwendiger sein, die IT-Sicherheit selbst zu betreiben, als sie in die Hände eines Spezialisten zu geben. Dies gilt besonders im Hinblick auf Komplexität, Kosten und Regularien. Um also die richtige Entscheidung zu treffen, spielt vor allem der Faktor Zeit eine Rolle – Zeit für eine umfassende Anforderungsanalyse und Risikoevaluierung. Auch der Faktor Vertrauen gegenüber dem Outsourcing-Partner spielt eine wichtige Rolle, da Unternehmen ihre wichtigsten Daten in seine Hände geben.

Wer sich nicht auf Anhieb für ein Modell entscheiden kann, für den ist möglicherweise ein Modell-Mix die richtige Alternative. Die Konsolidierung von Sicherheitsfunktionen, ein Auslagern von Security-Services sowie der Einsatz virtualisierter Lösungen auf der existierenden Hardware-Infrastruktur wären Möglichkeiten, um bei gleichzeitiger Kostenoptimierung die notwendige Netzwerksicherheit zu gewährleisten. (Astaro: ra)

Astaro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Grundlagen

  • Automatisierte Speicherrichtlinien & Daten-GPS

    Die Globalisierung hat die Welt schrumpfen lassen. Nicht nur Reisende ziehen heute rund um den Globus, auch Daten sind dank Cloud Computing äußerst mobil und werden von Unternehmen aus den unterschiedlichsten Gründen zwischen Rechenzentren verschoben. Wir Menschen fühlen uns im eigenen Zuhause am sichersten. Auch für Unternehmensdaten gilt, dass das Risiko sie bei der Migration über Ländergrenzen hinweg zu verlieren, natürlich steigt. Als Mensch ist es heute mittels GPS sehr einfach, einen Standort zu bestimmen. Damit auch Unternehmen immer genau wissen, wo ihre Daten physisch gespeichert sind, bieten sich dank automatisierten Speicherrichtlinien und einem Daten-GPS neue Methoden, den exakten Standort von Daten festzulegen.

  • Mit SaaS & HaaS die IT-Abteilung entlasten

    In vielen Unternehmen stehen CIOs vor der Aufgabe, mit einer sich rasch entwickelnden IT-Welt Schritt halten zu müssen. Hinzu kommt, geeignetes Personal mit dem entsprechenden Know-how zu finden und sich stets gegen zunehmende Sicherheitsrisiken zu wappnen. Diese Herausforderungen beanspruchen zeitliche und finanzielle Ressourcen in der IT-Abteilung, die Unternehmen an anderer Stelle dringender bräuchten. Im Rahmen von Managed Services wie Software-as-a-Service (SaaS) und Hardware-as-a-Service (HaaS) werden Standardaufgaben an externe Dienstleister ausgelagert. Das schafft Freiräume und entlastet die IT-Abteilung. Welche Fragen sind relevant, um zu erkennen, ob auch das eigene Unternehmen von Managed Services profitieren kann.

  • Die Zukunft des File Sharing

    Um den Austausch von Forschungsdaten zwischen verschiedenen Teams am CERN zu ermöglichen, erfand Tim Berners-Lee in den achtziger Jahren, als Nebenprodukt sozusagen, das Internet. Heute ist das Internet die tragende Säule der weltweiten Kommunikation und aus unserem digitalen Leben nicht mehr wegzudenken. Überraschenderweise hat sich seit den frühen Tagen des Internets kaum etwas verändert: Nach wie vor werden für die Übermittlung von Dateien Protokolle aus den Anfangstagen des Internets genutzt. Zum damaligen Zeitpunkt war jedoch eine Welt, in der Datenmengen exponentiell wachsen, Hacker an allerlei Daten interessiert sind und Organisationen in denen zehntausende Mitarbeiter täglich millionenfach Dateien teilen, noch nicht vorstellbar. Worauf sollten Unternehmen also achten, wenn sie eine zukunftssichere File Sharing-Lösung nutzen möchten? Und welche neuen Technologien halten Einzug um Filesharing sicherer, komfortabler und schneller zu machen?

  • File Sharing im Unternehmen: Strategie gesucht

    Um Daten auszutauschen setzen die meisten Unternehmen noch immer auf die gute alte E-Mail, auch wenn diese Technologie offensichtlich nicht mehr auf dem neuesten Stand der Technik ist. Auch das ebenso veraltete FTP ist noch weit verbreitet, wenn es darum geht größere Dateien zu übermitteln. Den IT-Alptraum perfekt machen, intern oft nicht überwachte, File-Sharing-Dienste in der Cloud a la Dropbox & Co. Um striktere Compliance-Vorgaben zu erfüllen und die offensichtlich nicht gegebene Datensicherheit für ihr Unternehmen zu gewährleisten suchen IT-Verantwortliche suchen händeringend nach eine umfassenden Strategie um die genannten, unzuverlässigen Werkzeuge zu ersetzen und somit die Kontrolle über ihre sensiblen Daten zurückzugewinnen.

  • Privacy Shield und die Folgen

    Am 1. August 2016 trat das neue Privacy Shield-Abkommen in Kraft, das für Kunden und Anbieter von Cloud Computing-Services wieder Rechtssicherheit bieten und den transatlantischen Datenfluss wiederherstellen soll. Ob Privacy Shield die Nutzer besser schützen wird als der Vorgänger Safe Harbor wird von vielen Experten jedoch bezweifelt. Auch Subhashini Simha von Thru zweifelt das Abkommen an. Ihre Einschätzung der Folgen von Privacy Shield für Unternehmen hat sie in diesem Artikel zusammengefasst. Demnach benötigen Unternehmen zukünftig mehr denn je Flexibilität ihre Daten im Notfall auch im eigenen Rechenzentrum zu hosten und sie bei sich ändernder Rechtslage aus anderen Regionen abzuziehen.

  • Herausforderungen im Wissensmanagement

    Der Erfolg eines Projekts hängt von vielen Faktoren ab: Unterstützung durch das Top-Management, entsprechende Organisationsstrukturen sowie qualifizierte Mitarbeiter. Zudem spielt Wissen eine wichtige Rolle im Projektmanagement: Welche Methode eignet sich für das Projekt? Mit welchen Maßnahmen lässt sich das Projektziel erreichen? Wie können die Projektanforderungen erfüllt werden? Diese und weitere Fragen müssen Projektleiter beantworten können. Das Problem: Oftmals sind sich diese gar nicht bewusst, was sie und ihre Mitarbeiter wissen oder eben auch nicht wissen. Ein professionelles Wissensmanagement kann das Projektmanagement wirkungsvoll unterstützen, indem es vorhandenes Wissen bündelt, neue Erkenntnisse aufnimmt und alles für zukünftige Projekte verfügbar macht.

  • Unified Communications & Cloud-Kommunikation

    Den Begriff "Unified Communications" (UC) gibt es schon seit vielen Jahren. Er bezeichnet die Integration von Kommunikationsmedien in einer einheitlichen Anwendungsumgebung. Durch die Zusammenführung verschiedener Kommunikationsdienste soll UC die Erreichbarkeit der Kommunikationspartner verbessern und damit die Geschäftsprozesse beschleunigen.

  • Multi Cloud Sourcing

    Die Vorteile von Cloud Computing sind inzwischen bekannt: hohe Flexibilität und Skalierbarkeit zu genau kalkulierbaren Kosten. Doch wer Dienste von mehreren Anbietern nutzt, steht schnell vor einem Problem. Er muss die nötigen Informationen jedes Mal neu übertragen, wodurch unterschiedliche Datenbestände und Mehraufwand für das Management entstehen können. Ein einfaches Springen von Wolke zu Wolke ermöglicht Multi Cloud Sourcing. Für viele Unternehmen ist die Hybrid Cloud attraktiv. Sie kombiniert Skalierbarkeit mit Effizienz und verspricht zusätzlich Kostenersparnisse. Denn die Kunden müssen keine teuren Kapazitäten für Spitzenzeiten bereithalten, die im Rest des Jahres nicht genutzt werden.

  • Cloud als Backup-Speicher

    Rasant wachsende Datenmengen sowie die steigende Abhängigkeit der Unternehmen von ihren operativen Daten setzen die IT-Abteilung gewaltig unter Druck. CIOs müssen daher ihre Strategie für das Datenmanagement den veränderten Realitäten anpassen. Ein mögliches Werkzeug hierfür sind IT-Ressourcen aus der Cloud, die in die Backup- und Storage-Infrastruktur eingebunden werden. Die IT-Abteilung kann es sich nicht mehr leisten, auf die Cloud zu verzichten. Immer mehr Unternehmen in Deutschland setzen mittlerweile auf diese Technologie. In der Studie "Cloud-Monitor 2015" von KPMG und Bitkom vermelden die Analysten, dass bereits 44 Prozent der deutschen Unternehmen IT-Leistungen aus der Cloud beziehen. Weitere 24 Prozent planen oder diskutieren noch über den Einsatz. Dabei sind die gemachten Erfahrungen durchweg positiv, wie bis zu 78 Prozent der Befragten berichten.

  • Mit Cloud-Datenbanken vertraut machen

    In IT-Abteilungen vollzieht sich der größte Umbruch seit Einführung des PC und die modernen Rechenzentren müssen weiterentwickelt werden, um mit dieser Entwicklung Schritt zu halten. Dies ist besonders kritisch, da die IT für fast alle Geschäftsfunktionen eine immer wichtigere Rolle spielt. Unternehmen jeder Größe nutzen alle verfügbaren Technologien und Best Practices, um die Abläufe zu optimieren und Ineffizienzen zu reduzieren, und für viele bedeutet dies in erster Linie zwei Dinge: Virtualisierung und Cloud Computing. Jede IT-Abteilung versucht Zeit zu sparen, die Produktivität zu steigern und Abläufe zu optimieren. Mithilfe der Cloud und der Virtualisierung können in diesem Zusammenhang diese Komponenten nun im gesamten Unternehmen effizienter gestaltet werden.