Provider entsorgen den E-Mail-Müll

Schulze ist freier Autor der Website CIO.de und dem CIO-Magazin.
Die Bearbeitung von Spam kostet Unternehmen eine Menge Geld. Abhilfe versprechen spezialisierte Serviceanbieter.

Die professionelle Entsorgung des Hausmülls übernehmen spezialisierte Dienstleister effizient und zu transparenten Kosten. Beim Aussortieren von Malware und unerwünschter Werbung aus dem täglichen E-Mail-Strom hingegen versucht das Gros der Unternehmen, ohne externe Service-Provider auszukommen.

Hier lesen Sie...

  • welche Vorteile die Beauftragung eines E-Mail-Security-Dienstleisters bietet;

  • wie sich dieses Marktsegment entwickelt;

  • welche Servicemodelle es für Managed E-Mail-Security gibt;

  • wer die wichtigsten Anbieter sind.

Dieser Ansatz ist aufwändig und teuer. So haben Forscher der Universität Hamburg errechnet, dass Unternehmen die Bearbeitung von Spam-Mails jährlich 500 Euro pro Mitarbeiter kostet. Hinzu kommt die oft unterschätzte Last auf den Servern und im Netzwerk, die durch ungewollte Mails verursacht wird. Den regelmäßigen Erhebungen des Security-Dienstleisters Message Labs zufolge handelt es sich bei rund 75 Prozent aller E-Mails, die tagtäglich verschickt werden, um Spam. Für die Anwender bedeutet das, dass sie einen erheblichen Teil ihrer Investitionen in E-Mail-Infrastrukturen nur für die Bearbeitung von Müll tätigen müssen.

Foto: Experton Group

Sicherheit in fremde Hände zu legen scheint für viele Unternehmen noch nicht die Regel zu sein: Den Marktforschern von IDC zufolge hatte der deutsche Markt für IT-Services im vergangenen Jahr ein Volumen von 32 Milliarden Dollar. Der Anteil von Managed-IT-Security-Diensten lag dabei gerade einmal bei 200 bis 250 Millionen Euro, schätzt Wolfram Funk, Advisor der Experton Group. Davon entfielen wiederum 15 bis 20 Prozent auf E-Mail-Security-Dienstleistungen.

Remote-Management liegt im Trend

Foto: Experton Group

Managed Services für Spam- und Virenschutz werden im Wesentlichen in drei Modellen angeboten. Der größte Teil des Marktes entfällt laut Funk derzeit auf Wartung und Administration. Das heißt, die Anwenderunternehmen beschaffen ihre Lösungen zum Schutz vor Spam und Malware selbst und betreiben sie im eigenen Rechenzentrum. Der Dienstleister übernimmt die Fernüberwachung (Remote Management). Die Serviceangebote richten sich vorrangig an mittelständische Unternehmen sowie Konzernniederlassungen oder – teilbereiche. "Das Modell vermittelt den Anwendern das Gefühl, ihre Sicherheitssysteme ein gutes Stück weit unter Kontrolle zu haben", beschreibt der Berater. "Gleichzeitig entlastet es die eigenen IT-Mitarbeiter von Routinearbeiten." Auf Anbieterseite sind hier vor allem Ironport und Retarus zu nennen. Hinzu kommen klassische Virenschutzanbieter wie Symantec, Trend Micro oder Sophos. "Aber auch auf E-Mail-Security spezialisierte Anbieter wie Clearswift oder regionale Player wie Eleven aus Berlin sind in diesem Geschäft tätig."

Modell 2: Outsourcing von Spam- und Virenschutzlösungen

Eine zweite Version der Managed E-Mail-Security-Services stellt das Outsourcing von Spam- und Virenschutzlösungen dar. Die Anwendungen werden von einem externen Dienstleister betrieben und in dessen Rechenzentrum auch gehostet. Dabei ist die eingesetzte Appliance oder Software entweder im Besitz des Kunden oder des Dienstleisters. "Es handelt sich um die gleichen Lösungen wie im ersten Modell, meist werden sie aber von den Service-Providern um eigene Management- und Reporting-Tools erweitert", erläutert Funk. Eine Variante ist das Shared Hosting: Dem Anwender steht nicht ein dediziertes System zur Verfügung, sondern mehrere Kunden teilen sich eine Appliance oder einen Server. Dieser kostengünstige Ansatz ist dem Experten zufolge vor allem für kleinere Unternehmen mit wenigen Mailboxen interessant.

Das dritte Modell ist eine stark kommerzialisierte Form des Outsourcings: Spezialisten bieten hoch standardisierte Dienstleistungen an, die Wertschöpfungskette liegt komplett außerhalb des Anwenderunternehmens. Zwei Akteure sind in diesem Marktsegment besonders aktiv: Message Labs und der kürzlich von Google gekaufte Anbieter Postini. Angesichts des hohen Standardisierungsgrads und der Spezialisierung der Services können die Dienstleister erheblich von Skaleneffekten profitieren. Das Modell hat sich in den USA und in Großbritannien bislang stärker etabliert als in Deutschland. Aufgrund der geringen Komplexität und der geringen Kosten ist es laut Forrester aber für mittelständische Kunden durchaus interessant. Viele Anbieter setzen auf Partnerschaften mit großen IT-Dienstleistern wie IBM, British Telecom oder Atos Origin, die solche Leistungen als Reseller oder in Form von Hosting-Services anbieten: "Was etwa IBM seinen Mittelstandskunden verkauft, stammt eigentlich von Message Labs", verrät Experton-Berater Funk.

Das Geschäft läuft recht gut. Den Schätzungen des Experten zufolge erzielen die Anbieter von Managed E-Mail-Security-Services Margen von "durchweg über 20 Prozent". Der Markt in Deutschland habe im vergangenen Jahr um rund 15 Prozent zugelegt. Allerdings seien die Zuwachsraten schon wieder leicht rückläufig, "weil die Experimentierphase in dem noch relativ jungen Segment dem Ende zugeht und nun das Mainstream-Geschäft beginnt". Den Anteil der Unternehmen, die bereits Managed E-Mail Security-Services in Anspruch nehmen, schätzt der Berater auf derzeit 20 Prozent.

Wachsende Nachfrage nach Spam- und Virenschutz-Services

Ähnlich positiv beurteilt Forrester Research die Situation. Laut einer Studie vom Oktober dieses Jahres hat der gesamte Markt für Managed Security-Services weltweit ein Volumen von mehr als zwei Milliarden Dollar. Managed Services im Bereich Spam- und Virenschutz ist mit einer Steigerungsrate von fast 40 Prozent das derzeit am stärksten wachsende Segment des gesamten E-Mail-Sicherheitsmarktes, kommentiert Chenxi Wang, Principal Analyst bei Forrester. Aus ihrer Sicht können die Angebote der Dienstleister für die unterschiedlichsten Anwenderunternehmen interessant sein: "Hosted Services reduzieren zunächst den Overhead, der durch den Betrieb einer solchen Lösung entsteht und unter Umständen einen signifikanten Teil der IT-Ressourcen bindet." Zudem setze ein Inhouse-Betrieb von E-Mail-Security-Systemen regelmäßige Investitionen in neue Hardware voraus, um mit dem steigenden Mail-Volumen Schritt halten zu können. "Vor allem kleinere Firmen mit begrenzten IT-Ressourcen können daher vom Auslagern dieses Bereichs profitieren", so Wang.

Neben kleineren Unternehmen nehmen aber auch große Konzerne Managed E-Mail-Services in Anspruch. Firmen mittlerer Größe sind dagegen nur schwach vertreten. "Bei den Hosted Services dominieren Kunden mit über 3000 Usern und solche mit weniger als 150 Anwendern", beobachtet Thomas Fleischmann, Enterprise Security Architect der Clearswift GmbH. Der Leidensdruck der Anwender besteht seiner Ansicht nach vor allem in der Last, die die internen Mail-Systeme und Infrastrukturen verarbeiten müssen: "Die großen Unternehmen nutzen Managed E-Mail-Security in der Regel als eine zusätzliche Schutzschicht, die den eigenen Sicherheitssystemen vorgelagert ist. Sie lassen bei uns alles herausfiltern, was definitiv unerwünscht ist - das sind 70 bis 80 Prozent des gesamten Mail-Verkehrs." Dadurch würden die internen Mail-Systeme deutlich entlastet. Kleinere Firmen hingegen beauftragten einen externen Dienstleister vor allem deshalb, weil es ihnen an Ressourcen fehle, um die Unternehmenssicherheit selbst an ständig neue Gefahren anpassen zu können.

Große und kleine Anwender bestimmen das Bild

Auch beim Web-Filtering-Softwareanbieter Websense, der sein Know-how in Richtung Managed E-Mail-Security kürzlich durch die Übernahme von Surfcontrol erweitert hat, bestimmen große und kleine Kunden das Bild. Der gehobene Mittelstand nutzt E-Mail-Services dagegen eher selten. Michael Neumayr, Regional Manager Central Europe bei Websense, schätzt das Spam-Volumen sogar auf 80 bis 85 Prozent aller eingehenden Mails. In den Service-Level-Agreements (SLAs) verpflichtet sich der Anbieter, 95 Prozent davon auszusortieren. Auch die Kunden von Websense nutzen die Dienstleistung als erste Filterstufe, um die Last auf den eigenen Systemen zu reduzieren. Laut Neumayr werden die Hosted Services fast ausschließlich für die eingehende Post in Anspruch genommen, obwohl Websense auch in der Lage wäre, ausgehenden Mail-Traffic auf unzulässigen Datenabfluss oder auf Verletzung der Mail-Policies eines Unternehmens zu prüfen. "Da die E-Mail-Security-Maßnahmen so nah wie möglich an den Ursachen ansetzen sollten, bieten sich Hosted Services vor allem für die Filterung von eingehenden Mails, also bevor die Daten das Unternehmensnetz erreichen, an. Der Schutz des ausgehenden Datenverkehrs - etwa Data Leak Prevention - sollte dagegen besser im eigenen Netzwerk erfolgen, also bevor die Daten das Unternehmen verlassen", erläutert Neumayr. Grundsätzlich beurteilt der Manager den Markt für Managed E-Mail-Security sehr positiv. So sei Surfcontrol im vergangenen Jahr um 60 Prozent gewachsen. Er glaube aber auch, dass die Nachfrage nach Services rund um ausgehende Mails auf absehbare Zeit anziehen werde.

Nachfrage nach weiteren E-Mail-Security-Services erwartet

Ähnlich sieht es Frank Müller, Bereichsleiter IT-Services bei der Stuttgarter NIIT Technologies AG, deren Services zum Großteil auf Produkten von Iron Port, F-Secure und Marshal basieren. Bislang konzentrierten sich die Anwender zwar vornehmlich auf Malware- und Spam-Schutz. Die Sicherung des ausgehenden Mail-Verkehrs werde aber bei der Beautragung externer Anbieter künftig eine größere Rolle spielen - zumindest in bestimmten Branchen: "Vor allem Anwender aus Industriebetrieben investieren viel in den Schutz ihrer Forschung, Entwicklung und Patente." Firmen aus der Modebranche hätten dagegen deutlich weniger Bedarf. Im Gegensatz zu vielen anderen Anbietern ist der Mittelstandsanteil am Kundenstamm bei NIIT recht hoch. "Es gibt Kunden, die uns das Thema samt Hardware überlassen, andere behalten die Hardware, und wir kümmern uns um das Management", beschreibt Müller das Geschäftsmodell. (sp)