Risiko-Management in der Praxis: Alle oder keiner?

EnterpriseMobile

Outsourcing kann helfen, muss es aber nicht

Sicherheitspolitik im Unternehmen heißt einerseits die technische Verfügbarkeit intern zu gewährleisten und andererseits die Daten nach außen abzusichern. Dem scheint die E-Business-Idee, die möglichst alle Kanäle vom Partner, bis hin zu den Kunden in einem Portal oder Netz über intensiven Datentransfer verbindet, zunächst zu widersprechen. Aber durchdachtes Risk-Management kann helfen.
Die Unternehmen stehen aber bei der Frage, wie sie bei geglücktem Übergang zum E-Business die Sicherheit optimal gewährleisten wollen, vor der Frage: Wie?

Viele der von silicon.de bei der diesjährigen Anwender-Studie zur IT-Sicherheit Befragten gaben zu, dass die Sicherheit des öfteren auf der Strecke bleibt, wenn die Netzwerke an die Unternehmensbedürfnisse angepasst werden. Das Marktforschungsunternehmen IDC rät hier einer Sicherheits-Strategie, die auch eingehalten und kontrolliert wird. Wo dies nicht gewährleistet ist, weil die Skills oder die Kompetenz für ein gutes Risk-Management fehlt, sollten Firmen demnach lieber diese Nicht-Kernkompetenz auslagern.

Faktor Mensch: vorne aufbauen, hinten einreißen?

Mit dem Grad, so schreiben die IDC-Studienautoren Thomas Raschke und Daniel O’Boyle Kelly, mit dem die Security-Technik für das Unternehmensnetzwerk nicht nur eine Zusatzfunktion einnimmt, sondern zum geschäftsentscheidenden Kriterium wird, überfordern viele Unternehmen ihre Netzwerk-Admins. Doch an ihnen hängt meistens die Gewähr dafür, dass die Autorisierungsfunktionen für bestimmte Nutzergruppen auch gründlich überwacht, kontrolliert, angepasst und aktualisiert werden. Die Aufgaben werden also komplexer, die Personaldecke in der IT oft nicht entsprechend dicker.

Trotzdem: Damit das Netzwerk die sensiblen Unternehmensdaten ungestört transportieren kann, verlassen sich, so ergab es auch die silicon.de-Umfrage, immer noch viele CEOs auf eine gute Firewall – und auf ihren Admin. Das aber ist zu wenig.

Sicherheit sollte nach einhelliger Meinung vieler Experten, ob Anwender oder Analysten, von den verschiedenen Unternehmensteilen getragen werden, nicht nur von der IT. Das entlastet die Administration und macht die Sicherheitspolitik des Unternehmens effektiver.

“Viele verstehen nicht, dass Security nichts ist, was getrennt vom Geschäftsprozess existiert – es ist sogar eine Art Business Enabler, wenn man die Strategie richtig aufsetzt”, so die IDC-Analysten.

Security sollte also im Idealfall nicht nur an alle Geschäftsprozesse gekoppelt, sondern richtiggehend in sie integriert sein. Das aber, wenden die Entscheider oft ein, ist eine Frage des Trainings für jeden einzelnen Mitarbeiter einer Firma. Das ist für alle Unternehmensgrößen eine aufwändige und permanente Arbeit, vor der viele zurückschrecken.

Trau, schau, wem

Manche Unternehmen kommen deshalb auf die Idee, ihr Verbindungen zu Zulieferern und Kunden von einem Dienstleister überwachen zu lassen – und das interne Netzwerk gleich mit dazu. “Prinzipiell richtig,” sagen die Analysten. Aber welche Strategie hier die richtige ist, ob Inhouse oder Outsourcing – diese Frage gilt es genau zu analysieren.

Laut IDC nutzen derzeit 15 Prozent der größten Unternehmen weltweit Managed Security Services, also individuell auf sie abgestimmte Hosting-Dienste. Für 16 Prozent ist der Gedanke sehr sympathisch, innerhalb der nächsten zwölf Monate solche Dienste zu mieten. “Aber”, so die Analysten, “Outsourcing ist nicht immer die richtige Antwort für jede Technik und jede Situation.”

Aber Zweifler gibt es auch. Ein silicon.de-Leser, der bei einem TK-Unternehmen die Technik und Forschung leitet, sagt zum Thema: “Ich würde nur auslagern, wenn der Outsourcer, den ich im Auge habe, selbst ein bisschen IT ausgelagert hat”.

Von Outsourcing-Boom keine Rede?

Grundsätzlich stimmt der Anbieter Genuity den misstrauischen Anwendern zu. Deutschland-Geschäftsführer Andreas Czaplok rät, genau zu untersuchen, welches Angebot für welches Unternehmensbedürfnis das Richtige sei. “Wir haben auch schon erlebt, dass die Outsourcing-Lösung, die wir Kunden angeboten haben, gar nicht billiger war als die bisherige Inhouse-Alternative”, legt den Finger in die Wunde.

Bei einer Filialstruktur aber “fängt es langsam an, interessant zu werden “. Denn, viele Unternehmen , so gibt er zu bedenken, hätten schon bei der Datenverbindung im eigenen Land – von Providernetz zu Providernetz in den Regionen – mit Unwägbarkeiten zu kämpfen.

Wenn nicht “alle”, dann lieber “keiner”

Wenn allerdings eine sichere Anbindung von Kunden, Lieferanten und Partnern “über Telefonica, dann Deutsche Telekom und von dort auf France Télécom mit allen zoll- und datentechnischen Hürden gewährleistet werden muss, kann das oft mit einem Provider schneller und einfacher bewältigt werden.”

Unabhängig von der Frage, wer für die Sicherheit sorgt, raten die IDC-Experten Raschke und O’Boyle Kelly, dazu interaktiv an die Securityfrage heranzugehen. So gehören Security, Verfügbarkeit und auch Dinge wie Zugriffszeiten und Ausfallsicherheit einfach zusammen. Die technischen und die sicherheitspolitischen Aspekte sind untrennbar. Dies gelte unabhängig davon, ob ein Unternehmen die Expertise im Haus hat oder lieber auslagert.