«Es gibt viel zu wenig Security-Experten.»
Artikel erschienen in IT Reseller 2001/12
Artikel erschienen in IT Reseller 2001/12
IT Reseller unterhielt sich mit Max Siegrist, CEO des auf Netzwerk-Security spezialisierten Distributors Netstuff, kürzlich über den Schweizer Security-Markt. Dabei drängte sich ein Thema immer wieder auf: Der Mangel an Spezialisten.
Max Siegrist: Auf dem Markt besteht ein dramatisches Ressourcen-Problem, es gibt viel zu wenig Security-Experten. Eine Spezialisierung wie «Security Engineer» kann man noch nirgends lernen. Nur durch Praxis kann man sich das Know-how erarbeiten. Es kommt hinzu, dass der Produktezyklus oft nur ein halbes Jahr ist, was bedeutet, dass die Leute eigentlich permanent in der Ausbildung sein müssten. Das schafft der Markt schlicht und einfach nicht. Darum haben es sich einige Firmen überlegt, dass es keinen Sinn macht, für den Kunden ein Security-Projekt zu implementieren, das danach gar nicht professionell gemanaged und auf dem neusten Stand gehalten wird.
ITR: Sie sprechen von Security-Outsourcing oder Managed Security Services. Davon ist in letzter Zeit oft die Rede, und einige Unternehmen verkünden, dass sie solche Services anbieten wollen. Aber machen die Kunden da schon mit?
MS: Nur ganz grosse Unternehmen haben sich bis jetzt dazu überwunden. Der Trend ist erkennbar, aber es läuft noch sehr harzig. Unternehmen haben einfach noch Mühe mit dem Gedanken, die Security in fremde Hände zu geben. Da braucht es grosse Überzeugungsarbeit und grosses Vertrauen.
ITR: Manche Experten meinen, dass es wenig Sinn macht, die Sicherheit an Aussenstehende abzugeben, wenn es nicht auch Security-Fachleute beim Kunden gibt, die ihre Tätigkeit überwachen. Dadurch könnten Serviceleister Schlupflöcher in ihren Verträgen schaffen und im Notfall ausnutzen, was wiederum dem Ruf der ganzen Branche schaden würde. Was meinen Sie zu dieser Kritik?
MS: Aus diesem Grund ist es zwingend notwendig, dass es sogenannte Security-Officers in den Unternehmen gibt, die regelmässig Echtzeit-Statistiken und Audit-Berichte zur Vefügung haben. Zu diesem Zweck werden auch interaktive Kontrolltools entwickelt, entsprechend den Netzwerkmanagement-Tools, durch die man im laufenden Betrieb sieht, was gerade vor sich geht, zum Beispiel wenn ein Servicepartner die Regeln ändert.
Beim Outsourcing, oder Cosourcing, wie ich es lieber nenne, geht es primär darum, dass man das ganze Echtzeit-Monitoring, zum Beispiel eines Intrusion Detection Systems, abgibt. Auf diese Weise kann sich sofort jemand darum kümmern, der weiss was zu tun ist, wenn eine Attacke gefahren wird. Manchmal geht es um die richtige Reaktion innerhalb von Sekunden.
Max Siegrist: Auf dem Markt besteht ein dramatisches Ressourcen-Problem, es gibt viel zu wenig Security-Experten. Eine Spezialisierung wie «Security Engineer» kann man noch nirgends lernen. Nur durch Praxis kann man sich das Know-how erarbeiten. Es kommt hinzu, dass der Produktezyklus oft nur ein halbes Jahr ist, was bedeutet, dass die Leute eigentlich permanent in der Ausbildung sein müssten. Das schafft der Markt schlicht und einfach nicht. Darum haben es sich einige Firmen überlegt, dass es keinen Sinn macht, für den Kunden ein Security-Projekt zu implementieren, das danach gar nicht professionell gemanaged und auf dem neusten Stand gehalten wird.
ITR: Sie sprechen von Security-Outsourcing oder Managed Security Services. Davon ist in letzter Zeit oft die Rede, und einige Unternehmen verkünden, dass sie solche Services anbieten wollen. Aber machen die Kunden da schon mit?
MS: Nur ganz grosse Unternehmen haben sich bis jetzt dazu überwunden. Der Trend ist erkennbar, aber es läuft noch sehr harzig. Unternehmen haben einfach noch Mühe mit dem Gedanken, die Security in fremde Hände zu geben. Da braucht es grosse Überzeugungsarbeit und grosses Vertrauen.
ITR: Manche Experten meinen, dass es wenig Sinn macht, die Sicherheit an Aussenstehende abzugeben, wenn es nicht auch Security-Fachleute beim Kunden gibt, die ihre Tätigkeit überwachen. Dadurch könnten Serviceleister Schlupflöcher in ihren Verträgen schaffen und im Notfall ausnutzen, was wiederum dem Ruf der ganzen Branche schaden würde. Was meinen Sie zu dieser Kritik?
MS: Aus diesem Grund ist es zwingend notwendig, dass es sogenannte Security-Officers in den Unternehmen gibt, die regelmässig Echtzeit-Statistiken und Audit-Berichte zur Vefügung haben. Zu diesem Zweck werden auch interaktive Kontrolltools entwickelt, entsprechend den Netzwerkmanagement-Tools, durch die man im laufenden Betrieb sieht, was gerade vor sich geht, zum Beispiel wenn ein Servicepartner die Regeln ändert.
Beim Outsourcing, oder Cosourcing, wie ich es lieber nenne, geht es primär darum, dass man das ganze Echtzeit-Monitoring, zum Beispiel eines Intrusion Detection Systems, abgibt. Auf diese Weise kann sich sofort jemand darum kümmern, der weiss was zu tun ist, wenn eine Attacke gefahren wird. Manchmal geht es um die richtige Reaktion innerhalb von Sekunden.
ITR: Sie glauben also, dass sich Security-Outsourcing durchsetzen wird?
MS: Wir sind im Moment in einer Situation, in der den Firmen das Wasser zum Hals steht, und viele haben keine andere Alternative. (Interview hjm)
Artikel kommentieren
