Früher war alles besser!? tds
Wer sich in einem Unternehmen mit IT-Security auseinandersetzt, sieht sich primär zwei großen Herausforderungen gegenüber:
- Die vielfältigen, teilweise unkonkreten Sicherheitsziele
- Dem unüberschaubaren Zoo an Sicherheitsprodukten und deren Protagonisten
Daraus resultiert eine Komplexität, die es zu meistern gilt.
In den letzten 10 Jahren ist sowohl das Eine als auch das Andere dem/den Themenverantwortlichen analog einem kochenden Topf Milch mit Schwung entgegen gesprudelt. Daraus resultiert die Frage, wie man zukünftig mit diesem Thema umgehen soll, zumal die IT-Maßnahmen, um Sicherheit zu gewährleisten, eigentlich nur eine kleine Untermenge der existierenden IT-Aufgaben des Unternehmens darstellt.
Selbstgekocht ist günstiger und schmeckt besser!
Für den Eigenbetrieb spricht, dass damit hochflexibel sofort auf jede neue Anforderung reagiert werden kann. Entgegen jedem Standard ist die gesamte Bandbreite der technischen Möglichkeiten in sehr kurzer Zeit einführbar. Die Dynamik, in der der Markt neue Technologien und Hersteller hervorbringt, ist so groß, dass man nur dann technologisch ganz vorne dabei sein kann, wenn man Technologie kauft und selbst betreibt.
Aus Sicht eines IT-Service Providers ist das nicht von der Hand zu weisen – aber warum ist das so? Einerseits braucht es Zeit, bis aus einer Technologie ein Service geworden ist. Andererseits erwecken viele neue Technologien oft den Eindruck einer Sau, die von den Viehzüchtern und -händlern der IT-Security Branche nur mit einer Absicht durchs Dorf getrieben wird. Zu guter Letzt zwingt diese unglaubliche Innovationsgeschwindigkeit die Hersteller zu Produkten, die ähnlich Bananen beim Kunden reifen müssen. Als Service Provider verbrennt man sich daran die Finger, da hier die Kunden eine Dienstleistung einer bestimmten Qualität kaufen und nur im Zufriedenheitsfall verlängern. Im Gegensatz dazu ist beim Produkthändler nach der Inbetriebnahme betriebswirtschaftlich der größte Teil des Spiels gewonnen.
Auch Fremdbetrieb hat Vorteile
Dem gegenüber muss man aber die Vorteile halten, die aus IT-Security Services aus der Hand eines erfahrenen IT Providers entspringen.
Die Qualität ist dauerhaft gleich gut und lässt sich anhand SLAs mit Kennzahlen messen. Das ist beim Eigenbetrieb, gerade im Mittelstand, nicht in jedem Unternehmen so möglich.
Die operative Fachkompetenz des Dienstleisters wird der auf Kundenseite in nichts nachstehen, i.d.R. sogar erheblich besser sein, da sie aus der Menge der bereits gelösten Problemstellungen resultiert und hier ist der Dienstleister klar im Vorteil.
Das Preis-/Leistungsverhältnis ist beim Dienstleister trotz Gewinnerzielungsabsicht dann besser, wenn Skalierungseffekte und Synergien greifen, die sich auf Kundenseite nicht darstellen lassen. Wichtig hierbei ist, dass der oft erwähnte Obstvergleich nicht hinkt und die digitalen Firmenpforten auch im internen Betrieb angemessen verfügbar und sicher betrieben werden.
Die Beraterantwort: „Es kommt darauf an“
Aus Sicht von TDS lässt sich Fragestellung des „Make or buy“ abschließend nicht eindeutig beantworten. Der Schutzbedarf eines Unternehmens ist Grundlage für das ideale Maß an Sicherheit und die konkrete Anforderung an die Maßnahmen.
Gerade im Mittelstand muss sich dieser ideale Anspruch dann mit einem überschaubaren Budget messen. Was dazu führt, dass unter diesen Rahmenbedingungen Best Practice orientierte Services deutlich besser passen als eigenbetriebene Technologien. Denn eines ist sicher: Wenn man das, was man will, beim Provider als Standard bekommt, ist selber machen niemals günstiger als kaufen.
Das Paradoxum
Was man als Unternehmen aber unbedingt selbst machen sollte, ist die Entscheidung und Übersicht über die Sicherheitsmaßnahmen in einen Managementprozess zu überführen. Was in anderen Bereichen des Unternehmens und auch der IT schon längst üblich ist, gibt es zwar für Informationssicherheit schon seit Jahren als nationale und internationale Standards (BSI Grundschutz, ISO 27001). Standard ist es aber unverständlicherweise nur bei den wenigsten Unternehmen.