Gehostete Lösungen für den Mittelstand
"Seitdem die IT-Budgets nicht mehr steigen, verzeichnen wir ein steigendes Interesse an gehosteten E-Mail-Lösungen", sagt Jörg Heckwolf, Solution Manager IT-Security beim Systemhaus Controlware. In gehosteten E-Mail-Sicherheitslösungen steht die Hard- und Software beim Service-Provider. Er ist dafür zuständig, dass die Systeme stets auf dem neuesten Stand sind und dass aktuelle Malware-Signaturen eingespielt sowie Spam-Quellen geblockt werden. Alle E-Mails, die ein Unternehmen sendet oder empfängt, werden über die Server des Dienstanbieters geleitet und dort überprüft. Diese Systeme stehen in der Regel in Rechenzentren des Providers.
Checkliste E-Mail-Sicherheitsservices
1. Wie hoch ist das E-Mail-Aufkommen, das der Anbieter durch seine Systeme schleust? Je höher die Zahl der überprüften E-Mails, desto größer ist die Wahrscheinlichkeit, dass der Anbieter Spam- oder Virenwellen frühzeitig erkennt.
2. Welche anderen Security-Dienste stellt der Provider bereit? Je mehr Know-how ein Anbieter im Bereich IT-Sicherheit hat, desto besser. Zudem kann der Anwender dann notfalls ergänzende Security-Angebote ordern, ohne den Provider zu wechseln.
3. Stammen die Techniken, die der Provider einsetzt, aus eigener Entwicklung, oder hat er sie als OEM-Partner zugekauft? Firmen, die eigene Produkte einsetzen, haben die Kontrolle über die Weiterentwicklung der Hard- und Software.
4. Enthält das Service-Level-Agreement des Providers Aussagen über zentrale Punkte? Dies sind die Verfügbarkeit des Dienstes, die Effizienz der Anti-Spam-Maßnahmen, die Zahl der versehentlich als Spam eingestuften E-Mails (False Positives), die Effizienz des Virenschutzes und die Verzögerungszeiten bei der Weiterleitung von Kunden-E-Mails, die durch den Prüfvorgang anfallen.
5. Welche Vergütungen bietet der Provider für den Fall an, dass er ein SLA nicht einhalten kann? Anbieter, deren Serviceangebot auf wackligen Füßen steht, werden dem Anwender keine Rückerstattung von Gebühren für den Fall anbieten, dass der Service nicht in der vereinbarten Qualität erbracht wird.
Die Anbieterszene für Hosted-E-Mail-Security hat sich in den vergangenen zwei Jahren enorm vergrößert. Spezialanbieter wie Messagelabs, Postini oder Retarus haben Konkurrenz von den Herstellern von Antivirus- und Anti-Spam-Software bekommen. Zu den bekanntesten Firmen aus diesem Bereich zählen Symantec, das sich Messagelabs einverleibte, Trend Micro, McAfee und Kaspersky. Die Anbieter bauen auf Basis von Software-as-a-Service-Modellen (SaaS) und Messaging-Services ihre Produktspektren aus, um schrumpfende Margen im Geschäft mit Sicherheitssoftware auszugleichen.
Anwender verlieren Know-how
Für Mittelständler haben solche Dienste einen gewissen Reiz: "Gehostete E-Mail-Sicherheitsdienste machen die Kosten transparent", erläutert Controlware-Manager Heckwolf. "Das gefällt den Finanzchefs." In der Regel wird ein solcher Service auf Basis der betreuten Anwenderzahl abgerechnet. Pro Arbeitsplatz fallen je nach Umfang der genutzten Dienstleistungen ungefähr zwischen zwei und fünf Euro im Monat an.
In diesem Modell müssen sich Anwender weder um die Anschaffung noch den Betrieb der E-Mail-Security-Infrastruktur kümmern. Die Kosten sind kontrollierbar und kalkulierbar, weil feste Monats- oder Jahresgebühren vereinbart wurden. Sollte die Zahl der Anwender zunehmen oder durch Entlassungen schrumpfen, lässt sich der Servicevertrag mit dem Anbieter relativ einfach anpassen. Es entstehen keine versteckten Kosten durch unter- oder überdimensionierte Hardware oder ungenutzte Softwarelizenzen.
Doch der Ansatz hat auch Nachteile: Der Anwender wird in einem gewissen Maß von seinem Service-Provider abhängig. "Ein schneller Anbieterwechsel funktioniert in der Regel nicht", warnt Heckwolf. Im Outsourcing von E-Mail-Sicherheitsservices sei es wichtig, dass die Rahmenbedingungen in einem Service-Level-Agreement (SLA) fixiert sind. Diese Vereinbarung legt fest, welche Dienstgüte ein Service-Provider zu liefern hat, also wie viel Prozent der Spam-E-Mails erkannt werden müssen, wie lange die Reaktionszeit bei Problemen sein darf und welches E-Mail-Aufkommen gefiltert wird. Es gibt jedoch keine Garantie, dass dieser Vertrag alle Aspekte beinhaltet und von Anwendern professionell abgewickelt wird. Mitunter muss hier Lehrgeld gezahlt werden.