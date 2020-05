Indevis, Anbieter für IT-Sicherheitslösungen, will nach eigenem Bekunden Unternehmen Tipps versorgen, wie diese Security-Prozesse an einen spezialisierten Dienstleister auslagern können. Dazu erklärte Ulrich Pfister, Head of Consulting bei Indevis, worauf Unternehmen achten sollten und woran sie einen professionellen Service-Provider erkennen.

Unternehmen stehen vor dem Dilemma, dass zu wenige Fachkräfte komplexer werdende Security-Aufgaben stemmen müssen und gleichzeitig das Risiko von Cyberangriffen steigt. Eine Lösung könne die Auslagerung von IT-Security-Prozessen an einen Managed-Security-Services-Provider (MSSP) sein. Dadurch sollen Unternehmen von spezialisiertem Know-how profitieren, die IT-Abteilung entlasten und das Sicherheitslevel erhöhen können.

Bei der Wahl des richtigen IT-Security-Dienstleisters sollten sich Unternehmen ausreichend Zeit nehmen. Verfügt der MSSP über langjährige Erfahrung, qualifiziertes Personal und fundiertes Know-how? Dies lässt sich zum Beispiel anhand von Kundenreferenzen, ISO-Zertifizierungen und Herstellerpartnerschaften nachweisen. Der Fokus eines fortschrittlichen Dienstleisters liegt auf der Entwicklung eigener Security-Services auf Basis von Herstellerprodukten. So bietet er Nutzern verschiedene Security-Bausteine, aus denen sie diejenigen auswählen können, die sie benötigen. Der Dienstleister muss nicht alle Security-Bereiche vollumfänglich selbst abdecken, sollte jedoch ein gutes Netzwerk an „Lösungspartnern“ haben, sodass er bei allen Themen als zentraler Ansprechpartner für IT Security für den Anwender auftreten kann.

Ist ein vertrauenswürdiger Partner gefunden, geht es nicht darum, schnellstmöglich ein Security-Produkt zu installieren und zu betreiben, sondern ein durchdachtes Konzept zu entwickeln, das auf die Bedürfnisse des Unternehmens abgestimmt ist. Dafür sei es zunächst wichtig, die „Kronjuwelen“ zu identifizieren. Der MSSP stellt gezielt Fragen und entwickelt passgenaue Lösungsvorschläge. Dabei sollte er stets das „große Ganze“ im Auge behalten und darauf achten, dass neue Tools und Services zusammenpassen und sich in die bestehende Infrastruktur und Betriebsabläufe integrieren lassen.

Damit ein MSS an die internen Strukturen andocken kann, müssen Unternehmen vorab auch eigene Security-Prozesse unter die Lupe nehmen. Nur wenn es bereits einen klaren Prozess gibt, kann man ihn auch ganz oder teilweise auslagern. Andernfalls muss zunächst eine Definition dieses Prozesses erfolgen. Außerdem benötigt man eine klare Schnittstelle zwischen MSSP und Unternehmen. Auch wenn der Dienstleister der IT-Abteilung viele Aufgaben abnimmt, ist ein Ansprechpartner im Haus erforderlich. Denn er ist immer abhängig von internen Prozessen und Entscheidungen.

Mit der Auslagerung von Security-Prozessen entfallen operative Tätigkeiten in der IT-Abteilung. Die Aufgaben der Mitarbeiter sollen sich hin zu einer eher steuernden, koordinativen Rolle verändern. Dafür sind Projekt-Management und Soft Skills gefragt. Die IT-Abteilung bildet die Schnittstelle zum MSSP und gewinnt dadurch Zeit, sich intensiver um die Geschäftsentwicklung zu kümmern. Sie sollte sich als Business Enabler der Fachabteilungen verstehen und deren Bedürfnisse möglichst schnell und agil adressieren.

Nach der Konzeptionsphase und der Anpassung von Rollen und Prozessen erfolgt die Transition-Phase. Jetzt muss die Überführung der Systeme oder Umgebung des Nutzers in den Managed-Service folgen. Dabei geht der MSSP standardisiert vor und stellt mit Hilfe von Checklisten die Einhaltung von Qualitätsstandards sicher.

