• English
Shop

| | IT Security Comments Off on IT-Security-Dienstleister oder interne IT-Abteilung für sichere Unternehmens-IT?
It Dienstleister

IT-Security-Dienstleister oder interne IT-Abteilung für sichere Unternehmens-IT?


Die Vor- und Nachteile im Überblick

Ihr Unternehmen braucht bestmöglich abgesicherte IT-Systeme! Sollten Sie dafür IT-Sicherheitsexperten einstellen, wenn nicht eine eigene Security-Abteilung aufbauen oder sollten Sie einen auf Security-Services spezialisierten Dienstleister beauftragen? In diesem Blogartikel beschreibe ich Vor- und Nachteile.

Inhalt

Welche Vorteile hat der IT-Security-Dienstleister gegenüber der internen IT-Security-Abteilung?
Die Nachteile eines IT-Dienstleisters
Die Vorteile der internen IT
Die Nachteile der internen IT
Fazit: Wann sollten Firmen einen IT-Security-Dienstleister beauftragen und wann auf die interne IT setzen?

Natürlich ist es nicht einfach, aus dem Blickwinkel eines Beratungsunternehmens mit dem Schwerpunkt IT-Sicherheit einen möglichst objektiven Vergleich zu machen. Diesen Anspruch habe ich auch nicht. Aber nach etlichen Jahren IT-Beratungs- und Dienstleistungserfahrung, Security-Audits und einigen „Notfalleinsätzen“ haben sich für uns typische Pros und Contras herauskristallisiert, die ich hier näher beschreiben möchten.

Nehmen wir zunächst den Blickwinkel des Security-Dienstleisters ein.

Welche Vorteile hat der IT-Security-Dienstleister gegenüber der internen IT-Security-Abteilung?

  • Sich nur auf die Sicherheitstools zu konzentrieren, ist zu kurz gedacht. Ein guter IT-Dienstleister beschränkt sich nicht auf Softwarekomponenten. Er arbeitet mit interdisziplinären Teams, die das Thema IT-Sicherheit ganzheitlich betrachten. Er hat die bestehenden IT-Prozesse mit im Blick und hinterfragt sie kritisch auf Aktualität, Kompatibilität und Usability und schlägt sinnvolle Anpassungen vor.
  • Ein zuverlässiger Dienstleister stellt sicher, dass seine Mitarbeitenden immer über aktuelles Know-how verfügen. Er kümmert sich um die stetige Weiter- und Ausbildung seiner Leute.
  • Ein Dienstleister mit einem etablierten Security Operations Center (SOC) hat Einblick in die IT-Systeme unterschiedlichster Unternehmen, Branchen und Firmengrößen. Hier fließen die Erfahrungen aus verschiedenen Bereiche zusammen und verbessern sein Angebot kontinuierlich für alle Kunden.
  • Ein Dienstleistungsunternehmen kündigt nicht und macht nicht geschlossen Urlaub. Wenn Mitarbeitende krank sind, läuft der Vertrag (SOC) trotzdem weiter und wird durch eine Vertretung zuverlässig erfüllt.
  • Er ist eng mit den Herstellern der eingesetzten Security-Produkte vernetzt.
  • Ein guter Dienstleister bietet ein agiles und innovatives Arbeitsumfeld. In Innovation Labs entwickeln Mitarbeitende neue Services, testen technologische Neuerungen und sorgen so für den kontinuierlichen Wissensaufbau und -tranfer.
  • Der externe Dienstleister hat den Blick von außen und kann sich nur auf die Sache konzentrieren.

Die Nachteile eines IT-Dienstleisters

Ja, die gibt es auch. Muss man ehrlich sagen.

  • Der Consultant ist nicht so im Unternehmen vernetzt wie ein interner IT-Administrator. Das erschwert ihm unter Umständen den Zugriff auf Ressourcen und Informationen. Eine Checkliste für den Aufbau einer klaren IT-Projektstrategie zwischen Auftraggeber und Auftragnehmer finden Sie in meinem Blogbeitrag „Sieben Tipps für eine erfolgreiche Transition“.
  • Kommunikation ist das A und O. Auch ITler untereinander können „unterschiedliche Sprachen“ sprechen. Ein gemeinsames Verständnis und eine gemeinsame Sprache sind wichtig, um Missverständnissen vorzubeugen.
  • Einen Dienstleister in Anspruch zu nehmen, bedeutet auch, zu vertrauen und in Teilen die Kontrolle über bestimmte Bereiche der eigenen IT abgeben zu müssen.

Versetzen wir uns nun in die Rolle der internen IT-Abteilung.

Die Vorteile der internen IT

  • Der interne Mitarbeitende kennt das eigene Unternehmen in- und auswendig. Er kennt die Arbeitsmittel, die Arbeitsweise, das Mindset. Er nimmt an internen Meetings teil, sitzt in der Mittagspause mit am Tisch und ist immer auf dem Laufendem über das, was im Unternehmen geschieht.
  • Der interne IT-Administrator hat einen einzigen Kunden – das eigene Unternehmen. Er ist für die Belegschaft unmittelbar greifbar und hat eine persönliche Beziehung zu ihr.
  • Interne Mitarbeitende sind mit den internen Prozessen vertraut und wissen, ohne nachfragen zu müssen, an wen sie sich wenden können, wenn es etwas zu klären gibt.

Die Nachteile der internen IT

  • Cyber-Kriminelle haben keinen 9-to-5-Job. Die kontinuierliche Überwachung einer IT-Infrastruktur erfordert einen enormen personellen Einsatz und persönliche Belastung für die direkt Angestellten.
  • In mittelständischen Betrieben gibt es häufig die „IT-Abteilung“. Hier wird fachlich nicht weiter differenziert und viele IT-Administratoren haben allein in ihren täglichen Routinen schon unzählige To-dos auf der Liste. Von der Bestellung der Hardware, über Druckerprobleme, Datensicherung und, und, und. Da bleibt kaum Zeit, sich tiefergehendes Spezialistenwissen anzueignen.
  • Wenn man viele Jahre in demselben Unternehmen gearbeitet hat, kann sich Betriebsblindheit einstellen. Ein Schulterblick von außen kann sehr hilfreich ein, um die eigene Perspektive auf die IT wieder geradezurücken.
  • Der Kenntnisstand des eigenen Personals muss gerade im Technologiebereich stetig gefördert und erneuert werden. Ansonsten ist die IT veraltet.
  • Gute IT-Security-Experten sind schwer zu finden. Oft muss ein teurer Recruiter eingeschaltet werden und selbst wenn jemand gefunden wurde, der fachlich passt, muss das nicht auf die zwischenmenschliche Ebene zutreffen. Die Ansprüche in dieser Branche sind hoch: Großzügige Homeoffice-Regelungen, Firmenwagen, hohe Gehälter und Sabbaticals kann sich nicht jedes Unternehmen für die Belegschaft leisten.

Fazit: Wann sollten Firmen einen IT-Security-Dienstleister beauftragen und wann auf die interne IT setzen?

Nur IT-Security-Dienstleister

Einen Dienstleister für IT-Security-Services sollten Unternehmen dann einschalten, wenn das Budget für IT-Services begrenzt ist. Denn ein IT-Security-Spezialist mit x-tausend Euro Monatsgehalt und permanenten Weiterbildungsanforderungen ist immer teuer.

Ebenso, wenn IT-Sicherheitsprozesse bislang noch gar nicht in einem Unternehmen thematisiert, geschweige denn definiert wurden, empfehlen wir, zumindest einen Cyber-Sicherheits-Check über eine IT-Unternehmensberatung machen zu lassen. Dann kennen Sie ihre potenziellen Einfallstellen in die IT-Systeme und wissen, was sie für eine bessere Absicherung ihrer IT-Infrastruktur brauchen und welchen Umfang diese Anstrengungen haben sollten.

IT-Security-Dienstleister und interne IT-Security-Abteilung

Wenn eine IT-Infrastruktur komplex geworden ist, weil z.B. viele Mitarbeitende zeitweise remote arbeiten, unterschiedliche Betriebssysteme und private Devices im Einsatz sind oder ein Unternehmen schnell gewachsen ist, dann sollten Unternehmen gezielt eine Security-Abteilung aufbauen und mehrere IT-Sicherheitsspezialisten einstellen. Ein guter Ansatz kann es sein, mit einem Dienstleister zu beginnen und parallel interne Fachkräfte einzustellen. Sobald genügend Experten an Bord sind, können die Stunden des Dienstleisters runtergefahren werden. Um Krankheits- und Urlaubsphasen abzufedern, arbeitet man weiterhin mit dem Dienstleister zusammen. Konstantes Monitoring der IT-Infrastruktur, für die das Team eigentlich zu teuer ist, übergibt man an das Security Operations Center, kurz SOC, des Dienstleisters.

Nur interne IT-Mitarbeitende

Eine interne IT mit einem oder zwei IT-Systemadministratoren ist nicht empfehlenswert. Neben den bereits aufgezählten Gründen sollte man sich immer vor Augen führen, dass der Fachkräftemangel in der IT weiter zunehmen wird. Den Mitarbeitenden fehlt oft der fachliche Austausch, die Zeit für Weiterbildung und auf mittelfristige Sicht die Karriereperspektive. Die Chance IT-Abteilungsleiter zu werden hat man meist nur dann, wenn der Vorgesetzte geht.

Und nun?

Die Entscheidung, IT-Security inhouse zu belassen oder einen spezialisierten Dienstleister zu beauftragen, ist nicht leicht zu treffen. Grundsätzlich ist es wichtig, für dieses Thema einen Verantwortlichen im Betrieb zu haben, der immer ansprechbar ist.

Je größer ein Betrieb ist, je mehr IT-Security spezifische Aufgaben anfallen und je konstanter diese Aufgaben sind, desto mehr interne IT-Sicherheitsspezialisten sollte man einstellen. In einer ausreichend großen Fachabteilung haben die Teammitglieder genügend Austausch- und Entwicklungsmöglichkeiten.

Als Fallback-Lösung sollte das eigene Team trotzdem auf einen vertrauten Dienstleister zurückgreifen können, der regelmäßig einen kritischen Blick auf die IT-Prozesse und die Infrastruktur wirft – z.B. durch einen Cyber-Sicherheits-Check und der im Fall eines Security-Incidents schnell unterstützt.

Die Autorin

Martina Luetke Wissing Digital Marketing Managerin

Martina Lütke Wissing ist Digital Marketing Managerin bei der IT-Unternehmensberatung sepago GmbH. In dieser Rolle verantwortet sie das Online-Marketing bei der sepago mit allen Facetten.

Sie finden Martina auf LinkedIn.

 

 

 

 

 

 

zum Anfang der Seite