Sicherheitsdienste

"Security-as-a-Service ist für Mittelständler ideal"

10.11.2011

Voraussetzungen für Security as a Service

CW: Welche Voraussetzungen müssen IT-Sicherheitsprodukte erfüllen, damit Security as a Service überhaupt funktioniert?

ROECHER: Sie müssen bestimmte funktionale Anforderungen erfüllen - etwa Mandantenfähigkeit, um mehrere Kunden gleichzeitig auf dem Produkt abbilden zu können. Hier kommt es darauf an, dass der Anbieter für eine strikte Trennung der Daten sorgt. Weitere Standardanforderungen sind Hochverfügbarkeit sowie Backup- und Disaster-Recovery-Funktionen. Zudem muss die Lösung eine Methode zur Leistungsabrechnung unterstützen, damit die laufenden Prozesse erfassbar und darstellbar sind. Unabdingbar ist auch eine komfortable Schnittstelle, über die der Anwender seine gewünschten Module selbst konfigurieren und einstellen oder sein Abonnement ändern, erweitern und einschränken kann. Dadurch hat er immer Einblick in den aktuellen Verbrauch, also in die laufenden Kosten. Großen Wert legen die Kunden zudem darauf, dass es sich um bekannte Security-Produkte von renommierten Herstellern handelt. Exotische Lösungen sind für den Einsatz im Security-as-a-Service -Umfeld weniger geeignet.

CW: Und welche Anwendungen kommen in Frage?

ROECHER: Potenziell eignet sich alles, was mit Verkehrsströmen in und aus dem Internet zu tun hat - allem voran der E-Mail-Verkehr - "as a Service". Auch das Absichern von http-Verkehr, einfaches Virenscanning oder das komplette Auslagern der externen Firewall als Sicherheitsdienstleistung sind denkbar und sinnvoll. Ich denke, dass wir hier noch einige interessante Angebote sehen werden. Das Ende der Fahnenstange ist noch lange nicht erreicht.

CW: Wie funktioniert die konkrete Umsetzung für den Anwender? Tatsächlich so einfach wie ein Abo?

ROECHER: Ja, der Kunde abonniert verschiedene Services, die in der Regel pro User beziehungsweise nach dem jeweiligen Datenvolumen erbracht und abgerechnet werden. Die Optionen sind vielfältig, und der Anwender kann flexibel und modular festlegen, ob er neben der Prüfung des http-Verkehrs auch noch einen Schutz vor Schadsoftware abonnieren, Security-Policies für Websites einführen oder ausschließlich E-Mail-Daten sichern will. Die Nutzung der einzelnen Module lässt sich jederzeit "an- oder ausschalten", und die entsprechenden Änderungen werden sofort ersichtlich - sowohl in der Leistungserbringung als auch in der Abrechnung.