Die Zukunft der Security-Services

Services aus allen Bereichen der IT "sind durch das Cloud Computing besser vermarktbar geworden", stellt Claudia Eckert fest, die dem Fachbereich IT-Sicherheit an der Technischen Universität München vorsteht und das Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) in Garching leitet. Es sei heute so einfach wie nie zuvor, solche Dienste anzubieten und zu nutzen. Ganz besonders gelte das für die IT-Sicherheit. Es ist deshalb wenig verwunderlich, dass im Rahmen der IT-Security-Messe it-sa in Nürnberg jede Menge "neue" Cloud-Services vorgestellt wurden. Anwender sollen ihre IT-Security damit wesentlich bequemer und kostengünstiger gewährleisten können, als es im "Prä-Cloud-Zeitalter" jemals möglich gewesen ist.

Dennoch ist Vorsicht angebracht - Sicherheitsanbieter übertreiben schließlich besonders gerne, wenn es um die Innovationskraft ihrer Produkte geht. "Das ist alter Wein in neuen Schläuchen, die Hersteller packen einfach nur das Cloud-Label oben drauf", winkt Stefan Strobel, Geschäftsführer der Beratungsfirma cirosec, ab. Vergleichbare Produkte gab es auch früher schon, da hießen sie nur wahlweise Managed Security Services (MSS) oder "Security as a Service" - je nach Grad der Administration durch den Dienstleister. Lediglich die Anbieterlandschaft habe sich durch zahlreiche Akquisitionen und Umstrukturierungen ein wenig gewandelt, beobachtet Strobel.

Eckert hält dagegen: Selbstverständlich könne es sein, dass bereits bestehende Angebote einen frischen "Cloud-Anstrich" erhalten hätten. "Gleichzeitig sind aber auch neue Dienste entstanden", stellt sie fest. Diese setzten auf bekannten Web-Service-Technologien auf und entwickelten diese weiter. Anwendern würden damit neue Möglichkeiten in der IT-Sicherheit eröffnet.

Wer kann es den Anbietern also übel nehmen, dass sie kräftig die PR-Trommel rühren und ihre Dienstleistungen mit dem auch in Anwenderkreisen begehrten Begriff "Cloud" aufwerten wollen? Zumal das Geschäft zunehmend lohnt: Den Marktforschern von Gartner zufolge werden Unternehmen weltweit in zwei Jahren insgesamt rund 50 Milliarden Dollar (38 Milliarden Euro) jährlich für Security-Services ausgeben - fast ein Drittel mehr als derzeit.

Fast alles gibt es als Service

Der Blick in die Praxis zeigt: In vielen Konzernen sind die Dienste schon lange im Einsatz - zumeist aber als Teil eines größeren IT-Outsourcing-Deals, der Security-Services einschließt, und nicht als gesonderte Baustelle. Beliebt sind die Dienstleistungen der Marke "rundum sorglos" vornehmlich im operativen Bereich - es betrifft Mail-/Spam-Filter, Intrusion-Prevention-Systeme, Proxy-Server, Web-Gateways, Authentifizierungsdienste oder den Betrieb von Virtual Private Networks. Es sei "ein etabliertes Geschäft, das alle wichtigen Player anbieten", berichtet Dror-John Röcher, Lead Consultant Secure Information bei Computacenter.

Mit der zunehmenden Verbreitung von Cloud-Infrastrukturen wandeln sich nun die Anforderungen. Je mehr Daten ein Unternehmen nicht mehr inhouse vorrätig hält, sondern auf virtuellen Maschinen oder in einer Private/Public Cloud speichert, desto wichtiger wird es, diese Informationen auch direkt dort zu schützen. Zudem tragen mobile Geräte dazu bei, dass IT-Landschaften heute per se so verteilt und unsicher sind wie noch nie und neue, zentralisierte Lösungen erfordern. Gleichzeitig steigt der Datenverkehr, der überwacht und gesichert werden muss. Eckert räumt den Bereichen Identitätsverwaltung/Authentifizierung und sichere (Web-)Collaboration deshalb die aktuell größten Entwicklungschancen im Security-Service-Bereich ein.

Unbestrittene Vorteile

Ein wachsendes Angebot gibt es besonders bei den Authentifizierungslösungen "aus der Cloud". Ihre Funktion besteht meist darin, die Vielzahl von Login-Prozessen und mobilen Geräten per Single-Sign-on zusammenzuführen. Ein Anwender authentisiert sich dabei einmalig bei einem zentralen Service, dieser wiederum fragt damit einen Datenbankserver ab, der den Nutzer dann bei übereinstimmenden Informationen authentifiziert. Diese Berechtigung gilt dann für alle Dienste, auf die von einem bestimmten Client aus zugegriffen wird. Das ist technisch gesehen ein alter Hut, findet aber erst jetzt seinen Weg zu den Anwendern, weshalb der Eindruck einer gänzlich neuen Technologie entstehen kann. Das Bedürfnis nach einer solchen Lösung war bislang nur dürftig vorhanden, wächst nun aber umso stärker, weil das Feature "Cloud" den Einsatz erleichtert. Anwender können von überall und von jedem Gerät auf diese Lösungen zugreifen, weil sie nicht mehr innerhalb des Unternehmensnetzes vorgehalten werden, sondern bei einem Dienstleister.

Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten

BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten

CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten

ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten

EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten

Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten

NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten

Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten

Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten

Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten

ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten

AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten

NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten

Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten

Das Business nähert sich der IT-Security an

Skalierbarkeit und Überall-Verfügbarkeit gelten als wichtigste Vorteile von Cloud-Services. Zudem sind die Prozesse der Dienstleister oft besser getrimmt als es die der Anwender jemals sein könnten. Das hat Auswirkungen auf die Art der Nachfrage nach Security-Services: Es ist zu beobachten, dass sich diese von den bekannten Tools hin zu strategischen Analysewerkzeugen für den Bereich Risiko-Management verschiebt. Das hänge damit zusammen, dass IT-Sicherheit zunehmend "kein rein technisches Thema mehr ist, sondern von den Anforderungen des Business getrieben wird", erklärt Ralf Nitzgen, Geschäftsführer von Allgeier IT Solutions. Computacenter-Experte Röcher ergänzt: "Mittlerweile werden auch höherwertige Security Services eingekauft." Ein gutes Beispiel sind die Security Operation Center (SOC), deren Dienste häufig für einen bestimmten Zeitraum in Anspruch genommen werden, um ein Sicherheits-Lagebild zu erstellen und später damit eine strategische Risikoeinschätzung abgeben zu können. Diese Analysen führen dann wiederum auch zur Bedarfsermittlung an technischen Tools.

Auch in diesem Bereich zeigen sich große Unternehmen aufgeschlossener als Mittelständler. Bei den KMUs ist die Verbreitung von Security-Diensten trotz aller Herstellerversprechen und jahrelang bekannten Technologien noch durchwachsen. "Es hat viel mit der Firmenphilosophie zu tun", erklärt Röcher. Größere Organisationen seien eher bereit, ihre Security herauszugeben. Mittelständler vertrauten lieber ihren eigenen Lösungen. Entscheidend sei für sie darüber hinaus, keine halbe Sachen zu machen: "Hybride Modelle sind die teuersten." Wer den Teil einer Sicherheitslösung als Cloud-Service bezieht, einen Teile aber weiterhin intern entwickle, zahle auch doppelt, so der Computacenter-Vertreter.

Nur bedingt preisgünstiger

Die vermeintlich niedrigeren Kosten, mit denen die Hersteller ihre Services bewerben, ziehen sowieso nur bedingt als Argument. Einerseits wird die Einbindung von IT-Sicherheit in die Infrastruktur einfacher, was den Anwendern einiges an Implementierungsaufwand einspart. Andererseits ist die Auswahl der passenden Lösung schwieriger geworden. "Der Grundsatz lautet immer: Qualität kostet", warnt Strobel. Dieses Prinzip ist im heutigen Cloud-Geschäft aber kaum zu verfolgen, weil unter Anbietern ein heftiger Preiskampf ausgetragen wird. Das verhindert häufig, dass die Provider von sich aus Sicherheitsprodukte und -services in ihre Plattformen einbauen. Der cirosec-Geschäftsführer appelliert an die Anwender, sich deshalb nicht von vermeintlich abgesicherten, dennoch preisgünstigen Cloud-Angeboten blenden zu lassen. Selbst Prüfsiegel gäben keinen Aufschluss über die Sicherheit, da die Prüfkataloge selten eingesehen würden und wenn, dann nur wenig über die Praxistauglichkeit des Produktes aussagten.

Cloud oder nicht Cloud?

Aufpassen müssen Anwender auch bei der Bezeichnung "Cloud-Service". Nicht alles, was als Sicherheit aus der Wolke verkauft wird, hat diesen Terminus auch verdient. Strobel weist auf die Cloud-Definition des National Institute of Standards and Technology (NIST) hin, nach der viele neue Lösungen mit Cloud nichts zu tun hätten. Lagert ein Unternehmen Teile seines IT-Security-Betriebs an einen Dienstleister aus oder bezieht es Leistungen "as a Service", sind weiterhin interne oder externe Ressourcen gefragt, diese Services zu steuern. Ein Cloud-Dienst zeichnet sich jedoch dadurch aus, dass ein IT-System diese Aufgaben automatisiert löst, ohne dass ein Mensch noch "Hand anlegen" muss. Deshalb lässt sich feststellen, dass sich die technische Basis vieler so genannter "Cloud-Security-Services" zwar in der Wolke befindet, der Betrieb aber weiterhin über klassisches Hosting mit oder ohne Dienstleister umgesetzt wird.

Was sich derzeit als vermeintliche Innovation darstellt, entpuppt sich deshalb oft noch als heiße Luft. Somit ist besonders für unerfahrene und kleinere Anwender im Umfeld der Cloud-Security-Services erhöhte Vorsicht geboten. Vermehrt kommen beispielsweise "Web-Gateways aus der Cloud" auf, die den aus- und eingehenden Datenverkehr prüfen und reinigen ('Clean Pipe'). Sie setzen so die Unternehmens-Policies um, die festlegen, welche Art von Mails, Websites und Social-Media-Angeboten ein Unternehmensnetz erreichen oder verlassen dürfen. Wo Anwender solche Gateways früher vielleicht selbst in ihrem Rechenzentrum betrieben, befinden sich diese nun zwar auf dem Server eines Dienstleisters und damit "in der Cloud", müssen aber nach wie vor meist mit internen Ressourcen betreut werden. Die Policies sind schließlich nicht "mit der Gießkanne" auf alle Kunden eines Dienstleisters übertragbar, sondern variieren. Das Cloud-Etikett ist hier fehl am Platz.

Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten.

Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen?

Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet?

Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben?

Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert?

Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann?

Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert?

Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen?

Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle?

Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?

Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion?

Transaktionen im Internet
Liegen Verisign-Zertifikate vor?

Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren?

Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert?

Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert?

Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders?

Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie?

Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)?

Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind?

Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden?

Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind?

Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?

Gut zu Gesicht steht die Bezeichnung "Cloud-Service" hingegen so genannten DDoS Mitigation Services, die ausschließlich in der Cloud betrieben werden können. Diese filtern den Webtraffic vor und leiten ihn bei Bedarf um ein Unternehmensnetz herum, um einer übermäßigen Auslastung der Datenleitungen entgegen zu wirken. Breitbandattacken lassen sich so stark eindämmen oder sogar ganz verhindern. Als "einziges Szenario, das den Namen Cloud Security Service aktuell auch verdient" bezeichnet Strobel diese Dienste.

Was nicht geht

Auch wenn heute fast überall "Cloud" draufsteht, ist also nicht überall auch Cloud drin. Unbestritten ist beispielsweise, dass es Security-Bereiche gibt, die sich zumindest mittelfristig nicht als Cloud-Dienst werden beziehen lassen - ganz gleich, was die Anbieter versprechen. Nitzgen nennt beispielsweise DLP-Produkte (Data Leakage Prevention), weil diese direkt an der Schnittstelle zu geschäftskritischen Daten eingesetzt würden. Schon aus datenschutzrechtlichen Gesichtspunkten sei ein ausgelagerter Dienst, der diese Daten verarbeitet, nicht möglich. Röcher führt andere geschäftsnahe Prozesse wie Risiko-Management, Security Governance und Compliance-Management ins Feld. Diese ließen sich nicht auslagern, weil auch sie sich zu stark am "Herz des Unternehmens" ausrichteten und nur über interne Arbeitsabläufe abgebildet werden könnten. Bestimmte Branchen seien zudem per se nicht dafür vorgesehen, IT-Security auch nur teilweise als Service zu beziehen - dazu gehören nach der Meinung von Röcher unter anderem Rüstungskonzerne und Geheimdienste.

Fazit

Cloud-Dienste sind die Weiterentwicklung bekannter Web-Service-Technologien und bieten auch im Security-Umfeld neue Möglichkeiten. Relevant werden sie, weil es vermehrt um die Absicherung dezentraler IT-Landschaften und verteilter Datenmengen geht. Besonders durch den Trend zu mobilen Geräten im Unternehmensumfeld ist eine neue Herangehensweise an die IT-Sicherheit notwendig geworden. Einige neue Dienste sind bereits entstanden, der Meinung der Experten nach werden noch viele folgen. Das überbordende Angebot macht die Auswahl für den Anwender jedoch schwieriger. Zudem muss er genau aufpassen, wofür er bezahlt. Hat er seine Wahl erst einmal getroffen und kann sicher sein, dass seine Sicherheitsanforderungen erfüllt sind, ist es ihm letztlich egal, ob der Security-Service nun ein "richtiger" Cloud-Dienst ist oder nicht.

Die gängigsten Security-Services

Nicht jede Security-Lösung ergibt als Service einen Sinn. Anwender sollten sich ihren Bedarf genau anschauen, bevor sie den Verlockungen der Hersteller erliegen. Werden Cloud-Services bezogen, ist die Verschlüsselung aller ausgetauschten (Meta-)Daten und auch der Übertragungswege unbedingt zu empfehlen. Es ist besonders darauf zu achten, dass die Schlüssel zu jeder Zeit beim Anwender verbleiben und getrennt von den an den Cloud-Provider weitergegebenen Informationen gespeichert sind. Wir führen im Folgenden die Bereiche auf, in denen es aktuell die meisten (Cloud-)Security-Service-Angebote gibt.

• Authentifizierung / Single-Sign-on: Um mit möglichst nur einem Login Zugriff auf verschiedene Dienste erhalten zu können, meldet sich der Client bei einem zentralen Service an (Authentisierung). Dieser prüft die Login-Daten und schaltet den Zugang bei entsprechender Berechtigung frei (Authentifizierung). Die Anmeldung gilt solange, wie der Anwender vom gleichen Client respektive der gleichen Sitzung aus arbeitet. Ist besonders für verteilte Netze mit vielen Mobilgeräten empfehlenswert.

• Web-Gateway / Web-Proxy: Datenverkehr ins und aus dem Internet wird über ein Gateway umgeleitet. Hier wird er anhand von Black-/Whitelisting und/oder Paketinspektion analysiert, bevor er den Nutzer bzw. den Zielserver erreicht. So lassen sich beispielsweise bestimmte Webangebote/Social Networks für bestimmte Nutzerkreise sperren. Aber auch das Eindringen von Schadcode in das Unternehmensnetz wird so verhindert.

• Mail-Filter / Spam-Filter: Gleiche Funktionsweise wie beim Web-Gateway, nur für E-Mails.

• DDoS Mitigation: Eingehender Datenverkehr wird durch Hochleistungs-Netze umgeleitet (wichtigster Unterschied zum Web-Gateway) und gefiltert, damit nur "sauberer" Traffic sein Ziel erreicht. Breitbandattacken / DDoS-Angriffe lassen sich so verhindern. Empfehlenswert für solche Unternehmen, deren Geschäftsmodell maßgeblich auf der Verfügbarkeit von Web-Services beruht. Ist aber auch nicht ganz billig.

• Anti-Virus: Der signatur- und verhaltensbasierte Scan von Dateien auf einzelnen Clients findet außerhalb des stationären Unternehmensnetzes statt. Vorteil: Die Signaturdatenbanken sind immer auf dem neuesten Stand. Nachteil: Hilft nur Unternehmen, die ihre komplette Desktop-Umgebung virtualisiert und/oder in der Cloud betreiben, weiter. Ergibt sonst nur im E-Mail-Umfeld Sinn.

• Intrusion Detection / Intrusion Prevention: Funktionieren ähnlich wie Anti-Virus, aber client-übergreifend. Die Traffic-Analyse erfolgt vor Eintritt in das Unternehmensnetz. Detection-Systeme überwachen den Datenverkehr passiv und melden Annomalien. Prevention-Systeme filtern aktiv. Beides wird häufig zusammen und als Ergänzung von (Web-Application-)Firewall-Lösungen angeboten. Nachteil: Lässt sich durch DDoS-Attacken aushebeln.

• Network Access Control / Network Admission Control: Unterstützt die genannten Analysewerkzeuge. Neue Endgeräte im Unternehmensnetz werden auf Patch-Level und Nutzerberechtigungen geprüft und gegebenenfalls auf den Stand gebracht. Erst danach dürfen sie auf das Netz zugreifen. Ist als Service nur in virtualisierten Umgebungen zu empfehlen.

• Virtual Private Network: Über eine Netzwerkschnittstelle werden verschiedene Netze miteinander verknüpft, ohne dass diese zueinander kompatibel sein müssen. Ein externer Client bekommt beispielsweise direkten Zugriff auf das interne Netz eines Unternehmens oder nur auf Teile dieses Netzes (SSL-VPN). Auch Web-Anwendungen, die nur einem bestimmten Nutzerkreis zur Verfügung stehen sollen, lassen sich darüber absichern.

• Daten-Monitoring / -Analyse: Diese recht neuen Services überwachen große Mengen (unstrukturierter) Daten und bewerten sie ihrer Kritikalität nach. Spielt besonders im Risiko-Management eine Rolle.

• Backup: Datensicherung im Rechenzentrum eines Dienstleisters. Ist aus datenschutzrechtlichen Gründen meist nur für unkritische Informationen realisierbar.