CW: Security as a Service, also die Miete von Security-Lösungen nach dem Vorbild von SaaS, wird oft in einem Atemzug mit Managed Security Services, kurz MSS, genannt. Beide Modelle lassen sich schwer voneinander abgrenzen. Wollen Sie es versuchen?
Foto: Computacenter
ROECHER : Beides sind extern erbrachte IT-Sicherheitsdienste. Der Unterschied besteht vor allem in der Art und Weise, wie die Angebote angefordert und die Security-Level-Agreements definiert werden: Dem klassischen Managed Service geht meist eine Ausschreibung voraus, in der der Anwender seine Leistungsanforderungen und SLAs vorgibt. Auf deren Basis wird dann für den Kunden ein Angebot zugeschnitten. Bei Security as a Service dagegen stellt der Provider standardisierte Dienste zur Verfügung, die der Anwender praktisch sofort in Anspruch nehmen kann. Die Kosten beruhen auf einer Art Verbrauchsabrechnung, also vorab definierten und daher gut kalkulierbaren Fixkosten. Der Zugriff auf die gebuchten Dienste und Lösungen erfolgt in der Regel über einen Browser, auf den Endgeräten des Kunden muss also nichts installiert werden. Der Provider hat die komplette Security-Infrastruktur bei sich aufgebaut, die für den Rundumschutz der Unternehmensdaten erforderlich ist, und der Kunde nimmt selektiv nur die Services in Anspruch, die er tatsächlich benötigt. Der Security-as-a-Service-Ansatz ist also umkompliziert und kundenfreundlich.
CW: Bietet das Modell für den Anwender noch andere Vorteile?
ROECHER: Ja, ein weiterer Mehrwert liegt darin, dass der Anbieter seine Infrastruktur für viele Unternehmen gleichzeitig nutzt. Dadurch kann er die Services nicht nur kostengünstig anbieten, sondern auch ein breit angelegtes Know-how aufbauen, von dem auch der Kunde profitiert. So werden etwa Probleme, die der Provider bei einem Anwender erkannt und behoben hat, beim nächsten Kunden durch präventive Maßnahmen von vorneherein ausgeschlossen.
Voraussetzungen für Security as a Service
CW: Welche Voraussetzungen müssen IT-Sicherheitsprodukte erfüllen, damit Security as a Service überhaupt funktioniert?
ROECHER: Sie müssen bestimmte funktionale Anforderungen erfüllen - etwa Mandantenfähigkeit, um mehrere Kunden gleichzeitig auf dem Produkt abbilden zu können. Hier kommt es darauf an, dass der Anbieter für eine strikte Trennung der Daten sorgt. Weitere Standardanforderungen sind Hochverfügbarkeit sowie Backup- und Disaster-Recovery-Funktionen. Zudem muss die Lösung eine Methode zur Leistungsabrechnung unterstützen, damit die laufenden Prozesse erfassbar und darstellbar sind. Unabdingbar ist auch eine komfortable Schnittstelle, über die der Anwender seine gewünschten Module selbst konfigurieren und einstellen oder sein Abonnement ändern, erweitern und einschränken kann. Dadurch hat er immer Einblick in den aktuellen Verbrauch, also in die laufenden Kosten. Großen Wert legen die Kunden zudem darauf, dass es sich um bekannte Security-Produkte von renommierten Herstellern handelt. Exotische Lösungen sind für den Einsatz im Security-as-a-Service -Umfeld weniger geeignet.
CW: Und welche Anwendungen kommen in Frage?
ROECHER: Potenziell eignet sich alles, was mit Verkehrsströmen in und aus dem Internet zu tun hat - allem voran der E-Mail-Verkehr - "as a Service". Auch das Absichern von http-Verkehr, einfaches Virenscanning oder das komplette Auslagern der externen Firewall als Sicherheitsdienstleistung sind denkbar und sinnvoll. Ich denke, dass wir hier noch einige interessante Angebote sehen werden. Das Ende der Fahnenstange ist noch lange nicht erreicht.
CW: Wie funktioniert die konkrete Umsetzung für den Anwender? Tatsächlich so einfach wie ein Abo?
ROECHER: Ja, der Kunde abonniert verschiedene Services, die in der Regel pro User beziehungsweise nach dem jeweiligen Datenvolumen erbracht und abgerechnet werden. Die Optionen sind vielfältig, und der Anwender kann flexibel und modular festlegen, ob er neben der Prüfung des http-Verkehrs auch noch einen Schutz vor Schadsoftware abonnieren, Security-Policies für Websites einführen oder ausschließlich E-Mail-Daten sichern will. Die Nutzung der einzelnen Module lässt sich jederzeit "an- oder ausschalten", und die entsprechenden Änderungen werden sofort ersichtlich - sowohl in der Leistungserbringung als auch in der Abrechnung.
SaaS-Gedanke braucht Akzeptanz
CW: Trotz der einfachen Handhabung hat sich der Security-as-a-Service-Gedanke noch nicht auf breiter Ebene durchgesetzt. Warum?
ROECHER: Mittelständler und Familienunternehmen, die zu den Kernzielgruppen für Security-Outsourcing zählen, haben traditionell Bedenken gegenüber dem Abgeben von Kompetenzen und tun sich schwer mit der Öffnung ihrer Grenzen für Dritte. Und das ist natürlich Voraussetzung, um externe Dienstleitungen in Anspruch zu nehmen. Der Mittelstand fühlt sich mit klassischen Lösungen - etwa der Absicherung über ein Partnerprogramm - wohler. Dabei könnte er in besonderem Maße von Security-as-a-Service-Lösungen profitieren.
CW: Warum gerade der Mittelstand?
ROECHER: Mittelgroße Unternehmen haben meist nicht den erforderlichen Organisationsgrad und das Fachwissen, um die geforderten Security-Leistungen effizient zu erbringen. Das fehlende Know-how intern aufzubauen, Technik einzukaufen und Personal bereitzustellen, ist teuer und oft langwierig. Von einem externen, erfahrenen Service-Provider dagegen erhält der Anwender in der Regel für das gleiche oder sogar deutlich weniger Geld eine bessere Leistung. Interessant gerade für den Mittelstand ist zudem die Verschiebung von fixen Investitionen in die eigene Infrastruktur zugunsten von laufenden, variablen Dienstleistungskosten. Diese sind zum Zeitpunkt ihrer Entstehung - also nicht über eine definierte, lange Laufzeit - voll abzugsfähig. Security as a Service ist also nicht zuletzt auch ein die Liquidität schonender Ansatz, der sich positiv auf die Bilanz auswirkt. Das ist zwar nur ein Nebeneffekt, aber in der derzeit schwierigen wirtschaftlichen Lage nicht zu unterschätzen. Der eigentliche Reiz des Modells liegt aber ganz klar in der potenziellen Verbesserung der Leistungsfähigkeit des Unternehmens.
CW: Wie kann Security as a Service die Geschäftseffizienz denn erhöhen?
ROECHER: Der typische Mittelständler kann inhouse kaum ein qualitativ so hochwertiges und zuverlässiges E-Mail-Filterungssystem realisieren wie etwa Symantec oder Postini. Und er kann für sein Rechenzentrum nicht die gleiche Hochverfügbarkeit sicherstellen wie ein externer Spezialist. Ein versierter Dienstleister, der diese Qualitäten vergleichsweise günstig zur Verfügung stellt, steigert die Geschäftseffizienz des Kunden. Das gilt sowohl für Managed Services- als auch für Security-as-a-Service-Lösungen. Der Anwender muss weder interne Ressourcen noch Kapital binden. Zudem bleibt er flexibel und technisch auf dem neuesten Stand.
Bedenken ausräumen
CW: Aber wie beurteilen Sie die Bedenken zahlreicher Anwender, zu viele Interna preis zu geben. Sind die Ihrer Meinung nach unbegründet?
ROECHER: Natürlich nicht. Die Bedenken sind da, und die Hersteller und Dienstleister müssen damit adäquat umgehen. Aber die Sorgen der Anwender beruhen meiner Ansicht nach eher auf einem unbestimmten Bauchgefühl, als auf rationalen Erwägungen. In der digitalen Welt von heute geht es ja nicht mehr um einige wenige Geschäftsinformationen, die man schützen muss, sondern um Massen von Daten. Vielleicht entsteht dadurch der Eindruck, man gäbe vieles preis, ließe man die Informationen extern auf eventuelle Gefahren prüfen. Dass aber Hunderttausende von ein- und ausgehenden E-Mails verschickt werden und damit auch einsehbar sind, dass sie kopiert, gespeichert, verändert und mitgelesen werden und es zahlreiche Zugriffsmöglichkeiten auf die Systeme gibt, wird dabei wenig bedacht. Die tatsächliche Bedrohung dürfte sich eher verringern, wenn ein spezialisierter Dienstleister mit geschultem und vertraglich verpflichtetem Personal die E-Mails auf Viren und Würmer hin untersucht. Wer dennoch zweifelt, kann eine Risikoanalyse durchführen - und die wird seine Bedenken mit Sicherheit entkräften.
CW: Gibt es eine Faustregel, wann ein Mittelständler auf Security as a Service setzen sollte - und wann eher nicht?
ROECHER: Das hängt in erster Linie von den Kosten der Lösungen ab. Aber wenn sich die Betriebskosten der IT-Sicherheit damit signifikant senken lassen - auch bei schwankenden Nutzerzahlen -, ist Security as a Service grundsätzlich zu empfehlen. Aber auch Unternehmen, denen das Thema IT-Sicherheit über den Kopf wächst, die selbst den Betrieb von Basis-Services wie E-Mail nicht im Griff haben, sollten über externe Services nachdenken. Denn gerade für Mittelständler, deren höchstes Geschäftsgut ja oft aus schützenswerten Konstruktionsplänen, Rezepturen oder Produktbeschreibungen besteht, können Bedrohungen durch Datenverlust oder Datendiebstahl die Existenz gefährden. Abraten würde ich vom Outsouricng nur, wenn im Unternehmen Verpflichtungen oder Sicherheitsauflagen bestehen, die eine externe Lösung nicht erfüllen kann. Aber das gilt eigentlich nur für spezielle Behörden und Geheimdienste. (ph)