MEHR ALS verdreifachen könnte sich in den nächsten sieben Jahren der Umsatz aus dem Geschäft mit Security-Dienstleistungen. Einer Studie von Frost & Sullivan zufolge soll der Markt in Europa von 73 Millionen Dollar 2001 auf 250 Millionen Dollar 2008 wachsen. Auf den ersten Blick spricht viel für das Outsourcing sicherheitsrelevanter Aufgaben. Kleine und mittlere Firmen, denen qualifizierte Spezialisten fehlen, können damit ihre Security verbessern und gleichzeitig IT-Ressourcen für das Kerngeschäft freisetzen. Zudem gilt ein auf dedizierte Aufgaben spezialisierter Provider als kostengünstiger - speziell bei Services, die den Einsatz von Personal an allen Tagen der Woche rund um die Uhr erfordern („24x7“).
Die Realität sieht offenbar anders aus. Laut Stefan Strobel, Geschäftsführer der Unternehmensberatung Cirosec, sind viele MSS-Leistungen nicht kundengerecht oder schlicht überflüssig. So beschränke sich das Firewall-Monitoring oft auf die Aufzeichnung relevanter Logfiles. Da ein Alarm jedoch nur bei gescheiterten Angriffen ausgelöst werde, sei dieses Verfahren ungeeignet, um erfolgreiche Attacken zu erkennen. Und selbst wenn der Provider einen Angriff ausgemacht habe, seien seine Reaktionsmöglichkeiten begrenzt. Meist würden nur neue Regeln eingefügt, um weitere Aktionen des Angreifers von seiner Quelladresse zu blockieren. „Von anderen Adressen aus kann der Hacker aber weitermachen“, so Strobel.
Eine Frage des Vertrauens
Ein weiterer Grund für die dürftige Akzeptanz von Security Services ist das mangelnde Vertrauen in die Anbieter. Viele Firmen in Europa haben Bedenken, ihre geschäftskritischen Systeme und personenbezogenen Daten einem externen Dienstleister zu überlassen. Tom Scholtz, Analyst bei der Meta Group, rät daher, nicht die komplette IT-Sicherheit aus der Hand zu geben. „Die Entscheidungsprozesse müssen im Haus bleiben“, so der Experte.
Laut Strobel steht das Ergebnis dann aber oft nicht mehr im Verhältnis zum Aufwand. Beispiel Firewall-Management: Bei häufigen Änderungen hänge das Gros der erforderlichen Maßnahmen von internen Entscheidungen ab, während auf die Ausführung nur der letzte Schritt entfalle. „Viele Dienste bringen daher weder den erhofften Kostenvorteil noch mehr IT-Sicherheit“, fasst der Berater zusammen.
Die Skepsis gegenüber MSS-Dienstleistern sei aber auch wegen der oft mangelnden Professionalität berechtigt: „Viele Anbieter gehen recht hemdsärmelig an die Sache heran“, hat Strobel beobachtet. Der Grund: Speziell kleinere Provider hätten Probleme, erfahrene Mitarbeiter zu finden und entsprechend zu bezahlen. Nicht selten beschäftigten sie daher Studenten und Umschüler vom Arbeitsamt. Vor allem der Schichtdienst schreckt von der Tätigkeit bei einem MSS-Provider ab, so Strobel. „Die guten Leute haben es nicht nötig, sich auf Verträge einzulassen, die ihnen regelmäßige Nachtschichten vorschreiben.“ Bei den schwarzen Schafen der Branche sei das Data-Center während der Nacht sogar überhaupt nicht besetzt. „Da kommt dann ab und zu ein Wachmann vorbei und schaut nach, ob irgendwo eine Alarmlampe leuchtet.“ Manche Rechenzentren seien regelrechte Attrappen, „was der Kunde nie merkt, da er den Raum aus Sicherheitsgründen nicht betreten darf“. Nach Ansicht von Scholtz ist die Zurückhaltung gegenüber MSS aber auch auf die knappen IT-Security-Budgets zurückzuführen. Das Sicherheitsbewusstsein sei zwar in Europa recht hoch. „An Maßnahmen, die über die Basisversorgung hinausgehen, wird momentan jedoch gespart, und das trifft die externen Anbieter empfindlich.“
Hinzu kommt, dass immer mehr Unternehmen aus unterschiedlichen Bereichen ins MSS-Geschäft drängen - etwa Systemintegratoren und IT-Dienstleister sowie Hersteller von Sicherheitssoftware und TK-Anbieter. Der zersplitterte Markt und die wenig transparenten Angebote schrecken die ohnehin skeptischen Anwender zusätzlich ab.
Scholtz geht dennoch davon aus, dass der MSS-Markt wachsen wird - wenn auch nur moderat. Die Anwender hätten keine andere Wahl, als bestimmte Bereiche ihrer IT-Security auszulagern, da ihnen die Ressourcen im eigenen Haus fehlten. „Speziell bei 24x7-Aufgaben ist Outsourcing die einzige Alternative“, so der Analyst. Nach Einschätzung von Strobel schrumpft der Markt dagegen eher.
Der Markt konsolidiert
In Europa deutet vieles darauf hin, dass sich die Erwartungen an MSS nicht erfüllt haben. Angesichts der mangelnden Akzeptanz und des wachsenden Wettbewerbsdrucks gilt eine Marktbereinigung als unvermeidlich. Während Frost & Sullivan internationalen MSS-Anbietern wie Activis und Ubizen relativ gute Chancen ausrechnet, können kleine, lokale Provider die hohen Personal- und Rechenzentrumskosten mittelfristig nicht auffangen.
Gute Perspektiven im MSS-Markt haben laut Strobel Carrier: „Telcos müssen schon von Gesetzes wegen sehr hohe Sicherheitsstandards erfüllen und eine ausgereifte Infrastruktur bieten.“ Nach Ansicht von Scholtz werden aus der Konsolidierung vor allem etablierte Firmen hervorgehen, die MSS als Zusatzgeschäft betreiben und dank langjähriger Kundenbeziehungen einen Vertrauensvorschuss genießen - etwa IBM Global Services, CSC, T-Systems oder Internet Security Systems (ISS).