?Integration der IT-Sicherheit in die IT-Betriebsprozesse?

Herr Bertram,warum sollte ein Unternehmen seine IT-Sicherheit in die Obhut von Siemens Business Services geben, was können Sie besser als die jeweiligen Unternehmen, die in der Regel ja global agierende wirtschaftliche Schwergewichte sind, die Jahrzehnte EDV-Erfahrung haben?
Auch Siemens Business Services verfügt über jahrelange EDV-Erfahrung. Speziell mit IT-Sicherheit haben wir uns frühzeitig auseinandergesetzt und unsere Dienstleistungen darauf ausgerichtet. Unser Image im Security-Umfeld ist hervorragend ? einfach weil IT-Sicherheit für uns zum täglichen Geschäft gehört. Darf ich einige Beispiele aufführen? Ich bitte darum.
Unter anderem scannen wir im Jahr 250000 Systeme, wir stellen für über 100000 PC und 7000 Notebooks Verschlüsselungsdienste bereit und wir betreiben die mit 400000 persönlichen Zertifikaten weltweit größte PKI-Infrastruktur. …also doch Superlative…
Ja,aber diese allein sind nicht die Gründe für Outsourcing. Die sind eher pekuniärer Art?
Auch das kann man nicht alleine stehen lassen, auch wenn unmittelbar einsichtig sein sollte,dass ein Unternehmen an die ja eher raren wirklichen Sicherheits Experten billiger und schneller kommt, wenn man sie mit anderen Unternehmen teilt. Genau das passiert ja beim Outsourcing. Aber um auf den Aus gangspunkt zurück zu kommen: den größten Gewinn für ein Unternehmen, das externe Sicherheits-Dienstleistung in Anspruch nimmt,sehe ich darin, dass es seine IT-Prozesse absolut transparent gestalten muss. Sonst lassen sich gar keine Leistungsvereinbarungen treffen.
Zumindest keine vernünftigen Vereinbarungen, die zur beidseitigen Zufriedenheit führen. Wie bekommt ein Unternehmen diese Transparenz?
Durch eine umfassende Risikoanalyse einerseits. Und andererseits durch eine klare Orientierung an den Geschäftsprozessen. Unternehmen, die Security outsourcen wollen,erhalten dadurch den Anstoß, über die Ausgliederung ihrer IT-Infrastruktur insgesamt nachzudenken, wo dann Sicherheit an den entscheidenden Stellen in den betrieblichen Ablauf kostengünstig integriert wird. Das traditionelle Grundschutz-Prinzip geht wohl in dieser Betrachtungsweise eher in Richtung »Gießkanne«?
Sagen wir,uns als SBS ist es zu unspezifisch. Aber sicher wird durch unsere prozessorientierte Betrachtungsweise im Endeffekt auch ein ganz exzellenter Grundschutz etabliert. Wenn ich Sie richtig verstehe, liegt in diesem prozessorientierten Vorgehensmodell das eigentliche Know-how von SBS in Sachen Security?
Ja,das kann man so sagen. Könnte man dieses Modell nicht auch als Software-Paket verkaufen?
Das wäre sehr wartungsintensiv. Da dürfte es für den Anwender allemal preiswerter und stressfreier sein, die prozessunterstützende Software und das Vorge hensmodell als Komplettservice zu erwerben. Das wesentliche Erfolgskriterium ist die Integration der Security-Prozesse in die IT-Betriebsprozesse. Lagern denn viele Unternehmen ganz speziell die Absicherung ihrer Systeme aus oder passiert das in der Regel im Zusammenhang mit der Auslage rung von großen Anwendungen beziehungsweise der gesamten IT-Infrastruktur?
In der Regel wird IT-Sicherheit im Rahmen der Übergabe von IT-Infrastruktur an einen externen Dienstleister wie SBS quasi mit vergeben. Vielfach ließe sich die IT-Sicherheit auch gar nicht getrennt auslagern, weil sie zu eng in die übrigen IT-Anwendungen integriert ist. Herr Bertram, vielen Dank für das Gespräch!