Security-Outsourcing als Mittel gegen den Fachkräftemangel?

Über 10 Prozent Umsatzzuwachs verzeichnet die IT-Sicherheitsbranche allein im letzten Jahr, haben die Marktforscher von IDC im Auftrag des Digitalverbandes Bitkom ermittelt. Dies verkündete Ursula Morgenstern, Mitglied im Bitkom-Hauptvorstand, während der erstmals per Live-Stream übertragenen Pressekonferenz zur diesjährigen it-sa. Wesentlichen Anteil an dieser Entwicklung haben cloud-basierte Sicherheitsangebote. In Deutschland, heißt es, nutzen bereits rund die Hälfte aller Unternehmen Sicherheitstechnologien als Dienstleistungen aus der Cloud. Vor dem Hintergrund, dass insbesondere kleinere und mittlere Unternehmen oft an den Anforderungen geeigneter Sicherheitslösungen scheitern, kann in den nächsten Jahren mit einem signifikanten Wachstum gerechnet werden. Denn bei KMUs reicht weder das vorhandene IT-Fachpersonal für zusätzliche Aufgaben aus, noch das Budget für zusätzliche Kosten. Nicht nur für diese Kunden hält der Markt passende Dienstleistungsangebote bereit.

 

Begriffsverwirrung garantiert

Entsprechende Offerten finden Interessenten zumeist unter dem Begriff „Security as a Service“; alleine rund 360 Treffer gibt die Aussteller- und Produktdatenbank der it-sa 2019 aus. Doch auch andere Bezeichnungen sind gebräuchlich, oft werden sie schlicht als „Managed Services“ angeboten, wozu allerdings klassische Leistungen wie Webhosting zählen. Auch die Abkürzung für „Security as a Service“ ist nicht ganz eindeutig, wird doch sowohl SECaaS, als auch SaaS eingesetzt. Letzteres steht jedoch zugleich für „Software as a Service“, also beispielsweise Microsofts Office 365.

Erschwerend kommt hinzu, dass die Angebotspalette eine große Spannbreite aufweist. Sie reicht von Einzelleistungen, etwa dem Herausfiltern von Spam-Mails, bis zum Komplettservice, der das ganze Spektrum abdeckt. Dann muss der gesamte externe Datenverkehr über den Dienstleister geroutet werden. Er betreibt für die Kunden nicht nur eine Firewall, sondern in der Regel ein vollständiges Security Operations Center (SOC), in dem gewöhnlich der Datenverkehr auf Gefahren analysiert wird, gefährliche Datenpakete herausgefiltert werden und bei beginnenden Angriffen der Kunde rund um die Uhr informiert wird.

 

Fallstricke lauern

Die Auswahl des passenden Angebots hängt nicht nur von finanziellen Fragen ab, Sicherheitsaspekte spielen ebenso eine Rolle. So benötigt SECaaS immer eine Internetverbindung zum Anbieter. Dadurch entstehen neben Ausfallrisiken auch zusätzliche Gefahren aus dem Netz. Zudem muss oftmals eine bereits vorhandene IT-Infrastruktur angepasst werden, etwa weil Software-Agents installiert werden müssen oder die Netzwerkstruktur geändert werden muss. Hingegen können Mittelständler ohne eigene Security-Produkte zusätzliche Hardware-Kosten sparen.

Beim Outsourcing von IT-Security ist zwar im eigenen Haus nur wenig Know-how notwendig. Doch erfordert die Auswahl eines Anbieters und der passenden Angebotsvariante durchaus spezifisches Fachwissen. Dafür lassen sich jedoch auch Berater einsetzen. Langfristig kann es aber von Vorteil sein, Fachwissen zum Thema IT-Sicherheit in der eigenen Organisation aufzubauen, denn sowohl die Bedrohungslage, als auch der Markt ändern sich permanent.

SECaaS kann mit besonderen Problemen verbunden sein, weil etwa ein externes SOC keinen Einblick in interne Prozesse und Vorgehensweisen hat. Ergeben sich daraus Probleme, können Sicherheitsdefizite nicht von außen erkannt werden, zum Beispiel, weil ein Praktikant Zugriff auf sensible Daten hat oder das Gebäude mangelhaft abgesichert ist und jemand mit geringem Aufwand in das Gebäude eindringen kann, um einen Server zu stehlen. Auch bei SECaaS ist daher ein Überblick über IT-Security und Kenntnisse der internen IT-Landschaft von Vorteil. Das gilt besonders für die internen Firmenprozesse.