COMPUTERWOCHE-Studie zu Managed Security Services

Rettungsanker für IT-Abteilungen

06.11.2018
Von 
Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.

IT-Sicherheitsdienstleistungen rechnen sich

Speziell für CIOs und Business-Entscheider sind nicht nur der Mangel an Fachpersonal und komplexere Angriffsszenarien ein Grund, um Managed Security Services einzusetzen: An die 30 Prozent der befragten IT-Entscheider erhoffen sich Kosteneinsparungen. Es ist nachvollziehbar, dass die Anbieter solcher Dienste diesen Punkt besonders hervorheben: "Der geringere Aufwand für die IT- und Security-Fachleute im eigenen Haus und die niedrigeren Kosten sind wichtige Punkte, die aus Sicht von Unternehmen für gemanagte IT-Sicherheitsservices sprechen", erläutert Rüdiger Weyrauch von FireEye. "Denn wenn ein Anwender nachrechnet, wie viel Geld er für den Aufbau eines eigenen Security Operations Center benötigt, kommt er schnell auf eine beträchtliche Summe."

Vor allem den Betrieb eines Security-Operation-Centers (SOC) übergeben deutschen Firmen einem Dienstleister, jedoch auch Aufgaben wie Backup und die Evaluierung von IT-Sicherheitslösungen.
Vor allem den Betrieb eines Security-Operation-Centers (SOC) übergeben deutschen Firmen einem Dienstleister, jedoch auch Aufgaben wie Backup und die Evaluierung von IT-Sicherheitslösungen.
Foto: IDG

Weyrauch zufolge schlagen IT-Sicherheitsdienste externer Anbieter mit einem Drittel oder Hälfte der Kosten zu Buche, die beim Einsatz interner Fachleute und Security-Lösungen anfallen. Allerdings ergab die Studie, dass ein beträchtlicher Teil der Unternehmen dies anders sieht. Das gilt vor allem für kleinere Unternehmen mit weniger als 500 Mitarbeitern. Denn 45 Prozent nannten die zu hohen Kosten als Grund, weshalb sie auf Managed Security Services verzichten. Dasselbe Argument führt ein Viertel der größeren Firmen an. Eine mögliche Erklärung für diese Haltung ist, dass Unternehmen den Nutzen solcher Dienste unterschätzen, eine andere, dass es an - preisgünstigen - Service-Paketen mangelt, die IT-Security-Dienstleister auf die individuellen Anforderungen von Firmen zuschneiden.

Unternehmen nutzen mehrere Security-Dienstleister

Von den Anwendern, die auf Managed Security setzen, greifen fast 40 Prozent auf die Services von zwei bis drei Anbietern zurück. "Wir gehen davon aus, dass künftig immer mehr Unternehmen mit zwei bis drei IT-Dienstleistern zusammenarbeiten, und zwar sowohl mit Service-Providern als auch Security-Providern", sagt Sven Schaefer von Rackspace. "Denn ein Anbieter alleine kann nicht alle Aspekte abdecken: IT-Sicherheit, Datenschutz und Compliance."

Dass Unternehmen auf mehrere Anbieter von IT-Sicherheitsdienstleistungen zurückgreifen, hat fachliche Gründe: "Nicht jeder Anbieter kann alle Bereiche gleichermaßen abdecken, etwa Identity Management, Threat Intellgence, Threat Detection und E-Mail-Sicherheit. Daher ist es normal, dass Unternehmen häufig mehrere Dienstleister einsetzen", sagt Kai Grunwitz. Hinzu kommt laut Sven Schäfer, dass unterschiedliche Bereiche einer IT- und Geschäftsumgebung geschützt werden müssen: die IT-Infrasturktur, Anwendungen und die Geschäftsarchitektur. Auch Prozesse und die Rolle der Mitarbeiter müssen berücksichtigt werden.

Allerdings arbeiten vor allem mittelständische Unternehmen häufig mit nur einem Dienstleister zusammen. "Das ist meist der Provider, der Server, Netzwerkkomponenten und Storage-Systeme liefert, gleichzeitig aber auch die Absicherung der Infrastruktur übernimmt", so Grunwitz.