Cloud Computing verspricht einen technischen Paradigmenwechsel, der die Nutzung von IT-Diensten revolutioniert. Software-as-a-Service (SaaS) ist dabei ein Dienstleistungs- und Bereitstellungsmodell, das Kunden ermöglicht, Standardsoftware über das Internet zu nutzen, ohne sie auf eigenen Rechnern zu installieren. Eine konkrete Ausprägung von SaaS stellt Security-as-a-Service (SecS) dar. SecS-Produkte liefern Sicherheitsfunktionen, die von einem oder mehreren Anbietern verwaltet und bereitgestellt werden. Ein Provider hält dabei die benötigte Sicherheitstechnik als Service zentral zur Verfügung, die mehrere Konsumenten je nach Bedarf beziehen und bezahlen können (Pay as you go).
Ausgehend vom Vergleich zwischen IT-Miet- und Servicelösungen und traditionellen IT-Lösungen sollen in diesem Beitrag die Chancen und Risiken von SecS für kleine und mittelständische Unternehmen näher beleuchtet werden. Unter traditionellen Sicherheitslösungen werden hier unternehmensintern realisierte Anwendungen verstanden. Klassisches Outsourcing von IT-Sicherheitslösungen durch Managed Security Service Provider (MSSP) fällt nicht darunter. Daran anknüpfend werden konkrete SecS-Lösungen samt Anbietern in ein Schichtenmodell eingeordnet und deren Sicherheitsfunktionen näher beschrieben (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download). Abschließend skizziert der Beitrag Handlungsempfehlungen für Konsumenten, die sich auf den Status quo anwenden lassen.
Chancen und Risiken von SecS
Wenn man Chancen und Risiken von SecS beleuchtet, muss das Augenmerk unter anderem auf folgende Aspekte gerichtet werden, die aus Konsumentensicht potenzielle Vorteile bergen:
-
Implementierung marktüblicher Technikstandards,
-
Sicherheit als Kernkompetenz von SecS-Anbietern,
-
Erhöhung der Kostenflexibilität sowie
-
Application-Rollout, Business Alignment und kürzere Time-to-Market.
Zum anderen gilt es aber auch, einen Blick auf die Risiken zu werfen, die dem Konsumenten beim Einsatz von SecS drohen:
-
Kompatibilität von SecS mit proprietären IT-Lösungen,
-
Verwaltung und Speicherung von Anwendungsdaten durch SecS-Anbieter,
-
Verfügbarkeit und Performance sowie
-
SecS-Anbieter als Single-Point-of-Attack.
Sicherheit trotz knappem IT-Budget
Je nach Größe haben Unternehmen unterschiedliche Anforderungen an SecS und ziehen verschiedene Vorteile aus SaaS-Lösungen. Insbesondere kleine und mittelständische Firmen profitieren von SaaS im Vergleich zum Einsatz traditioneller IT-Produkte, weil sie über weniger Mittel für IT-Investitionen verfügen. Außerdem besitzen sie oft nicht genug Personal und Kompetenz, um den auf dem Markt herrschenden Standard zu erreichen.
Übertragen auf SecS, also Sicherheitsdienste aus der Cloud, begründet sich der Vorteil konkret dadurch, dass der marktübliche Technologiestandard implementiert wird. Dies gewinnt speziell vor dem Hintergrund an Bedeutung, dass mittelständische Unternehmen oftmals Marktnischen besetzen und - nicht selten als Weltmarkführer - besonders vor Wirtschaftsspionage und Industriespionage schützenswerte Konzepte entwickeln und verwenden.
Mehr Sicherheitswissen durch Gefahren-Know-how
Die Kernkompetenz von SecS-Anbietern ist natürlich Sicherheit, während Anwenderunternehmen das Thema Security häufig nur als Kostenfaktor ansehen. Ein Vorteil der Kunden ist, dass Anbieter von SecS-Lösungen nur dann langfristig profitabel und überlebensfähig sein können, wenn sie den Sicherheitsanforderungen der Kunden genügen. Da die SecS-Provider aber die Sicherheitsbedrohungen vieler unterschiedlicher Kunden aufzeichnen und diese auch abwehren können müssen, besitzen sie in der Regel ein umfassendes Sicherheits-Know-how. Hier können einzelne Unternehmen, insbesondere kleine und mittelständische, nicht mit vertretbarem Aufwand mithalten.
Hoher Sicherheitsstandard durch Security-as-a-Service
Der Bezug von SaaS-Produkten an Stelle von Investitionen in traditionelle IT-Systeme erhöht also die Kostenflexibilität. Anstatt langfristig gebundene Mittel (Capital Expenditure = Capex) in klassische Sicherheitslösungen wie zum Beispiel Lizenzen für Sicherheitssoftware zu investieren, fallen beim Einsatz von SecS ausschließlich variable Kosten, also Opex (Operating Expenditure), für die genutzten Sicherheitsfunktionen an. Vor allem für kleine und mittelständische Betriebe wären die Kosten für die Gewährleistung eines hohen Sicherheitsstandards unverhältnismäßig groß. Kapazitäten, die für diese Bereiche aufgewendet werden müssen, können beim Bezug von SecS anderweitig investiert werden.
Schneller Rollout und Sicherheit on Demand
Neben Kosten spielen auch Zeitaspekte eine wichtige Rolle im Vergleich von traditionellen IT-Lösungen und SaaS-Anwendungen. Der Application-Rollout von SaaS ist gegenüber traditionellen On-Premise-Lösungen deutlich schneller. Im speziellen Fall von SecS werden einem Unternehmen die benötigten Sicherheitsfunktionen via Internet umgehend bereitgestellt. Dies ermöglicht Konsumenten, zusätzliche Ressourcen nicht nur sofort, sondern auch zeitlich beschränkt und projektbezogen (Business Alignment) zu beziehen.
Sicherheitsfunktionen können zum Beispiel flexibel zu- oder abgeschaltet werden. Die Time-to-Market gewinnt im Hinblick auf Sicherheitsanwendungen zusätzlich an Bedeutung, wenn neue Anwendungs-Releases mit innovativen Weiterentwicklungen von Sicherheitsfunktionen erscheinen oder wenn Veränderungen der Bedrohungslage wie zum Beispiel Malware, DoS-Angriffe und Spoofing bekannt werden.
SecS gewähren stets Aktualität und Stabilität
Dabei nehmen SecS-Anbieter notwendige Änderungen wie Patches, Updates und Upgrades umgehend vor, und ein Konsument nutzt zwangsläufig die aktuelle und stabilste Fortentwicklung einer Sicherheitsanwendung. Insofern wird immer der höchstmögliche Sicherheitsstandard des Konsumenten gesichert, ohne dass dieser Aktualisierungen selbst ausführen muss. Im Hinblick auf kleine und mittelständische Firmen ist dies besonders relevant, da diese wie erwähnt in der Regel nicht über ausreichend Personal und Kenntnisse zur Erfüllung dieser Aktivitäten verfügen.
Konflikt zwischen SaaS-Standards und proprietärer IT
Allerdings bergen SecS-Anwendungen (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download) für kleine Betriebe und Mittelständler als Konsumenten nicht nur Vorteile, sondern auch Risiken. SaaS ist stark standardisiert und kann daher mitunter nur eingeschränkt in eine proprietäre Unternehmens-IT eingefügt werden. Konkret zeichnet sich dies in der fehlenden Kompatibilität mit individuellen IT-Lösungen im Unternehmen ab. Für SecS-Anwendungen ergibt sich daraus die Gefahr, dass die eingeschränkte Kompatibilität mit bestehenden, traditionellen Anwendungen nur eine ungenügende Erfüllung der benötigten Sicherheitsanforderungen gewährleisten kann.
Kompromittierte Anwenderdaten hebeln SecS-Schutz aus
Im Gegensatz zu traditionellen IT-Lösungen werden die Anwendungsdaten wie zum Beispiel Log-Dateien und Konfigurationseinstellungen beim Bezug von SaaS nicht im Unternehmen verwaltet. Deren Management und Speicherung übernimmt der SaaS-Anbieter, woraus sich speziell im Rahmen von SecS erhebliche Gefährdungen ergeben können. Dabei können Angreifern durch eine Offenlegung von Zugangs- sowie Anwendungsdaten wie zum Beispiel die Konfigurationseinstellung einer Web-Application- Firewall besonders kritische Informationen zugänglich werden. Dies würde im Extremfall ein komplettes Aushebeln des durch SecS bezogenen Schutzes bedeuten und damit schwerwiegende Konsequenzen für betroffene Unternehmen zur Folge haben.
Sicherheitsverlust bei Netzausfall oder -schwankungen
Ein weiteres Risiko verbirgt sich in der Verfügbarkeit und Performance von SaaS. Die Verfügbarkeit einer Anwendung hängt auch von der Internet-Anbindung, das heißt dem TK-Netzbetreiber, ab. Auf dessen Zuverlässigkeit hat der SaaS-Anbieter keinen Einfluss. Besonders im Rahmen von SecS kann eine unsichere Verfügbarkeit des Sicherheitssystems für den Konsumenten fatal sein, da Sicherheitsfunktionen für das Unternehmen dann nicht mehr bereitgestellt und genutzt werden können. Neben einem Totalausfall der Netzinfrastruktur des TK-Providers wirken sich auch Schwankungen negativ auf die verfügbare Performance von SaaS-Anwendungen und damit auch von SecS aus. Dabei besteht das Risiko, dass die verfügbare Leitung einer SecS-Applikation nicht ausreicht, um einer aufgetretenen Bedrohung entgegenzuwirken.
Single-Point-Attacken sorgen für indirekte Bedrohung
Ein weiteres Risiko ergibt sich aus Single-Point-Attacken, denen SaaS-Anbieter ausgesetzt sind. Ein erfolgreicher Angriff auf einen Anbieter wirkt sich zwangsläufig auf dessen Kunden aus und bedroht unmittelbar sein Kerngeschäft. Aus diesem Grund ist der Anreiz für einen potenziellen Angreifer groß. Aus Konsumentensicht hat dieses Risiko zwei Facetten: Zum einen sehen sie sich indirekt mit einer höheren Anzahl an Angriffen konfrontiert, zum anderen können bestimmte Angriffe wie zum Beispiel Denial-of-Service-Attacken auf den Anbieter den Ausfall einer SaaS-Anwendung bewirken. In Bezug auf SecS führt dies im ersteren Fall zur Offenlegung sensitiver Daten, deren Konsequenzen bereits erwähnt wurden. Im letzteren Fall ergeben sich aus Konsumentensicht dieselben Konsequenzen wie beim Ausfall des Netzbetreibers.
Fazit: Wo SecS-Anwendungen Sinn geben
Security-as-a-Service ist nicht die richtige Wahl für jedes Unternehmen und für jede benötigte Sicherheitsfunktion. Es müssen auch nicht zwangsläufig ausschließlich On-Premise-Lösungen, also Vor-Ort Schutzmaßnahmen oder SecS-Lösungen, eingesetzt werden, denn auch eine Mischung dieser beiden Modelle kann von Vorteil sein. Dabei werden die Flexibilität groß und die Kosten gering gehalten sowie Compliance gewährleistet.
Ausbaufähiges Angebot an spezialisierten SecS-Anwendungen
Derzeit sind SecS vergleichsweise gering verbreitet, was unter anderem in unzureichender Spezialisierung der Angebote (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download) resultiert. Aus diesem Grund empfiehlt sich SecS bisher vor am meisten für standardisierbare Aufgaben, die nur minimal individuell konfiguriert und kontrolliert werden müssen.
Aussichtsreich ist der Einsatz von SecS in folgenden Bereichen:
-
Schwachstellenbewertung (Vulnerability Assessment),
-
Nachrichtensicherheit und Web-Anwendungssicherheit sowie
-
Informationssicherheit und Log-Management.
Auf die SecS-Marktreife der Sicherheitsanbieter achten
Ferner ist nicht jede SecS-Lösung gleichermaßen empfehlenswert. Hier muss der Konsument die Sicherheitsfunktionen der jeweiligen Anbieter beurteilen. Besonders wichtig ist der Reifegrad einer Technik. Vorzugsweise gilt es, Anbieter von Sicherheitslösungen auszusuchen, die längerfristig am Markt mit On-Premise- sowie On-Demand-Angeboten präsent und erfolgreich sind, wie zum Beispiel McAfee oder AVG. In diesem Fall können SecS mit proprietären Lösungen kombiniert und Lock-in-Effekte vermieden sowie zwischen den beiden Ansätzen variabel gewichtet werden.
Service-Level-Agreements vertraglich vereinbaren
Nach der Entscheidung, SecS zu beziehen, sollten Unternehmen unbedingt Service-Level- Agreements (SLA) mit den SecS-Anbietern vereinbaren. Werden verabredete SLAs im Einzelfall nicht erfüllt, kommt es zu einer finanziellen Kompensation des Ausfalls, die in den SLAs festgelegt ist. Die SLAs ermöglichen es den Konsumenten, die Sicherheitsleistungen der Provider anhand festgelegter Messwerte wie zum Beispiel der Zahl der abgewehrten Angriffe zu quantifizieren und zu beurteilen.
SecS-Anwendungen werden über das Internet bezogen, somit ist eine zuverlässige und performante Netzanbindung von großer Bedeutung. Die Auswahl des passenden Netzbetreibers bildet einen kritischen Erfolgsfaktor für SecS. Um sich gegen das Risiko unzureichender Verfügbarkeit abzusichern, sollten Konsumenten zudem SLA-Vereinbarungen mit dem TK-Provider abschließen.
Die Spezialisierung und Verbreitung von SecS schreitet weiter fort. In Zukunft wird die ganze Bandbreite an Sicherheitsfunktionen als Service für Unternehmen bereitgestellt werden. Um die entstehende Vielfalt an SecS-Angeboten effektiv und effizient im Unternehmen einzusetzen, entwickelt das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) Konzepte zur
-
Evaluierung,
-
Konfiguration und
-
Auswahl geeigneter SecS-Lösungen für das Unternehmen.
Marktübersicht Security-as-a-Service-Anbieter zum Download
Eine Tabelle mit Anbietern von Security-as-a-Service-Lösungen können Sie mit einer kurzen Beschreibung der Produkte sowie ihrer Sicherheitsfunktionen hier als PDF-Dokument herunterladen. (pg)