Für Sicherheit sorgen und sorgen lassen

79 Prozent und damit die klare Mehrheit der befragten Unternehmen würden die Auswahl und Implementierung konkreter IT-Sicherheitslösungen einschließlich der dazu notwendigen Prozesse demselben Dienstleister übertragen, der auch die Beratungsleistungen erbracht hat. Für die Konzeption und Integration von Netzwerk- und Server-basierten IT-Sicherheitslösungen favorisieren 73 Prozent der Befragten eine Realisierung durch die IT-Abteilung gemeinsam mit einem externen IT-Dienstleister, gegenüber 23 Prozent mit rein interner Abwicklung.

Beim Schutz von und auf Arbeitsplatzrechnern und mobilen Endgeräten liegt dieser Wert nur bei 53 Prozent (interne Realisierung: 43 Prozent). Bei beiden Themen lagern lediglich drei Prozent diese Leistungen komplett aus. Insgesamt sind große Mittelständler mit 500 bis 999 Mitarbeitern deutlich aufgeschlossener für das Outsourcing von Netzwerk- und Desktop-bezogenen Themen als größere Unternehmen.

Mit Blick auf das Auslagern von Betrieb oder Management von Sicherheitsinfrastrukturen agieren die befragten deutschen Unternehmen eindeutig konservativ. Sie bevorzugen primär den Bezug von Support- und Wartungsleistungen, während die Akzeptanz von Managed, Hosting und Shared Services noch relativ gering ausfällt.

»Anwenderunternehmen sollten die übergeordnete Verantwortung für IT-Sicherheit immer im Unternehmen halten, gleichzeitig aber externe Dienstleister auch im Bereich Security stärker heranziehen«, empfiehlt Wolfram Funk, Senior Advisor bei der Experton Group. Dies bedeutet im Einzelnen folgendes: Strategische Themen wie Architektur, Policy- und Risikomanagement müssen als interne Funktion vorhanden und ausgeführt werden. Dabei ist es durchaus sinnvoll, externe Unterstützung in Form von Coaching und Consulting ergänzend in Anspruch zu nehmen. Technologische Spezialthemen, für die das Unternehmen keine eigenen Ressourcen aufbauen möchte, können hingegen in der Regel im Rahmen einzelner Vorhaben weitestgehend von externen Beratern und Entwicklern abgedeckt werden.

Für Managed Security Services, also Betriebsdienstleistungen im Security-Umfeld, müssen Funktionen und Kompetenzen im Unternehmen aufrechterhalten werden. »Dennoch ist die konkrete Ausführung von Überwachungsdiensten (Monitoring), Schwachstellen-Research, Konfigurationsmanagement und Forensik geradezu prädestiniert für ein Auslagern an externe Experten, können diese doch auf Spezialexpertise und Skaleneffekte zurückgreifen, die für das Anwenderunternehmen nur mit hohem Aufwand aufzubauen sind«, so Wolfram Funk.

Eine Ausnahme bildet das Thema Response: hier haben die Erfahrungen in der Praxis gezeigt, dass die Reaktion auf Sicherheitsprobleme am erfolgreichsten von interner Seite angestoßen und ausgeführt wird. Es sei denn, das Unternehmen hat seine komplette IT ausgelagert.

Sie haben innovative Projekte realisiert, bei denen der Green-IT-Ansatz eine wichtige Rolle spielt? InformationWeek und Experton Group loben den GreenCIO Award 2008 aus. Jetzt bewerben! Mehr Infos hier.