Von unserem Gastautor Marco Rottigni, CTSO bei Qualys

[datensicherheit.de, 20.02.2019] Container werden zur Bereitstellung von Anwendungen immer beliebter. Ob Kubernetes- oder Docker-gestützt: Container erleichtern es, Anwendungskomponenten auszuliefern und in öffentlichen oder hybriden Cloud-Umgebungen zu betreiben. Sie bieten eine Möglichkeit, Mikroservice-Komponenten von der zugrundeliegenden Hardware oder Cloud-Lösung zu abstrahieren, was unter anderem dazu beiträgt, Lock-in-Effekte zu vermeiden. Für Ihr IT-Sicherheitsteam bringt der Wechsel zu Containern jedoch einige Veränderungen mit sich.

Genau wie die traditionelle IT-Infrastruktur müssen auch Container verstanden und verwaltet werden. Ohne entsprechende Erkenntnisse ist es schwierig, die Images auf dem neuesten Stand zu halten und ihre Sicherheit zu gewährleisten. Wie ist aber nun möglich pragmatisch an Container, ihre Sicherheit und Nachverfolgung heranzugehen?

Bild: Qualys

Marco Rottigni, CTSO bei Qualys

Container finden

Als Erstes sollte überprüft werden, ob innerhalb des Unternehmens Containertechnologien genutzt werden und wenn ja, wo sie sich befinden. Das mag einfach klingen, doch Entwicklerteams können leicht eigene Anwendungen in der Cloud erstellen und ausführen, ohne von Anfang an andere IT-Teams mit einzubeziehen. Es lohnt sich auch herauszufinden, wie viele Implementierungen im gesamten Unternehmen existieren und für welche Zwecke sie genutzt werden.

Wenn Container gefunden werden, ist es wichtig zu prüfen, welcher Anteil des gesamten Softwareentwicklungsprozesses auf diesem Ansatz basiert. Die Arbeitsweisen in der Entwicklung wirken sich oft auf das gesamte Unternehmen aus – wenn also Projekte anfänglich in Containern entwickelt werden, dann werden die Test-, Qualitätssicherungs- und Produktionsinstanzen im Laufe der Zeit auch in Container wandern. Dies kann dazu führen, dass zahlreiche Plattformen und Instanzen parallel genutzt werden.

Um die Kontrolle zu behalten, sollten festgestellt werden, wie gut die Sicht auf die verschiedenen IT-Ressourcen derzeit ist. Auf diese Weise sieht man, wo bereits ein guter Überblick herrscht und wo zusätzliche Daten benötigt werden. Außerdem kann so leichter demonstriert werden, wie die Transparenz in der IT im Laufe der Zeit verbessert werden kann.

Werden Lücken festgestellt haben, ist es notwendig die Art von Informationen zu ermitteln, die fehlen. Bei Containern kann es schwierig sein, Daten zu den genutzten Images zu gewinnen, wenn nicht vorausgedacht wurde. Zeigt sich beispielsweise, dass Container in einem Cloud-Service bereitgestellt werden, woher soll dann bekannt sein, wie viele einzelne Images gleichzeitig ausgeführt werden?

Um diese Daten zu erhalten, müssen in jeden entwickelten Standard-Container Agenten eingebettet sein. Werden diese Sensoren in jedes einzelne Container-Image eingebunden, kann jeder Container automatisch Statusdaten zurückmelden. So herrscht Klarheit darüber, wie viele Images genutzt werden, welche Softwarepakete in der Laufzeitumgebung enthalten sind und ob diese Pakete auf dem neuesten Stand sind.

Kontinuität erforderlich

Bei all dem ist jedoch Kontinuität gefordert. Da Container nach Bedarf automatisch erstellt und entfernt werden können, müssen die containerisierten Anwendungen während ihres gesamten Lebenszyklus laufend bewertet und geschützt werden: von der Erstellung der Anwendungen über den Zeitpunkt, an dem sie in Images verpackt und an die Container-Registry gesendet werden, bis hin zur Bereitstellung der Images als laufende Anwendungscontainer-Instanzen.

Dieser Ansatz muss die Bewertung und Richtliniendurchsetzung für alle beweglichen Komponenten in den verwendeten Containern umfassen. Er muss sich also sowohl auf den Infrastruktur-Stack des Containers erstrecken als auch auf den gesamten Lebenszyklus einer containerisierten Anwendung. Diese beiden Bereiche – Stack und Lebenszyklus – müssen exakt aufeinander abgestimmt werden. Und noch wichtiger: Die hier gewonnenen Informationen sollten mit den Daten zu den herkömmlichen IT-Assets zusammengefasst werden. So kann eine Priorisierung aller anstehenden Probleme stattfinden – unabhängig davon, wo sie bestehen.

Prozesse schützen, nicht nur Technologien

Container werden häufig im Rahmen agiler Entwicklungs- und DevOps-Prozesse eingesetzt. Sollte festgestellt werden, dass die Teams mit Containern arbeiten, sollte auch die breitere CI/CD (Continuous Integration/Continuous Deployment)-Pipeline in Augenschein genommen werden, in der ebenfalls eine Verwendung von Containern stattfindet. Mithilfe von CI kann die Softwareentwicklung in kleinere, überschaubarere Aufgaben untergliedert werden, die sich schnell umsetzen lassen. CD wiederum ermöglicht es, die Entwicklungsprojekte zu testen und in die Produktion zu bringen.

Damit CI/CD-Implementierungen effektiv sind, müssen diese Dienste automatisiert und integriert werden. Auf diese Weise können die Entwickler ihre neuen Softwareprojekte schnell testen und in die Produktion überführen. Weitere Integrationen mit Cloud-Diensten können den Entwicklern und Betriebsteams helfen, Implementierungen gemeinsam automatisch zu skalieren, um dem aktuellen Bedarf zu entsprechen. Tools wie Jenkins, CircleCI oder Travis CI können zur Beschleunigung dieser Prozesse beitragen, automatisieren aber nur die Schritte, die Sie einbeziehen.

Für Sicherheitsexperten, die sich mit dem Schutz von Containern beschäftigen, reicht es nicht, einfach zu sagen, dass die Sicherheit von Anfang an berücksichtigt werden sollte. Stattdessen müssen sie untersuchen, wie Sicherheitsmaßnahmen während des gesamten DevOps-Lebenszyklus einen Mehrwert für die Entwickler schaffen und dem Sicherheitsteam alle notwendigen Daten zum Status von IT-Ressourcen und Infrastrukturen zur Verfügung stellen können.

So kann den Entwicklern beispielsweise geholfen werden, indem die Möglichkeit geboten wird, selbst Tests auf potenzielle Sicherheitslücken in Softwarekomponenten oder -bibliotheken durchzuführen. Diese Aufgabe kann als Teil der Entwicklungs-Workflows automatisiert werden; alle entdeckten Probleme können automatisch in die Bugtracking-Software aufgenommen und dann behoben werden. Die Meldung von Sicherheitsproblemen, die beim Scannen von Anwendungen oder bei der Überprüfung von Container-Images entdeckt wurden, kann auf diese Weise „entpolitisiert“ werden. Dies wird allen deutlich machen, dass das Sicherheitsteam den Softwareentwicklungsprozess vereinfachen möchte.

Wenn Teams Container verwenden, muss dieser Scanprozess alle Orte abdecken, an denen Images existieren können. Dazu zählen alle Software-Assets, die in den Containern verwendet werden, alle Container-Images, die in der unternehmenseigenen Bibliothek gespeichert sind, alle Container-Images, die aus öffentlichen Bibliotheken bezogen werden, und die Container selbst, wenn sie ausgeführt werden.

Mithilfe dieser Informationen können die Entwickler besser erkennen, wo sie in ihren Containern Probleme beheben müssen – und es wird sichtbar, wo die Sicherheitsrisiken liegen. Die Mitwirkung am Erkennungsprozess kann den Entwicklern helfen, selbst Verantwortung dafür zu übernehmen und Risiken leichter zu minimieren. Und was noch wichtiger ist: Diese Informationen können im Kontext anderer Plattformen und Infrastrukturen erhalten werden.

Nutzt man in diesem Zusammenhang einen fortschrittlichen Asset-Management-Service, wird von Anfang an für Container-native Übersicht und Sicherheit gesorgt. Dieser Prozess muss sich auch nahtlos in die bestehende CI/CD-Pipeline des Unternehmens integrieren lassen, damit jeder Container richtig verwaltet und protokolliert wird. Und schließlich sollte das Asset-Management auch die Überwachung aller Container zur Laufzeit umfassen, damit jede Änderung an einem Image selbst aufgezeigt werden kann.

Um Daten schützen zu können, müssen die IT-Sicherheitsteams Einblick in den Status sämtlicher IT-Ressourcen des Unternehmens gewinnen – ob es sich nun um herkömmliche physische Server oder Endpunkte im Firmennetzwerk handelt oder um neue Anwendungen, die in Containern in einer Public Cloud bereitgestellt werden. Ohne diese Informationen über sämtliche Vorgänge können potenzielle Risiken leicht übersehen werden. Angesichts der Veränderungen, die Container für die Entwicklung und Nutzung von Anwendungen bringen, ist es jedoch wichtig, einen pragmatischeren Ansatz zu verfolgen, um diese Daten überhaupt zu erhalten. Werden diese Veränderungen in der Softwareentwicklung verstanden, kann man die Sicherheit frühzeitig in den Prozess einbinden. Und zugleich kann durch die Zentralisierung der Asset-Daten besser entschieden werden, wo Sicherheitsressourcen vorrangig eingesetzt werden sollten.

Weitere Informatione zum Thema:

datensicherheit.de, 06.11.2018
Endpoint-Security – eine Bilanz

datensicherheit.de, 18.10.2018
IT-Sicherheitsstrategie: Datenverschlüsselung in der Cloud wird wichtiges Kriterium

datensicherheit.de, 17.09.2018
Lacework: Tausende ungeschützte Containerverwaltungen entdeckt

Von unserem Gastautor Klaus Gheri, Vice President and General Manager Network Security, Barracuda Networks

[datensicherheit.de, 29.06.2018] Moderne Anwendungen müssen skalieren können und gleichzeitig performant sein. Um diese Anforderungen zu erreichen, werden viele Implementierungen auf Public Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) gehostet, was für Elastizität und Geschwindigkeit sorgt. Und die Cloud-Nutzung boomt, mittlerweile setzen zwei von drei Unternehmen in Deutschland Cloud Computing ein, so das Ergebnis einer repräsentativen Umfrage von Bitkom Research im Auftrag der KPMG. Vorteile wie hohe Flexibilität, Effizienzsteigerung der Betriebsabläufe und verbrauchsabhängige Abrechnung von Services liegen auf der Hand.

Traditionelle Sicherheitskonzepte nicht übertragbar

Die Herausforderung besteht jedoch in der Sicherung von Anwendungen in der Cloud – das Problem: Traditionelle On-Premises-Sicherheitskonzepte lassen sich nicht effektiv auf Public Cloud-Applikationen übertragen. Deshalb sollten Unternehmen auch nicht versuchen, ihre alten lokalen Security-Tools einfach in eine Cloud-Umgebung zu verlagern. Die Sicherung von Cloud-Applikationen erfordert neue Ansätze, Richtlinien, Konfigurationen und Strategien, die es Unternehmen ermöglichen, Geschäftsanforderungen wie Leistung und Skalierbarkeit mit den nötigen Sicherheitsvorkehrungen in Einklang zu bringen.

Bild: Barracuda Networks

Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks

Balance von Leistung und Sicherheit

Die Akzeptanz der Public Cloud bei Unternehmen nimmt rapide zu, doch Sicherheitsbedenken sind immer noch eine Hürde beim Wechsel in die Cloud. Vielen Unternehmen ist oft nicht klar, wie die Sicherheitsverantwortung in der Cloud verteilt ist.  Nach dem Shared-Responsibility-Modell ist es Aufgabe des Cloud Providers, die Infrastruktur zu schützen, das bedeutet, er sorgt für die physische Sicherheit, die globale und regionale Konnektivität sowie die Stromversorgung und Kühlung seiner Rechenzentren. Doch es ist Sache der Unternehmen, ihre Daten und Anwendungen in der Cloud zu schützen. Bedrohungsvektoren wie Cyberangriffe, Softwarefehler und menschliches Versagen gelten daher in gleicher Weise in der Cloud wie On-Premises und erfordern entsprechende Sicherheitsvorkehrungen. Dennoch stellen viele Unternehmen die Anwendungsleistung und -geschwindigkeit über die Sicherheit. Angesichts der Risiken sollte diese Faktoren jedoch in einem ausgewogenen Verhältnis zueinander stehen.

So ist der Einsatz von Layer 7-Schutzmaßnahmen für die Sicherung von Applikationen äußerst wichtig, doch jede Technologie muss hierbei tief in bestehende Cloud-Plattformen und Lizenzmodelle integriert werden. So sollte sie eng mit der dynamischen Skalierbarkeit von Public Cloud-Anbietern wie AWS, Azure und GCP verbunden sein, um sicherzustellen, dass die Anforderungen an das Performance-Management ohne manuelle Eingriffe in Echtzeit erfüllt werden. Außerdem sollten Unternehmen direkten Zugriff auf die nativen Protokollierungs- und Berichtsfunktionen der Cloud-Plattformen haben.

Management von Anwendungsschwachstellen in der Cloud

Viele Anwendungsschwachstellen bleiben oft so lange unbemerkt, bis es zu spät ist. Leider sind Fixes oder Patches ein reaktiver Prozess, der Schwachstellen viel zu lange offen lässt – Monate sind keine Seltenheit. Die automatische und kontinuierliche Behebung von Schwachstellen ist für die Gewährleistung der Anwendungssicherheit sowohl On-Premises als auch in der Cloud von größter Bedeutung. Daher ist es unerlässlich, eine Reihe von Richtlinien zu implementieren, die kontinuierlichen Schutz durch ein regelmäßiges Schwachstellen-Management und -Behebungsverfahren bieten. Dies kann auch automatisiert werden, um sicherzustellen, dass Anwendungsänderungen keine Schwachstellen öffnen.

Vier Punkte zur Auswahl einer effektiven Cloud-Sicherheitslösung

Im Folgenden einige Best Practices für effektive Anwendungssicherheit in der Cloud:

1. Auf die Cloud spezialisiert: Die Sicherheitslösung sollte anspruchsvollste Anwendungsfälle erfüllen können, wie sie für Cloud gehostete Anwendungen spezifisch sind. Außerdem ist es zwingend erforderlich, dass sie sich direkt in native Public Cloud Services wie Elastic Load Balancing, AWS CloudWatch, Azure OMS und andere sowie Cloud Access Technologien wie Azure ExpressRoute oder AWS Direct Connect integriert.
2. API: Die Lösung sollte eine möglichst umfassende API bereitstellen, die eine für Cloud Einsatzszenarien angemessene Kontrolle durch bereits verwendete Orchestrierungswerkzeuge von DevOps-Teams wie z.B. Puppet ermöglicht.
3. Skalierbarkeit und zentrale Verwaltung: Sicherheitsanwendungen müssen in Hochverfügbarkeits-Clustern implementiert und mit Hilfe von Cloud-Templates automatisch skaliert werden können. Außerdem sollten sie eine Verwaltung und Überwachung von einer einzigen Konsole aus bieten.
4. Flexible Lizensierung: Wichtig ist darüber hinaus, dass die Lösungen vollständige Lizenzflexibilität bieten, einschließlich einer rein verbrauchsabhängigen Abrechnung. Auf diese Weise können Unternehmen so viele Instanzen wie nötig bereitstellen und bezahlen nur den Datenverkehr, der durch diese Anwendungen gesichert ist.

Grundsätzlich erfordert die Sicherung von Anwendungen in der Cloud neue Security-Strategien. Unternehmen sollten daher ihre eingesetzten Lösungen unter die Lupe nehmen und prüfen, wo es der Nachbesserung bedarf, um eine kontinuierliche Überwachung und Schwachstellenbehebung von Anwendungen in der Cloud zu gewährleisten. Dabei ist es wichtig, jede Anwendung auf entsprechendem Sicherheitsniveau zu schützen. So sollten die Security-Maßnahmen auf den aktuellen Cloud-Verbrauch abgestimmt sein und entsprechende Tools genutzt werden, die speziell für Cloud-Umgebungen entwickelt wurden.

Weitere Informationen zum Thema:

datensicherheit.de, 29.03.2018
BSA Global Cloud Computing Scorecard: Deutschland auf Platz 1

datensicherheit.de, 26.02.2018
DSGVO macht Cloud-Lösungen für den Mittelstand weniger attraktiv

datensicherheit.de, 11.07.2017
NIFIS: Cloud-Anbieter haften künftig für den Datenschutz ihrer Kunden

[datensicherheit.de, 06.04.2016] Das Internet of Things (IoT) stellt den wichtigsten Treiber für aktuelle Veränderungen in der IT-Sicherheit dar. Dies legt der eco Sicherheitsreport 2016 nahe, für den eco – Verband der Internetwirtschaft e. V. rund 600 IT-Sicherheitsexperten befragt hat.Demnach stuft über die Hälfte (51 Prozent) der Firmen das Internet der Dinge als den wichtigsten Faktor für anstehende Veränderungen in IT-Sicherheitsfragen für 2016 ein. Ein Jahr zuvor hatte der Anteil der Befragten mit dieser Einschätzung noch bei unter 40 Prozent gelegen. In der aktuellen Umfrage an zweiter Stelle steht mit 45 Prozent der Aspekt der kritischen Infrastrukturen, der im letzten Jahr ebenfalls noch bei unter 40 Prozent gelegen hatte.

„IoT und kritische Infrastrukturen haben die Themen Cloud, Datenschutz und Mobile deutlich zurückgedrängt, was ihre Bedeutung für die IT-Sicherheit angeht“, erklärt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit beim eco.

Geheimdienste sind aus dem Bewusstsein verschwunden

So wird Cloud Computing aktuell noch nicht einmal von einem Drittel (32 Prozent) der Befragten als Treiber für Veränderungen in Sachen IT-Sicherheit eingestuft (Vorjahr: 38 Prozent). Der Datenschutz ist in dieser Zeitspanne von 41 auf 29 Prozent gefallen, das Themengebiet Mobile von 43 auf 28 Prozent. Die Relevanz von Big Data ist von 25 auf 21 Prozent abgerutscht. Das Ausspähen durch Geheimdienste ist als Sicherheitsrisiko beinahe völlig aus dem Bewusstsein verschwunden: Lediglich 20 Prozent der Firmen stufen Spionage als Treiber für betriebliche Sicherheitsfragen ein. Nur ein Jahr zuvor hatten noch 38 Prozent genau diese Gefahr als treibende Kraft eingestuft.

Sicherheit in der Smart World

Die deutsche Wirtschaft steht dem Konzept des Smart Car mit zunehmenden Sicherheitsbedenken gegenüber. Hingegen nimmt das Bewusstsein für Sicherheitsfragen beim Smart Home immer mehr ab. Das ist ein weiteres Fazit des eco Sicherheitsreport 2016.

Deutlich mehr als ein Drittel (36 Prozent) der aktuell Befragten vertreten die Auffassung, dass das smart vernetzte Automobil ein Sicherheitsrisiko darstellt. Ein Jahr zuvor hatte diese Gruppe der Bedenken­träger noch bei unter einem Drittel (32 Prozent) gelegen. Nur noch neun Prozent sind der Meinung dass die „Smartisierung“ die Sicherheit im Auto erhöht (Vorjahr: 15 Prozent). Die Mehrheit (55 Prozent; Vorjahr: 53 Prozent) denkt pragmatisch: Die Vernetzung wird sowohl für mehr als auch für weniger Sicherheit sorgen. „Es fällt offenbar vielen Menschen sehr schwer abzuschätzen, welche Veränderungen die neue smarte Automobilwelt wirklich mit sich bringen wird und welche Sicherheitsvor- und –nachteile damit verbunden sein mögen“, sagt eco Kompetenzgruppenleiter Oliver Dehning.

Anders beim Smart Home: 99 Prozent (!) der aktuell Befragten mahnen mehr Sicherheitsbewusstsein bei der Vernetzung der eigenen vier Wände an. Ein Jahr zuvor hatte dieser Anteil bei 92 Prozent gelegen. „Das Bewusstsein für die Notwendigkeit von Sicherheit im Smart Home ist abnehmend gegen Null“, erklärt Oliver Dehning.

[datensicherheit.de, 07.05.2013] Sicherheitsexperten in der deutschen Wirtschaft sehen in der Gefährdung durch Angriffe auf die IT und die Telekommunikation sowie in Spionage- und Ausspähangriffen aktuell und auch in Zukunft das höchste Gefährdungsrisiko für Unternehmen. Terrorismusgefahren werden eher geringer eingeschätzt. Dies sind zentrale Aussagen der 11. WIK/ASW-Sicherheits-Enquete, einer umfangreichen Befragung der Sicherheitsfachzeitschrift WIK mit der Arbeitsgemeinschaft für Sicherheit der Wirtschaft – ASW, an der 279 Sicherheitsexperten teilgenommen haben.

Insgesamt sehen die Teilnehmer besorgt in die Zukunft: 77% der Befragten gehen davon aus, dass die Gefährdung der Wirtschaft durch Sicherheitsrisiken weiter zunehmen wird. Fast keiner der Experten (1%) erwartet eine Abnahme und 22% denken, dass die künftige Gefährdungslage auf dem bisherigen Niveau fortbestehen wird.

Das drängendste Problem ist für Sicherheitsexperten in der Wirtschaft, wie auch schon die Befragungen 2010 und 2008 ergeben haben, nach wie vor die Gefährdung von Unternehmensdaten und -kommunikation durch Angriffe unterschiedlichster Art. Mehr als zwei Drittel der Befragten (68%) – fast alle aus der klassischen, nicht-IT-orientierten Security – gehen davon aus, dass die Belastungen durch IT-Kriminalität künftig steigen werden. Auch kostenmäßig belasten die IT-Gefährdungen die Wirtschaft in zunehmendem Maße. 75,9% der Befragten gehen davon aus, dass die Aufwendungen für die IT-Sicherheit in den nächsten zwölf Monaten real steigen werden. Entsprechend erhofft die Wirtschaft auch mehr Unterstützung durch den Staat: 60,5% wünschen verstärkte behördliche Maßnahmen gegen Cybercrime.

Höhere Gefährdung durch Spionage

Auch bei der aus Sicht der Experten zweitwichtigsten Bedrohung – „Ausspähung und Wirtschaftsspionage“ geht eine Mehrheit (58%) von einem Anstieg aus. Trotz der Gefährdung haben betriebliche Know-how-Schutz-Konzepte allerdings keine herausgehobene Bedeutung. So gehen knapp 30% der befragten Sicherheitsexperten davon aus, dass es in ihrem Unternehmen kein schützenswertes Know-how gibt. Doch auch in Unternehmen, die sich bewusst sind, dass Know-how geschützt werden sollte, hat der Schutz Lücken: In 36% dieser Unternehmen konnten oder wollten die Experten noch kein Konzept umsetzen, das Informationsabflüsse erschwert.

Mit der behördlichen Unterstützung bei der Abwehr von Spionage aller Art sind die Sicherheitsexperten mehrheitlich zufrieden: 70% sind der Auffassung, dass der Staat genug für die Spionageabwehr tut (26% hoffen auf ein zusätzliches Engagement, 4% auf weniger). Ein gutes Drittel (35%) wünscht sich allerdings mehr Informationen zum Wirtschaftsschutz.

Häufigste Delikte, mit denen die Sicherheitsexperten in den vergangenen 24 Monaten konfrontiert wurden, waren Diebstähle (85% der Befragten), unkorrektes Verhalten von Mitarbeitern (Mitarbeiterdelikte – 66%, „Zeit-Diebstahl“ – 69%), Einbrüche (67%) und Sachbeschädigung (Vandalismus – 64%, Graffiti – 58%). 66% aller Enquête-Teilnehmer sahen sich in den vorausgegangenen zwei Jahren mit mindestens einem tatsächlichen Cybercrime-Fall konfrontiert. Jeder Fünfte gab an, dass dabei auch mindestens einmal ein Produktionsrechner angegriffen wurde.

Hohe Budgets für Sicherheitsinvestitionen

Für 2013 bis 2015 wollen die befragten Security-Manager (ohne Sicherheitsdienstleister) im Schnitt in ihren Unternehmen jährlich 1,88 Mio. € (2010 – 2012 waren es jährlich 1,91 Mio.€) für Sicherheitstechnikinvestitionen bereitstellen. Am häufigsten wurden Investitionen in die Videoüberwachungstechnik, in den baulichen Brandschutz, in Zutrittskontrolle und elektronische Schließtechnik sowie in den Perimeterschutz genannt.

Bei Neuanschaffungen von Sicherheitstechnik sind die meisten Sicherheitsexperten anbietertreu: 31% kaufen immer von Herstellern, mit denen sie bereits zusammengearbeitet haben, 53% oft. Wichtig bei der Produktauswahl sind verfügbare Zertifizierungen, vor allem für das Produkt, aber auch für den Errichter oder den Hersteller — auf einer Skala von 1 (sehr wichtig) bis 6 (völlig unwichtig) wurden die Bedeutung von Zertifikaten mit 1,7 bis 2,0 bewertet – als wichtigste Zertifikate wurden jene von VdS Schadenverhütung genannt.

Dienstleister unverzichtbar

92,4% der Befragten aus der betrieblichen Sicherheit hatten 2012 Sicherheitsaufgaben an externe Anbieter vergeben, im Durchschnitt waren es fünf aus 18 abgefragten Sicherheitsdienstleistungen, die fremdvergeben wurden. Am häufigsten wurden Wartung von Sicherungstechnik, Objektschutz, Empfangsdienste und Alarmaufschaltung genannt. Weiteres Outsourcing ist möglich. Etwa die Hälfte der Unternehmen kündigte an, dass sie bis Ende 2013 zusätzliche, bisher selbst erbrachte Sicherheitsservices (im Durchschnitt: 3,2 weitere) nach Außen vergeben wollen.

Die überwiegende Zahl der Kunden ist mit den von ihnen beauftragten Sicherheitsdienstleistern zufrieden: Die befragten Experten aus der betrieblichen Sicherheit gaben ihren Dienstleistungspartnern wie auch schon bei der Enquête vor zwei Jahren im Durchschnitt die (Schul-) Note 2,5.

Wichtiges Kriterium bei der Auftragsvergabe ist die Qualität des eingesetzten Personals. Es sollte mit der deutschen Sprache vertraut, gut ausgebildet sein und möglichst schon Erfahrung in seinem Aufgabengebiet vorweisen können.

Zum Hintergrund

Die Befragung „WIK-Sicherheits-Enquête“ wird seit 1992/93 in zweijährigem Abstand von der Fachzeitschrift „WIK – Zeitschrift für die Sicherheit der Wirtschaft“ mit Unterstützung der Arbeitsgemeinschaft für Sicherheit der Wirtschaft e.V., weiteren wichtigen Wirtschaftsverbänden und bedeutenden Unternehmen der Sicherheitsbranche durchgeführt. An der elften WIK-Sicherheits-Enquête 2012/2013 (17.9.2012 bis 31.1.2013) beteiligten sich 279 Sicherheitsexperten (vom einflussreichen einzelnen Sicherheitsberater bis zum großen Konzernunternehmen). Die Studie verfügt damit über einen hohen Aussagewert, auch wenn sie als Leserbefragung im methodischen Sinne nicht repräsentativ sein kann.