«Viele IT-Verantwortliche schieben ein gewisses Frustpotential bei IT-Security vor sich her», beobachtet Urs Rufer (Bild), der sich als VP of Engineering bei Terreactive mit Managed Security Services (MSS) beschäftigt. «Zu häufig beobachten wir, dass ein produktorientierter Ansatz verfolgt wurde. Fehlinvestitionen sind nicht selten. Da wird z.B. für viel Geld Intrusion Detection gekauft, aber am Ende ist der Kunde gar nicht in der Lage, die Technik voll auszunutzen.»
Sensibilisierung grundlegend
Häufig muss der Kunde für die Bereiche, die bei ihm wirklich delikat sind, sensibilisiert werden. Denn oft wüssten Unternehmen gar nicht, welche ihrer Daten unbedingt schützenswert seien. Rufer: «Es nützt ja nichts, wenn eine Firma zwar ihren Server sicher im Bunker stehen, aber keine Firewall aufgesetzt hat. Und es macht immer einen Unterschied, ob ich unternehmenskritische Informationen schützen will oder nur den Betrieb einer öffentlichen Website sicherstellen soll.»
Die erste Aufgabe ist desshalb stets, zusammen mit dem Kunden herauszufinden, welche Informationen welchen Wert für ihn haben und entsprechende IT-Security-Strukturen und darauf aufbauend passende Service Level Agreements auszuarbeiten.
Denn häufig sei dem Kunden gar nicht klar, was er wirklich brauche. Der Gedanke, dass es eben nicht genügt, eine Firewall und einen Virenschutz zu kaufen, muss sich erst langsam durchsetzen. Aber prinzipiell sei Outsourcing für viele Kunden effizienter, als selbst erst mühsam das nötige Know-how aufzubauen.
Neukundengewinnung mühsam
Die Neukundengewinnung ist, wie wohl für alle MSS-Anbieter nicht immer einfach. Denn um IT-Security auszulagern, muss erst einmal eine Vertrauensbasis geschaffen werden, vom Budget ganz zu schweigen. Aktuell hat Terreactive in der Schweiz eigenen Angaben zufolge etwa zwei Dutzend MSS-Kunden, weltweit hat das Unternehmen für 250-300 Geräte die Verantwortung im Bereich MSS.
Oft öffnet sich die Tür zu einem neuen Kunden über ein Audit, bei dem die bestehende IT-Security-Infrastruktur unter die Lupe genommen und auf Schwachstellen abgeklopft wird. «Häufig sind zwar die Techniker schon stark für IT-Security sensibilisiert. Beim Management sickert das Bewusstsein aber erst langsam durch», erklärt Rufer. Dann könne ein Audit eine gute Argumentationshilfe sein, um Investitionen anzustossen oder wenigstens um das vorhandene Budget optimal zu nutzen.
Wachstumsmarkt
Die Zukunft sieht man bei Terreactive positiv: «IT-Security ist ein klarer Wachstumsmarkt.» Das Problem sei eher, dass viele Firmen, die ursprünglich auf anderen Gebieten tätig waren, auf der Suche nach Wachstumspotential neuerdings in den MSS-Markt drängten. «Aber ‘managed Firewall’ ist eben nicht gleich ‘managed Firewall’. Da gibt es horrende Preisunterschiede, weil die Angebote oft kaum vergleichbar sind», erklärt Rufer die Problematik.
Momentan gebe es auf dem tatsächlichen MSS-Markt in der Schweiz nicht mehr als eine oder zwei Handvoll Anbieter, schliesst er, «aber grosse Infrastrukturprojekte fehlen zur Zeit». (ava)
