Bruce Schneier: Überlasst die Security den Profis!

Einen Outsourcing-Partner zu wählen ist jedoch schwer, weil es schwierig ist, zwischen guter und schlechter Computersicherheit zu unterscheiden. Security Outsourcing ist wie die Entscheidung für eine Behandlung im medizinischen Bereich: Wählen Sie einen Arzt, dem Sie vertrauen – und eine Firma, der Sie vertrauen. Um herauszufinden, welche die richtige ist, spricht man am besten mit anderen Menschen in der Branche oder mit Analysten. Richten Sie sich nach dem Branchenführer. Denn – genau wie bei der Gesundheit – würde man sich hier auch nicht irgendeinem Außenseiter anvertrauen. Es sei denn, man ist verzweifelt.

Achten Sie auf Interessenskonflikte, da viele Firmen Produkte herstellen und gemanagte Sicherheitsdienstleistungen gleichzeitig anbieten. Darin sehe ich einen Konflikt, denn: Sollte die Services-Arbeit auf einen Fehler im eigenen Produkt stoßen – wird sie dem Kunden dann offen davon berichten oder den Fehler klammheimlich beseitigen? Und falls es beim gleichzeitigen Kauf von Produkten Rabatt für die Dienstleistung gibt – für wen arbeitet die Services-Abteilung wirklich?

Bei jeder Outsourcing-Entscheidung, die eine fortlaufende Beziehung beinhaltet, ist die finanzielle Gesundheit des Outsourcers ein kritischer Faktor. Achten Sie also auf Firmen, die in ihrem Bereich an der Spitze sind, eine starke Historie von Security Services aufweisen können, und solche, die nicht versuchen, alles selbst zu machen.