IT-Sicherheit als Managed Service

Schulze ist freier Autor der Website CIO.de und dem CIO-Magazin.
Viele Firmen zögern damit, externe Security-Dienstleistungen zu nutzen. Doch der Markt wächst.

Geht es um die IT-Sicherheit, halten sich Unternehmen gerne bedeckt. Security steigert zwar nicht den Umsatz, gilt aber trotzdem als kritisch. Schwerwiegende Sicherheitslücken in Betriebssystemen oder der immer wieder auftretende Verlust sensibler Daten zeigen, wie weit die Folgen von Fehlern in der IT-Sicherheit reichen können.

Unternehmen, die ihre Verteidigung gegen Cyber-Kriminelle selbst in die Hand nehmen, müssen ein gehöriges Maß an entsprechendem Know-how aufbauen. Die Zahl der Bedrohungen steigt ständig, immer wieder kommen neue Gefahren hinzu. Zu den derzeitigen Herausforderungen zählt vor allem die Industriespionage: Mit speziell für ein bestimmtes Opfer entwickelten Trojanern versuchen die Täter, Zugang zu wichtigen Informationen zu erlangen. Da die Malware einmalig ist und nur an einen Empfänger geht, erhalten die Virenschutzhersteller nicht massenweise Codeproben und können schützende Signaturen nicht zeitnah bereitstellen - der klassische Virenschutz versagt. Weitere Gefahren entstehen bereits, etwa Spam über VoIP (Voice oder IP), auch Spam over Internet Telephony (Spit) genannt. Einer Studie von Steria Mummert Consulting zufolge wird diese Form der Belästigung in den kommenden Jahren ähnliche Dimen-sionen wie die Werbeflut per E-Mail erreichen.

Kleiner, aber wachsender Markt

Fehler beim Betrieb oder der Konfiguration einer Security-Komponente bieten viele Angriffsflächen. IT-Security ist ein Fall für Spezialisten. Daher verwundert es, dass das Auslagern in diesem Bereich noch selten ist. Laut einer Studie von Forrester Research ist der Markt für Managed-Security-Services (MSS) verhältnismäßig klein: Rund drei Milliarden Dollar im Jahr werden weltweit umgesetzt. Zum Vergleich: Der Gesamtmarkt für IT-Dienstleistungen hat ein Volumen von 75 bis 80 Milliarden Dollar.

Ausgereifte Angebote

Doch der MSS-Markt wächst. Die Analysten von Forrester begründen dies mit den mittlerweile ausgereiften Angeboten. Speziell die klassischen IT-Dienstleister erbringen konkurrenzfähige IT-Security-Services im Rahmen umfassender Outsourcing-Deals. Hinzu kommt die nach wie vor ungebrochene Nachfrage nach IT-Sicherheit: In einer Umfrage unter knapp 1000 IT-Entscheidern weltweit gab mehr als die Hälfte der Befragten an, ihre IT-Sicherheits-Infrastruktur im laufenden Jahr stark ausbauen zu wollen.

Viel Geld verdienen die großen Outsourcing-Anbieter - entsprechend dem insgesamt recht kleinen Markt für IT-Sicherheitsdienste - freilich noch nicht. T-Systems, Unisys, Fujitsu - sie alle gaben ihren Anteil von Managed Security am Gesamtumsatz im vergangenen Jahr mit einem Prozent an. Dabei werden MSS zumindest bei den großen IT-Dienstleistern häufig im Paket mit anderen Outsourcing-Projekten verkauft: Laut Forrester liegt der Anteil der gebündelten Serviceangebote zwischen 70 und 85 Prozent. "Die meisten Anbieter verkaufen bislang nur einem kleinen Teil ihrer Kunden Managed Security Services", folgern die Experten.

Hier lesen Sie ...

  • welche Vorteile das Auslagern von IT-Sicherheitsaufgaben bietet;

  • dass viele deutsche Anwender hier noch Vorbehalte haben;

  • warum vor allem kleine und mittlere Firmen MSS in Anspruch nehmen;

  • dass der Markt für solche Services wachsen wird.

Abnehmer solcher Leistungen sind vor allem kleine und mittlere Unternehmen (KMU), beobachtet die Experton Group. Vor allem angesichts ihrer beschränk-ten personellen und organisatorischen Ressourcen fragten sie Security-Services stärker nach als die Großen. Besonders beliebt ist die Nutzung von Managed-E-Mail-Security-Diensten. "Dieser Bereich lässt sich isoliert auslagern, es ist kein großer Eingriff in die IT-Infrastruktur notwendig", begründet Wolfram Funk, Senior Advisor der Experton Group. Ebenfalls verbreitet seien Managed Firewalls, Managed VPN sowie Managed IPS (Intrusion Prevention Systems). Zu den Services, die eher noch ein Nischendasein fristen, zählt der Berater vor allem Schwachstellen- und Event-Analysen.

Deutsche Anwender nehmen MSS zurückhaltender an als etwa britische oder schwedische Unternehmen. Der hiesige Markt ist noch überschaubar, Funk schätzt das Umsatzvolumen hierzulande auf unter 250 Millionen Euro pro Jahr - bei kleinem zweistelligem Wachstum. Zudem ist der Markt stark fragmentiert: "Viele Security-Services werden im Rahmen großer Outsourcing-Deals erbracht und nicht separat ausgewiesen. Dadurch sind die Marktführer hier schwer zu ermitteln", räumt Funk ein.

Eine Schlüsselrolle im deutschen Markt spielen seiner Ansicht nach aber große IT-Dienstleister wie Computacenter, IBM, T-Systems oder Integralis. Auch Unisys und Symantec sowie Spezialisten wie Postini, Messagelabs oder Retarus seien wichtige Player. Schwer tun sich dagegen die Offshore-Anbieter. Dafür gibt es zwei Gründe: Bestimmte Daten im Unternehmen dürfen nicht ohne weiteres in andere Länder transferiert werden. Zum anderen fehlt den Anwendern für den sensiblen Security-Bereich wohl noch das Vertrauen: "Die meisten greifen lieber auf die etablierten Dienstleister zurück", so Funk. Grundsätzlich sei Vertrauen das wichtigste Entscheidungskriterium im Security-Umfeld. Der Preis spiele nur bei Standardleistungen wie Spam-Filtern eine zentrale Rolle.

Dass der MSS-Markt vor allem bei kleinen und mittleren Firmen gut ankommt, bestätigt auch Eric Maiwald, Vice President und Service Director der Burton Group. "Große Unternehmen haben genug Personal, sie können sich selbst um die IT-Sicherheit kümmern", begründet der Experte. Die meisten verfügten über Rechenzentren mit 24-Stunden-Betrieb und könnten dadurch schnell auf Sicherheitsprobleme reagieren. Die hohe Nachfrage nach E-Mail-Services wie Spam- und Malware-Filter lässt sich aus Sicht des Experten auch mit der Entlastung der internen Systeme erklären: Wenn das Gros der unerwünschten Post bereits vor dem Eintreffen im Unternehmen ausgesondert wird, lassen sich dadurch sowohl die Mail-Server selbst als auch nachgelagerte Archivsysteme deutlich entlasten. Daher fragten auch große Unternehmen verstärkt Mail-Services nach, dieses Segment sei mittlerweile ein wichtiger Treiber für das Wachstum des MSS-Markts.

Vorbereitung ist das A und O

  • Analysieren Sie, welche Security-Bereiche sich zum Auslagern eignen;

  • klären Sie die Verantwortlichkeiten für IT-Sicherheit und Outsourcing;

  • stellen Sie sicher, dass die Verantwortung für die IT-Sicherheit im Haus bleibt - der Anwender haftet im Schadensfall;

  • formulieren Sie die SLAs klar und eindeutig;

  • überwachen Sie die Security-Dienstleistungen.

Dem Mittelstand fehlt Know-how

Managed Firewalls werden dagegen vorrangig von kleinen und mittleren Unternehmen benötigt, die weder das erforderliche Know-how aufbringen, noch den 24-Stunden-Betrieb aufrechterhalten können, so Maiwald. Managed Firewalls seien zwar inzwischen Commodity, das Wachstum bleibe jedoch hinter den Erwartungen zurück. Ein Grund seien auch die hohen Kosten für diesen Service: "Jeder Wechsel kostet Geld. Müssen die Firewall-Regeln häufig geändert werden, wird es teuer. Daher eignen sich Managed Firewalls eher für Unternehmen, die selten Änderungen benötigen."

Platz für viele Player

Der Markt ist klein, und die Nutzung von MSS wird auch in fünf Jahren noch kein Standard sein, prognostiziert der Burton-Mann. Andererseits sei der Markt auf Anbieterseite recht konstant: "Es wird auch künftig Spezialisten für einzelne Themen geben sowie große Outsourcing-Dienstleister, die solche Services im Rahmen umfassender Verträge anbieten." MSS sind also auf dem besten Weg, ihr Nischendasein hinter sich zu lassen - auch wenn der Weg zum Massenmarkt noch nicht absehbar ist. Die skeptische Haltung speziell deutscher Unternehmen gegenüber dem Outsourcing von Teilen der IT-Security weicht langsam auf. Und die Vorteile - vor allem bei Standard-diensten - sind nicht von der Hand zu weisen. Zumal die Margen im Geschäft mit Spam-Filtern und anderen Basistechniken gut sind, die Anbieter bei der Preisgestaltung also durchaus noch Spielraum nach unten haben. (sp)u