Pro und kontra Security-as-a-Service

Cloud Computing verspricht einen technischen Paradigmenwechsel, der die Nutzung von IT-Diensten revolutioniert. Software-as-a-Service (SaaS) ist dabei ein Dienstleistungs- und Bereitstellungsmodell, das Kunden ermöglicht, Standardsoftware über das Internet zu nutzen, ohne sie auf eigenen Rechnern zu installieren. Eine konkrete Ausprägung von SaaS stellt Security-as-a-Service (SecS) dar. SecS-Produkte liefern Sicherheitsfunktionen, die von einem oder mehreren Anbietern verwaltet und bereitgestellt werden. Ein Provider hält dabei die benötigte Sicherheitstechnik als Service zentral zur Verfügung, die mehrere Konsumenten je nach Bedarf beziehen und bezahlen können (Pay as you go).

Ausgehend vom Vergleich zwischen IT-Miet- und Servicelösungen und traditionellen IT-Lösungen sollen in diesem Beitrag die Chancen und Risiken von SecS für kleine und mittelständische Unternehmen näher beleuchtet werden. Unter traditionellen Sicherheitslösungen werden hier unternehmensintern realisierte Anwendungen verstanden. Klassisches Outsourcing von IT-Sicherheitslösungen durch Managed Security Service Provider (MSSP) fällt nicht darunter. Daran anknüpfend werden konkrete SecS-Lösungen samt Anbietern in ein Schichtenmodell eingeordnet und deren Sicherheitsfunktionen näher beschrieben (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download). Abschließend skizziert der Beitrag Handlungsempfehlungen für Konsumenten, die sich auf den Status quo anwenden lassen.

Chancen und Risiken von SecS

Wenn man Chancen und Risiken von SecS beleuchtet, muss das Augenmerk unter anderem auf folgende Aspekte gerichtet werden, die aus Konsumentensicht potenzielle Vorteile bergen:

• Implementierung marktüblicher Technikstandards,

• Sicherheit als Kernkompetenz von SecS-Anbietern,

• Erhöhung der Kostenflexibilität sowie

• Application-Rollout, Business Alignment und kürzere Time-to-Market.

Zum anderen gilt es aber auch, einen Blick auf die Risiken zu werfen, die dem Konsumenten beim Einsatz von SecS drohen:

• Kompatibilität von SecS mit proprietären IT-Lösungen,

• Verwaltung und Speicherung von Anwendungsdaten durch SecS-Anbieter,

• Verfügbarkeit und Performance sowie

• SecS-Anbieter als Single-Point-of-Attack.

Sicherheit trotz knappem IT-Budget

Je nach Größe haben Unternehmen unterschiedliche Anforderungen an SecS und ziehen verschiedene Vorteile aus SaaS-Lösungen. Insbesondere kleine und mittelständische Firmen profitieren von SaaS im Vergleich zum Einsatz traditioneller IT-Produkte, weil sie über weniger Mittel für IT-Investitionen verfügen. Außerdem besitzen sie oft nicht genug Personal und Kompetenz, um den auf dem Markt herrschenden Standard zu erreichen.

Übertragen auf SecS, also Sicherheitsdienste aus der Cloud, begründet sich der Vorteil konkret dadurch, dass der marktübliche Technologiestandard implementiert wird. Dies gewinnt speziell vor dem Hintergrund an Bedeutung, dass mittelständische Unternehmen oftmals Marktnischen besetzen und - nicht selten als Weltmarkführer - besonders vor Wirtschaftsspionage und Industriespionage schützenswerte Konzepte entwickeln und verwenden.

Mehr Sicherheitswissen durch Gefahren-Know-how

Die Kernkompetenz von SecS-Anbietern ist natürlich Sicherheit, während Anwenderunternehmen das Thema Security häufig nur als Kostenfaktor ansehen. Ein Vorteil der Kunden ist, dass Anbieter von SecS-Lösungen nur dann langfristig profitabel und überlebensfähig sein können, wenn sie den Sicherheitsanforderungen der Kunden genügen. Da die SecS-Provider aber die Sicherheitsbedrohungen vieler unterschiedlicher Kunden aufzeichnen und diese auch abwehren können müssen, besitzen sie in der Regel ein umfassendes Sicherheits-Know-how. Hier können einzelne Unternehmen, insbesondere kleine und mittelständische, nicht mit vertretbarem Aufwand mithalten.

Hoher Sicherheitsstandard durch Security-as-a-Service

Der Bezug von SaaS-Produkten an Stelle von Investitionen in traditionelle IT-Systeme erhöht also die Kostenflexibilität. Anstatt langfristig gebundene Mittel (Capital Expenditure = Capex) in klassische Sicherheitslösungen wie zum Beispiel Lizenzen für Sicherheitssoftware zu investieren, fallen beim Einsatz von SecS ausschließlich variable Kosten, also Opex (Operating Expenditure), für die genutzten Sicherheitsfunktionen an. Vor allem für kleine und mittelständische Betriebe wären die Kosten für die Gewährleistung eines hohen Sicherheitsstandards unverhältnismäßig groß. Kapazitäten, die für diese Bereiche aufgewendet werden müssen, können beim Bezug von SecS anderweitig investiert werden.

Schneller Rollout und Sicherheit on Demand

Neben Kosten spielen auch Zeitaspekte eine wichtige Rolle im Vergleich von traditionellen IT-Lösungen und SaaS-Anwendungen. Der Application-Rollout von SaaS ist gegenüber traditionellen On-Premise-Lösungen deutlich schneller. Im speziellen Fall von SecS werden einem Unternehmen die benötigten Sicherheitsfunktionen via Internet umgehend bereitgestellt. Dies ermöglicht Konsumenten, zusätzliche Ressourcen nicht nur sofort, sondern auch zeitlich beschränkt und projektbezogen (Business Alignment) zu beziehen.

Microsoft Security Essentials
Mit Microsoft Security Essentials steht allen Besitzern einer gültigen Windows-Installation ein kostenloser Basisschutz vor Malware zur Verfügung. Die Software richtet sich besonders an unerfahrene Anwender die bisher noch keinen oder nur wenig Kontakt zu Security-Software hatten. Microsoft Security Essentials überwacht im Hintergrund ob sich Schadsoftware auf dem PC befindet und nimmt gegebenenfalls Reinigungsaktionen vor.

Sophos Anti-Virus for Mac Home Edition
Sophos bietet seine Sicherheits-Software Anti-Virus for Mac Home Edition kostenlos für Privatanwender an und reagiert damit auf die zunehmende Bedrohung durch Mac-Viren. Das Anti-Malware-Programm läuft im Hintergrund und untersucht jede Datei beim Ausführen auf ihr etwaiges Risiko. Wurde Malware gefunden, so kann Sophos Anti-Virus for Mac Home Edition diese auch direkt entfernen oder in ein Quarantäneverzeichnis verschieben.

BitDefender Antivirus Pro 2011
Vergleicht man das Datenblatt gegenüber dem Vorgänger von BitDefender Antivirus Pro 2011, so fallen einige Verbesserungen auf. Beispielsweise hat nun auch in dieser Anti-Viren-Software die Cloud-Suche Einzug gehalten, was geringere Reaktionszeiten auf bislang unbekannte Malware verspricht. Weiterhin lässt sich die Benutzeroberfläche nun an individuelle Bedürfnisse anpassen und es können eigene Verknüpfungen zu häufig aufgerufenen Programmfunktionen angelegt werden.

Trend Micro Worry-Free Business Security Services
Trend Micro Worry-Free Business Security Services ist ein Komplettpaket für Unternehmen, die ihre IT-Sicherheit mit einem Hosted-Protection-Plan abdecken möchten. Besonders für kleine und mittelgroße Unternehmen eignet sich so ein Angebot, wenn sie kein eigenes Sicherheitssystem aufbauen können oder wollen, da Trend Micro die gesamte Wartung der Software-Basis übernimmt. Des Weiteren lässt sich die Lösung linear mit dem Unternehmenswachstum skalieren. Wird der Schutz für weitere Clients notwendig, können problemlos zusätzliche Lizenzen hinzugekauft werden.

Avira AntiVir Professional 10
Avira AntiVir erlangte besonders durch die kostenlose Version der Anti-Viren-Software Bekanntheit, die einen ausreichenden Standard-Schutz für Privatanwender bietet. Avira AntiVir Professional 10 adressiert Unternehmen mit einer gemischten IT-Infrastruktur und höheren Sicherheitsanforderungen als es für den Heimanwender üblich ist. Die Software liegt in einer Windows- sowie einer Linux-Version vor und bietet den Vorteil, dass eine Lizenz für alle Plattformen gültig ist.

F-Secure Anti-Virus 2011
Anti-Virus 2011 von F-Secure zeichnet sich durch seine klare Struktur und Benutzeroberfläche aus, die sich vor allem für Einsteiger anbietet. Zu den Schutzfunktionen gehören die üblichen Mechanismen wie eine Heuristik-Erkennung, Echtzeit-Überwachung verdächtiger Aktivitäten, Quarantäne-Funktion sowie eine Verhaltensanalyse. Eine Firewall besitzt F-Secure Anti-Virus 2011 indessen nicht, die Software ist eine reine Anti-Malware-Lösung.

Sicherheitsfunktionen können zum Beispiel flexibel zu- oder abgeschaltet werden. Die Time-to-Market gewinnt im Hinblick auf Sicherheitsanwendungen zusätzlich an Bedeutung, wenn neue Anwendungs-Releases mit innovativen Weiterentwicklungen von Sicherheitsfunktionen erscheinen oder wenn Veränderungen der Bedrohungslage wie zum Beispiel Malware, DoS-Angriffe und Spoofing bekannt werden.

SecS gewähren stets Aktualität und Stabilität

Dabei nehmen SecS-Anbieter notwendige Änderungen wie Patches, Updates und Upgrades umgehend vor, und ein Konsument nutzt zwangsläufig die aktuelle und stabilste Fortentwicklung einer Sicherheitsanwendung. Insofern wird immer der höchstmögliche Sicherheitsstandard des Konsumenten gesichert, ohne dass dieser Aktualisierungen selbst ausführen muss. Im Hinblick auf kleine und mittelständische Firmen ist dies besonders relevant, da diese wie erwähnt in der Regel nicht über ausreichend Personal und Kenntnisse zur Erfüllung dieser Aktivitäten verfügen.

Konflikt zwischen SaaS-Standards und proprietärer IT

Allerdings bergen SecS-Anwendungen (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download) für kleine Betriebe und Mittelständler als Konsumenten nicht nur Vorteile, sondern auch Risiken. SaaS ist stark standardisiert und kann daher mitunter nur eingeschränkt in eine proprietäre Unternehmens-IT eingefügt werden. Konkret zeichnet sich dies in der fehlenden Kompatibilität mit individuellen IT-Lösungen im Unternehmen ab. Für SecS-Anwendungen ergibt sich daraus die Gefahr, dass die eingeschränkte Kompatibilität mit bestehenden, traditionellen Anwendungen nur eine ungenügende Erfüllung der benötigten Sicherheitsanforderungen gewährleisten kann.

Kompromittierte Anwenderdaten hebeln SecS-Schutz aus

Im Gegensatz zu traditionellen IT-Lösungen werden die Anwendungsdaten wie zum Beispiel Log-Dateien und Konfigurationseinstellungen beim Bezug von SaaS nicht im Unternehmen verwaltet. Deren Management und Speicherung übernimmt der SaaS-Anbieter, woraus sich speziell im Rahmen von SecS erhebliche Gefährdungen ergeben können. Dabei können Angreifern durch eine Offenlegung von Zugangs- sowie Anwendungsdaten wie zum Beispiel die Konfigurationseinstellung einer Web-Application- Firewall besonders kritische Informationen zugänglich werden. Dies würde im Extremfall ein komplettes Aushebeln des durch SecS bezogenen Schutzes bedeuten und damit schwerwiegende Konsequenzen für betroffene Unternehmen zur Folge haben.

Sicherheitsverlust bei Netzausfall oder -schwankungen

Ein weiteres Risiko verbirgt sich in der Verfügbarkeit und Performance von SaaS. Die Verfügbarkeit einer Anwendung hängt auch von der Internet-Anbindung, das heißt dem TK-Netzbetreiber, ab. Auf dessen Zuverlässigkeit hat der SaaS-Anbieter keinen Einfluss. Besonders im Rahmen von SecS kann eine unsichere Verfügbarkeit des Sicherheitssystems für den Konsumenten fatal sein, da Sicherheitsfunktionen für das Unternehmen dann nicht mehr bereitgestellt und genutzt werden können. Neben einem Totalausfall der Netzinfrastruktur des TK-Providers wirken sich auch Schwankungen negativ auf die verfügbare Performance von SaaS-Anwendungen und damit auch von SecS aus. Dabei besteht das Risiko, dass die verfügbare Leitung einer SecS-Applikation nicht ausreicht, um einer aufgetretenen Bedrohung entgegenzuwirken.

Single-Point-Attacken sorgen für indirekte Bedrohung

Ein weiteres Risiko ergibt sich aus Single-Point-Attacken, denen SaaS-Anbieter ausgesetzt sind. Ein erfolgreicher Angriff auf einen Anbieter wirkt sich zwangsläufig auf dessen Kunden aus und bedroht unmittelbar sein Kerngeschäft. Aus diesem Grund ist der Anreiz für einen potenziellen Angreifer groß. Aus Konsumentensicht hat dieses Risiko zwei Facetten: Zum einen sehen sie sich indirekt mit einer höheren Anzahl an Angriffen konfrontiert, zum anderen können bestimmte Angriffe wie zum Beispiel Denial-of-Service-Attacken auf den Anbieter den Ausfall einer SaaS-Anwendung bewirken. In Bezug auf SecS führt dies im ersteren Fall zur Offenlegung sensitiver Daten, deren Konsequenzen bereits erwähnt wurden. Im letzteren Fall ergeben sich aus Konsumentensicht dieselben Konsequenzen wie beim Ausfall des Netzbetreibers.

Fazit: Wo SecS-Anwendungen Sinn geben

Security-as-a-Service ist nicht die richtige Wahl für jedes Unternehmen und für jede benötigte Sicherheitsfunktion. Es müssen auch nicht zwangsläufig ausschließlich On-Premise-Lösungen, also Vor-Ort Schutzmaßnahmen oder SecS-Lösungen, eingesetzt werden, denn auch eine Mischung dieser beiden Modelle kann von Vorteil sein. Dabei werden die Flexibilität groß und die Kosten gering gehalten sowie Compliance gewährleistet.

Anpassungsbedarf und -möglichkeiten
Kostenvorteile sind nur durch einen gemeinsamen, standardisierten Betrieb zu erzielen. Im Zuge der Produktauswahl muss geklärt werden, ob die Anforderungen mit den im System vorhandenen Anpassungsmöglichkeiten umgesetzt werden können. Programmatisches Customizing ist eher unüblich und darf nur erfolgen, wenn es den gemeinsamen Betrieb und die Wartung nicht verhindert.

Effizientes Identitäts-Management
Bei SaaS-Angeboten ist die Vergabe von individuellen Benutzerzugängen beim Anbieter der Regelfall. Nutzt ein Unternehmen Angebote verschiedener SaaS-Anbieter, müssen pro Mitarbeiter mehrere Accounts eingerichtet werden. Dies führt schnell zu Organisations- und Sicherheitsproblemen. Hier bietet sich eine Integration von SaaS-Single-Sign-on (SaaS-SSO) in das Intranet an. Dazu können SSO-Standards wie SAML oder Cryptotickets verwendet werden.

Usability der Benutzerschnittstelle
Web-Benutzerschnittstellen sind oft nicht so effizient und bequem zu bedienen wie lokal installierte Software. Mit Techniken wie Ajax oder auch nur Javascript können die meisten Web-Anwendungen allerdings für den normalen Anwender sinnvoll nutzbar gemacht werden. Dieser Aspekt sollte vor der Einführung bedacht werden.

Flexibilitäts- und Preis-Check des Mietvertrags
Ein schlechter Mietvertrag für die SaaS-Lösung kann die erhofften Flexibilitäts- und Preisvorteile schnell zunichtemachen. Im Vorfeld ist unbedingt zu prüfen, ob der Vertrag einen zeitnahen Auf- und Abbau von Kapazitäten erlaubt und ob die vertragliche Preisgestaltung die erwünschten Kosteneinsparungen bringt.

Technische Nutzungsvoraussetzungen
Effizientes verteiltes Arbeiten ist nur möglich, wenn die Anwendung tatsächlich über das öffentliche Internet nutzbar ist. Wenn einem nur kurzfristig aktiven, freien Mitarbeiter erst spezielle Hardware, wie zum Beispiel eine Virtual Private Network Box zur Verfügung gestellt werden muss, gehen Flexibilitäts- und Kostenvorteile verloren.

Tragfähige Konzepte für Sicherheit und Notfälle
Bei einem gehosteten Angebot muss der IT-Manager für alle möglichen Problemfälle einen „Plan B“ parat haben, um schnell reagieren zu können. Bedacht werden müssen Datenschutzproblematiken, Notfallpläne für den Netzausfall, und wie man bei einer Insolvenz des Anbieters an die gespeicherten Daten gelangt.

Ausbaufähiges Angebot an spezialisierten SecS-Anwendungen

Derzeit sind SecS vergleichsweise gering verbreitet, was unter anderem in unzureichender Spezialisierung der Angebote (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download) resultiert. Aus diesem Grund empfiehlt sich SecS bisher vor am meisten für standardisierbare Aufgaben, die nur minimal individuell konfiguriert und kontrolliert werden müssen.

Aussichtsreich ist der Einsatz von SecS in folgenden Bereichen:

• Schwachstellenbewertung (Vulnerability Assessment),

• Nachrichtensicherheit und Web-Anwendungssicherheit sowie

• Informationssicherheit und Log-Management.

Auf die SecS-Marktreife der Sicherheitsanbieter achten

Ferner ist nicht jede SecS-Lösung gleichermaßen empfehlenswert. Hier muss der Konsument die Sicherheitsfunktionen der jeweiligen Anbieter beurteilen. Besonders wichtig ist der Reifegrad einer Technik. Vorzugsweise gilt es, Anbieter von Sicherheitslösungen auszusuchen, die längerfristig am Markt mit On-Premise- sowie On-Demand-Angeboten präsent und erfolgreich sind, wie zum Beispiel McAfee oder AVG. In diesem Fall können SecS mit proprietären Lösungen kombiniert und Lock-in-Effekte vermieden sowie zwischen den beiden Ansätzen variabel gewichtet werden.

Service-Level-Agreements vertraglich vereinbaren

Nach der Entscheidung, SecS zu beziehen, sollten Unternehmen unbedingt Service-Level- Agreements (SLA) mit den SecS-Anbietern vereinbaren. Werden verabredete SLAs im Einzelfall nicht erfüllt, kommt es zu einer finanziellen Kompensation des Ausfalls, die in den SLAs festgelegt ist. Die SLAs ermöglichen es den Konsumenten, die Sicherheitsleistungen der Provider anhand festgelegter Messwerte wie zum Beispiel der Zahl der abgewehrten Angriffe zu quantifizieren und zu beurteilen.

SecS-Anwendungen werden über das Internet bezogen, somit ist eine zuverlässige und performante Netzanbindung von großer Bedeutung. Die Auswahl des passenden Netzbetreibers bildet einen kritischen Erfolgsfaktor für SecS. Um sich gegen das Risiko unzureichender Verfügbarkeit abzusichern, sollten Konsumenten zudem SLA-Vereinbarungen mit dem TK-Provider abschließen.

Die Spezialisierung und Verbreitung von SecS schreitet weiter fort. In Zukunft wird die ganze Bandbreite an Sicherheitsfunktionen als Service für Unternehmen bereitgestellt werden. Um die entstehende Vielfalt an SecS-Angeboten effektiv und effizient im Unternehmen einzusetzen, entwickelt das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) Konzepte zur

• Evaluierung,

• Konfiguration und

• Auswahl geeigneter SecS-Lösungen für das Unternehmen.

Marktübersicht Security-as-a-Service-Anbieter zum Download

Eine Tabelle mit Anbietern von Security-as-a-Service-Lösungen können Sie mit einer kurzen Beschreibung der Produkte sowie ihrer Sicherheitsfunktionen hier als PDF-Dokument herunterladen. (pg)