Chaos im Security Management: Ist Outsourcing die Lösung?

ZDNet: Welche Consulting-Leistungen sind mit Ihrem Service verbunden? Erfolgen die Beratungen im Voraus oder bei Bedarf?

Johnson: Die erste Beratung findet statt, wenn die Architektur um die Geschäftsprozesse herum erstellt wird. Dabei kommt es darauf an, Sensoren nicht wahllos einzusetzen, sondern an Stellen, an denen sie Schutz bieten und vor Bedrohungen warnen, die unbedingt vermieden werden sollten.

Denn viele Unternehmen haben Anwendungen zur Intrusion Detection gekauft und verteilten sie einfach überall in ihren Systemen. Das Ergebnis war ähnlich wie bei einem akustischen Fahrzeug-Alarm auf einem großen Parkplatz: Man fragt sich, ist das mein Auto oder ein anderes? Bei der Erstellung der Architektur wird dagegen überlegt, welches die kritischen Anwendungen sind oder wo sich die kritischen Server befinden. Die Architektur wird um diese Punkte herum konzipiert und verwaltet, so dass sie den Grad an Absicherung gewährleistet, den der Kunde für die jeweiligen Anwendungen oder Server wünscht.

ZDNet: Wie sieht ein typisches Service Level Agreement (SLA) mit Symantec aus und wie werden die Preise hierfür berechnet?

Johnson: Wir arbeiten auf Grundlage von Standard-SLAs. Das funktioniert nach dem Prinzip: „Sie benötigen eine Firewall? Wir führen soundsoviele Änderungen innerhalb eines Arbeitstags bzw. innerhalb einer bestimmten Stundenanzahl aus. Wenn Sie weitergehende Leistungen wünschen, können wir Ihren Vertrag entsprechend anpassen.“

Für 80 Prozent unserer Kunden ist ein Standard-Vertrag ausreichend. Fortune 500-Unternehmen bieten jedoch häufig sehr spezielle Produkte an und betreiben viele globale Anwendungen. Daher sind ihre Anforderungen individueller und heikler. In diesem Fall kommen zusätzliche Leistungen hinzu. Es wird zunächst der Grundpreis für den Standard-Service angesetzt und dann wird je nach Bedarf das Service Level Agreement an die jeweiligen Geschäftsanforderungen angepasst.

ZDNet: Wen betrachten Sie als Hauptkonkurrenten für den Bereich Managed Security Services?

Johnson: Vermutlich die großen traditionellen Anbieter, also im Infrastruktur-Management tätige Unternehmen, die ihren Kunden sagen: „Wir verwalten Ihr gesamtes Netzwerk. Sie brauchen auch Security-Leistungen? Das übernehmen wir selbstverständlich auch.“ Man weiß ja, wie das abläuft. Wie eben die Anbieter vom Kaliber der Konzerne EDS und IBM dieser Welt vorgehen.

Was die Nischen-Anbieter anbelangt, stellen wir fest, dass diese stark an Attraktivität verlieren. Sie können weder mit den vom Kunden geforderten Wachstumsgeschwindigkeiten mithalten, noch verfügen sie über die finanziellen Mittel, die der Kunde heute voraussetzt. Gegenwärtig brüsten sich viele neue Unternehmen mit ihrem Venture-Kapital, das beispielsweise 25 Millionen Dollar beträgt. Doch benötigen die Kunden oft die Verwaltung einer 100 Millionen Dollar teuren Website. Da wirken 25 Millionen Dollar Venture-Kapital nicht gerade vertrauenserweckend.

Wir hören von unseren Kunden immer häufiger Sätze wie: „Wie schön, dass Ihr eine Milliarde Umsatz macht, wie schön, dass Ihr so viel Geld zur Verfügung habt, wie schön, dass wir uns bei Schwierigkeiten nicht allein gegenüber den Aktionären vor Gericht verantworten müssen.“

Wenn man den Markt also so betrachtet, bleiben nicht viele Konkurrenten von Format übrig… Ich glaube jedoch, dass auch einige der Nischen-Anbieter über den Tellerrand ihrer eigenen Technologie hinaussehen werden. Also nicht von wegen: „Wir verkaufen unsere Technologie, wir verwalten unsere Technologie – die Produkte der Konkurrenten verwalten wir jedoch nicht.“ Oder wie John Thompson es ausdrückte: „Wir haben die Verwaltung unserer eigenen Technologie so gut im Griff, da können wir auch die Verwaltung der anderen hinbekommen.“