Auch die rechtliche Sicherheit gewinnt
Abseits aller finanziellen Anreize, die Managed Security Services bringen mögen, helfen sie auch beim Erfüllen von rechtlichen und regulatorischen (Compliance-)Notwendigkeiten. Hierzulande schreibt das Gesetz Geschäftsführern, Vorständen und Aufsichtsräten etliches vor in Sachen IT-Sicherheit: wirksame Schutzmaßnahmen gegen (Hacker-)Angriffe von außen, Abwehren von Malware, Einhalten der datenschutzrechtlichen Pflichten, regelmäßige Backups, Berücksichtigen von Handlungsanleitungen, Best Practice-Vorgaben und Wirtschaftsprüfungsstandards.
Werden diese Vorschriften missachtet, drohen unter anderem zivilrechtliche Schadensersatzansprüche von Geschädigten gegen das Unternehmen und Geldbußen. Dazu kommen ein schlechteres Kreditrating, der Verlust des Versicherungsschutzes oder der Ausschluss bei der Vergabe öffentlicher Aufträge. Obendrein warten noch Straftatbestände wie das Ausspähen von Daten, das Verletzen des Post- oder Fernmeldegeheimnisses oder der Verrat von Geschäfts- und Betriebsgeheimnissen. Werden Namen von Mitarbeitern und Kunden oder persönliche E-Mail-Adressen gespeichert, muss auch das Bundesdatenschutzgesetzes (BDSG) befolgt werden. Dessen Paragraf 9 schreibt vor, dass diverse Kontrollen einzurichten sind, darunter Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Verfügbarkeitskontrolle, Datentrennung oder Eingabekontrolle.
Bei Verstößen werden nicht die IT-Verantwortlichen belangt, sondern zuerst die genannten Führungspersonen. Daher schlafen alle Beteiligten ruhiger, wenn kritische IT-Sicherheitsthemen von einem Dienstleister betreut werden. Diesen kann der Kunde - ein entsprechendes Vertragswerk vorausgesetzt - im Problemfall haftbar machen. Bevor es so weit kommt, muss das jeweilige Unternehmen klären, welche Aufgaben künftig extern erledigt werden sollen: Geht es um die Überwachung der Firewalls aus der Ferne oder um Backup und E-Mail-Archivierung? Oder sollen Spam und Malware abgewehrt werden, geht es um strategische Beratung rund ums Risikomanagement oder um das Abklopfen von selbst entwickelten Anwendungen auf mögliche Sicherheitslücken (Penetration Testing)?