Bezogen auf konkrete Anwendungsfelder innerhalb der IT-Sicherheit treffen insbesondere Lösungen für E-Mail-Sicherheit sowie die Überwachung und Filterung von Inhalten (Content Security) auf hohe Akzeptanz. So setzen über 40 Prozent der Befragten derartige Lösungen entweder bereits ein oder planen deren Einsatz. Weiterhin sind Produkte für Anwender attraktiv, welche unmittelbar die Sicherheit von Serversystemen oder Desktop-PCs betreffen (35 Prozent). Dies umfasst die Abwehr von Schadsoftware, Intrusion Detection, Datenverschlüsselung und Datenverfügbarkeit sowie das Konfigurationsmanagement.

Ebenso werden Services für Vulnerability- und Threat-Management, Application Security sowie Identity- und Access-Management positiv bewertet. Jeweils etwa ein Viertel der befragten Organisationen nutzt bereits solche Cloud-Services oder plant deren Einsatz.

Angst vor Abhängigkeit

Die weitaus größte Mehrheit der Befragten schätzte den Nutzen von Security-as-a-Service-Lösungen generell als positiv ein. Die wichtigsten Argumente sind dabei Kostenvorteile, der einfachere Zugriff auf Sicherheits-Ressourcen und die Konzentration auf das Kerngeschäft. Mögliche Vorteile in Hinblick auf Qualität und Flexibilität wurden dagegen deutlich niedriger bewertet. Die Gruppe der kategorischen Verweigerer ist relativ klein: Nur jedes fünfte befragte Unternehmen schließt den Bezug von Sicherheitsdienstleistungen aus der Cloud auch langfristig aus.

Dabei ist eine befürchtete Abhängigkeit das wichtigste Argument gegen Security-Services aus der Cloud. „Das deutlich am stärksten wahrgenommene Einsatzrisiko ist eine mögliche Abhängigkeit zum Anbieter entsprechender Sicherheitsdienste, obwohl dies dem unterstellten Software-as-a-Service-Gedanken grundlegend widerspricht“, schreibt Studienautor Senk. Mögliche Ursachen für diese Einschätzung könnten die bisher mangelnde Standardisierung von Service- und Datenschnittstellen oder auch die als starr wahrgenommenen Lizenzmodelle sein.

Als zweites Argument wird die Verwundbarkeit des Services gegen Angreifer aus dem Netzwerk beziehungsweise dem Internet gefürchtet. Zudem erwarteten die Teilnehmer der Umfrage interne Widerstände und weitere sicherheitsbezogene Risiken. Führungskräfte schätzen die Gefahr interner Widerstände dabei vergleichsweise geringer ein als operative Mitarbeiter, die an einer möglichen Investitionsentscheidung beteiligt wären. Als mögliche Sicherheitsrisiken nannten die Befragten mangelnde Datentrennung und -sicherheit, die Nichtverfügbarkeit des Dienstes im Katastrophenfall sowie eine ineffektive Zugriffskontrolle.