Der Mittelstand gibt seine Sicherheit in fremde Hände

“Der Kollege hat doch ab und zu Zeit, einen Blick auf die Firewall zu werfen.” Solche und ähnliche Sätze gehören für Security-Dienstleister nahezu zum Alltag, wenn sie in kleinen und mittleren Unternehmen für ihre Lösungen werben. Doch die Überzeugungsarbeit lohnt sich, schließlich prophezeien verschiedene Marktforscher übereinstimmend einen regelrechten Boom im Bereich Security-Outsourcing. Immer mehr in den Vordergrund rücken dabei ‘Managed Security Services’.
Durch individuelle Bausteine soll das Konzept gerade dem Mittelstand dabei helfen, das Unternehmensnetzwerk in Zeiten wachsender Bedrohungen sauber zu halten. Die Häppchen nehmen die Outsourcing-typische Angst vor dem Kontrollverlust und machen nicht selten Lust auf mehr. Schließlich vergehen zwischen dem Bekanntwerden einer Sicherheitslücke und dem ersten Virus, der sich hindurchzwängt, laut Symentec gerade mal noch knapp sechs Tage – Security entwickelt sich immer mehr zum Wettlauf mit der Zeit, für den gerade kleinere Unternehmen personell nicht aufgestellt sind.

Datenverlust in jedem dritten Unternehmen

Studien attestieren den IT-Verantwortlichen zwar durchaus ein steigendes Sicherheitsbewusstsein, knappe Security-Budgets sorgen jedoch dafür, dass dieser Erkenntnis entsprechende Taten folgen. Wie die diesjährige Security-Studie von silicon.de an den Tag brachte, hatte fast jedes dritte Unternehmen in den vergangenen 18 Monaten schon einmal mit Datenverlust zu kämpfen, zehn Prozent beklagten sogar den vorübergehenden Verlust ihrer Systemintegrität. Jedes zwanzigste Unternehmen war mit Betrug und Datendiebstahl konfrontiert.

Angesichts solcher Zahlen kann die Vogel-Strauß-Politik ganz schnell den Ruin bedeuten. Wie Studien belegen, können sich etwa 50 Prozent aller Firmen, die wichtige Daten bei einer Katastrophe verloren haben, nie wieder davon erholen – 90 Prozent dieser betroffenen Unternehmen mussten innerhalb von zwei Jahren gar ihre Geschäftstätigkeit aufgeben. Der Datenrettungsspezialist KrollOntrack schätzt, dass eine Stunde Datenverlust – zum Beispiel Anbieter von Kreditkarten, Banken oder Industrieunternehmen – teilweise sechs- oder siebenstellige Summen kostet.

Das Geschäft mit der Sicherheit boomt

Neben der Angst vor Hacker-Attacken aller Art werden Manager auch zunehmend vom Gesetzgeber unter Druck gesetzt. “Viele werden erst bei der Abgabe der Bilanzen für das Jahr 2004 merken, dass ihnen ein Konto – nämlich das zum Thema Sicherheit – fehlt. Das erwartet aber der Gesetzgeber zum Jahresabschluss 2004”, sagt Boris Bärmichl vom Security-Distributor TLK. Ab 2006 sind außerdem Wirtschaftsprüfer gesetzlich dazu verpflichtet, bei Firmen-Revisionen eine Einschätzung des Sicherheitsstandes der IT abzugeben.

Kein Wunder also, dass die Marktforscher den Providern für Security-Outsourcing blühende Landschaften versprechen. So heißt es in einer Studie der Yankee-Group, dass bis zum Jahr 2010 etwa 90 Prozent der großen Unternehmen diesen Zweig ausgelagert haben werden. Frost & Sullivan erwartet bis 2008 europaweit eine Verdreifachung des MSS-Umsatzes auf 250 Millionen Dollar. IDC geht gar von einem Investitionsvolumen von vier Milliarden Dollar allein in diesem Jahr in den westeuropäischen Ländern aus. Kurz gesagt: Der Markt brummt.

Viren und Würmer schlafen nicht

“Die meisten Unternehmen haben erkannt, dass sich Bedrohungen nicht an Geschäftszeiten halten”, sagt Olaf Lindner, Director Security Service bei Symantec, im Gespräch mit silicon.de. Deshalb wenden sich die Kunden mit Abstand am häufigsten an den Dienstleister, um den Monitoring-Service des Weltmarktführers für Informationssicherheit in Anspruch zu nehmen. Denn gerade eine 7×24-Stunden-Überwachung der gesamten IT-Infrastruktur sprengt schnell den personellen Rahmen eines kleineren Unternehmens.

“Dabei muss man unterscheiden zwischen Management und Monitoring. Manche wollen die Sicherheitseinstellungen selbst konfigurieren, die Überwachung geben sie dann aber in die Hand eines Dienstleisters. Wenn dabei ein Zwischenfall entdeckt wird, liegen alle weiteren Vorgehensweisen wieder in der Hand der Unternehmen”, so Lindner. Die Firma kann selbst entscheiden, wie weit sie gehen möchte – und das ist nicht selten weiter, als sie selbst am Anfang dachte.

Schweizer Käse und kein Konzept

Denn Firewall und Antiviren-Software wurden zwar meist irgendwann angeschafft, dann aber sträflich vernachlässigt. Gleichzeitig wähnten sich die Unternehmen oft in falscher Sicherheit, sagt ESC-Sprecher (Electronic Service Center) Marcus Beyer gegenüber silicon.de. Sein Unternehmen aus Halle ist auf kleine und mittelständische Kunden spezialisiert. Kunden, für die erst einmal eine Risikobetrachtung und die Feststellung des notwendigen Bedarfs ausgearbeitet werden muss. “Der Auslöser dafür sind aber meist Kostengründe und nicht Sicherheitsüberlegungen”, so Beyer.

“Gerade in kleineren Unternehmen ist es nötig, erst einmal eine ausformulierte Sicherheitspolitik auf IT-Ebene zu entwerfen.” Ist das aber erst einmal geschehen, werde das vorgeschlagene Konzept und das dazugehörige System in der Regel auch eingesetzt.

Investitionen reichen gerade mal für ein Vorhängeschloss

Seinen derzeit rund 50 Kunden aus Forschung, Technologie und Datenschutz bietet ESC dazu ein recht überschaubares Preismodell. Für Unternehmen bis zu 100 Mitarbeitern kostet die Erstinstallation von Firewall und Viren- inklusive Spamschutz 3500 Euro. Wartung, Monitoring und Upgrades schlagen mit 150 Euro monatlich zu Buche. Bei Firmen ab 100 Mitarbeiter liegen die entsprechenden Preise bei 12.000 und 450 Euro.

Auch dem, der sich um gar nichts mehr kümmern will, kann geholfen werden. So bietet Symantec den Komplettservice ‘Bundled Model’ und sorgt dabei für alle Aspekte der Hard- und Software. “Am Ende bekommt der Kunde nur noch ein Netzwerkkabel, wo sein gesicherter Datenverkehr rauskommt”, so Symantec-Experte Lindner. Je nach Größe und Anforderungen eines Unternehmens kostet so ein ‘Sorglos-Paket’ ab 2000 Euro im Monat.

Tatsächlich sind jedoch alle diese Angebote weit entfernt von dem, was kleinere und mittlere Unternehmen bereit sind, in die Sicherheit ihrer IT zu investieren. Für die Verbesserung ihrer Computer- und Internet-Sicherheit wollen die meisten von ihnen nämlich nur 1000 Euro ausgeben. Zu diesem Ergebnis kommt eine Befragung der deutschen Initiative ‘Security for Business’ unter 600 Mittelständlern aller Branchen mit weniger als 5 Millionen Euro Jahresumsatz. Ein Drittel würde gar nur Kosten bis 500 Euro akzeptieren.

Kosten sind relativ

Eine Umkehr dieses bedenklichen Trends ist nicht abzusehen. Nach den neuesten Zahlen von Mummert Consulting rechnen zwei Drittel der IT-Entscheider mit konstanten oder sinkenden Sicherheitsetats. Im Durchschnitt sollen bei der IT-Sicherheit 41 Prozent eingespart werden.

“Kosten sind relativ”, sagte dagegen Angela Rosco, General Manager beim Biotechnologieunternehmen Icon Genetics im Interview mit silicon.de. Das mittelständische Unternehmen hat seine Security, inklusive Firewall, Virusschutz und VPN (Virtual Private Network) an ESC ausgelagert. “Wir sind ein Unternehmen mit sensiblen Daten, die wir schützen müssen”, so Rosco. Deshalb habe man sich bereits im Jahr 2000, als der Standort Halle/Saale gegründet wurde, dazu entschieden, die Security auszulagern. Offenbar mit Erfolg. “Ein kürzlicher Sicherheitscheck eines französischen Unternehmens, welches gerne eigene Tools verkaufen wollte, ergab keinen Handlungsbedarf.”