Der gesicherte Zugriff auf die Datenbestände und Prozesse eines Unternehmens – auch von ausserhalb – ist in heutigen Firmen nicht mehr wegzudenken. Dabei spielt es keine Rolle, ob von Konzernen oder KMU die Rede ist. Alle Betriebe haben aufgrund einer immer höheren Anzahl IT-gestützter Prozesse, neuer gesetzlicher Anforderungen und zunehmender Komplexität in den Abläufen und Infrastrukturen mit Sicherheitsbedrohungen zu kämpfen. Zusätzlich stellen rasant wachsende IT-Gefahrenpotenziale wachsende Ansprüche und Herausforderungen an die Security-Abteilungen.
Das Wie ist entscheidend
Wer hier mithalten will und nicht abwartet, bis seine IT-Infrastrukturen Opfer von Cyberkriminellen oder Saboteuren geworden sind, muss die notwendigen aktuellen Sicherheits-Services zur Verfügung stellen können – Antiviren- und Antispamschutz, wie sie mittlerweile zum Basisangebot vieler Internet Service Provider gehören, reichen längst nicht mehr aus. Denn angesichts von sozialen Netzwerken, Cloud-Computing oder virtualisierten Infrastrukturen, um nur wenige Beispiele zu nennen, muss der Schutz der unternehmenseigenen IT-Systeme weit über das blosse Auffinden und Unschädlichmachen von Schwachstellen hinausgehen. Kurz, die Unternehmen stehen heute nicht mehr vor der Frage, «ob» sie eine sichere IT-Infrastruktur aufbauen wollen, sondern müssen vielmehr entscheiden, «wie» sie in ihren Betrieben die vielfältigen IT-basierten Lösungen sicher verfügbar machen wollen.
Alternative zum Selbermachen
Angesichts der rasant bedrohlicher werdenden Sicherheitslage in der IT ist es gefährlich, auf professionelle Unterstützung zu verzichten und einfach den bisherigen, oft eher laxen Umgang mit der IT-Security weiter zu pflegen. Überall dort, wo die IT-Infrastrukturen nicht direkt die Kernkompetenzen eines Unternehmens ausmachen und der Betrieb sowie der Unterhalt der Security selbst betrieben werden muss, haben sich deshalb speziell qualifizierte Managed Security Service Provider (MSSP) etabliert. Sie decken mit ihren Dienstleistungen den gesamten operativen Security-Bereich ab und adressieren beispielsweise Firmen, deren Unternehmensfokus nicht primär auf der Informatik liegt, die aber dennoch von professionellen Security-Angeboten profitieren wollen. Nicht zuletzt KMU, die in der Regel die Security im Teilzeitjob erledigen lassen und keine Kapazitäten haben, um teure Ressourcen mit Technik und Manpower aufzubauen und zu unterhalten, finden bei den MSSP kompetente Unterstützung. Zudem werden all jene Unternehmen angesprochen, deren Kerngeschäft von garantierter Verfügbarkeit der Infrastrukturen abhängig ist, oder die gängigen Compliance-Anforderungen wie ISO 27001, SAS 70 oder Finma (Eidgenössische Finanzmarktaufsicht) einzuhalten haben. Auch angesichts des Umstands, dass das Recruiting von Security-Spezialisten schwierig geworden ist, empfiehlt es sich, das Management der IT-Infrastrukturen an die Security-Spezialisten eines MSSP ins Auge zu fassen. Sie liefern mit ihren Angeboten ein fundiertes Wissen über Netzwerkmechanismen und Compliance-Vorschriften sowie detailliertes Verständnis der IT-Infrastrukturen und -Komponenten.