computerwoche.de

Archiv

Zurzeit geringe Nachfrage nach Security-Outsourcing

Hoffen auf bessere Zeiten

20.07.2001
Je mehr die IT zur Stütze der eigentlichen Geschäftstätigkeit wird, desto schwerer wiegt die Bedrohung durch Hacker, Viren und andere Angriffe auf die DV-Infrastruktur von innen oder außen. Doch Sicherheit ist teuer, so dass das Thema in wirtschaftlich flauen Zeiten schnell von der Liste gestrichen wird. Das spüren auch Security-Outsourcer, deren Geschäft noch nicht richtig in Schwung geraten will. Von Ariane Rüdiger*

Noch vor einigen Jahren erschien es vielen Unternehmen durchaus genug, eine Firewall zu besitzen, mittlerweile sind es oft schon mehrere. Entsprechend komplexer wird die Verwaltung der Security-Infrastruktur. Erschwerend kommt hinzu, dass sich die IT-Infrastruktur schnell verändert und deshalb immer mehr spezialisierte Security-Mechanismen nötig wären, die aber derzeit kaum jemand einsetzt: Je schneller neue Systeme in Betrieb gehen, desto schwieriger ist es, parallel die entsprechende Security-Infrastruktur aufzubauen. Eine aktuelle Studie der Meta Group konstatierte wenig verwunderlich, dass nur 59 Prozent der befragten, im E-Business aktiven Unternehmen eine IT-Sicherheitsorganisation besitzen. Das liegt auch daran, dass entsprechende Experten rar und teuer sind und die Firmen aufgrund der flauen Wirtschaftslage alle Investitionen zurückschrauben, die nicht unmittelbar zum Kerngeschäft gehören - unter diese Kategorie fällt meistens auch IT-Security.

Guido Gluschke, der mit seiner Firma Viccon, Karlsruhe, Security-Beratung und -Outsourcing anbietet, weiß ein Lied davon zu singen: "Es gibt Firmen mit mehreren tausend Mitarbeitern, die ihre IT-Security-Berater wieder mit anderen Aufgaben betrauen. Zwei Unternehmen, die ich kenne, haben aus finanziellen Gründen das komplette IT-Security-Management abgebaut." Kein Wunder, dass in vielen Unternehmen das Sicherheitsverständnis unzureichend ist und etwa Firewalls doppelt ausgelegt werden, der Hub jedoch, der das Netzwerk zusammenhält, ohne Absicherung gegen Ausfall bleibt.

Anwender, die nicht bereit sind, eigene Sicherheitsteams zu beschäftigen, sollten daher das Outsourcing ihrer Security-Systeme erwägen, statt das Thema vollständig zu vernachlässigen. Laut einer Studie der Meta Group wird eine solche Alternative auch zunehmend in Betracht gezogen, denn immerhin soll der Markt für IT-Security-Produkte und -Dienstleistungen in den nächsten Jahren kräftig wachsen: Der Umsatz in Deutschland wird laut Einschätzung der Marktbeobachter von 400 Millionen Mark im Jahr 2000 auf 1,6 Milliarden Mark im Jahr 2004 steigen, das entspricht einer Wachstumsrate von 41,9 Prozent pro Jahr.

Besonders stark legt in diesem Segment der Dienstleistungssektor zu. Beispielsweise beziffert IDC die weltweite Nachfrage nach externen Security-Diensten im Jahr 2004 auf 17,2 Milliarden Dollar. Und Infonetics orakelt, das weltweite Marktvolumen für Managed-Security-Services und Verschlüsselungsprodukte werde zwischen 2001 und 2005 von 5,3 Milliarden auf 22,7 Milliarden Dollar ansteigen. Allein in Westeuropa wird die Nachfrage über den gesamten Zeitraum um 413 Prozent zulegen. Während Unternehmen der Alten Welt im laufenden Jahr rund 1,5 Milliarden Dollar für IT-Sicherheitsservices ausgeben, sollen es in vier Jahren bereits 7,7 Milliarden Dollar sein.

Servicemarkt gewinnt an FahrtGute Zeiten also für pfiffige Dienstleister mit profundem Security-Know-how. Einmal mehr spielen die US-amerikanischen Anbieter die Vorreiterrolle. Dienstleister wie Onesecure, Arbor Networks, Riptech und andere schlagen Gewinn aus dem Sicherheitsstreben der Firmen. Aber auch in Deutschland gewinnt der Servicemarkt langsam an Fahrt. So stieg im Winter 2000 Dimension Data, ehemals Telemation, ins Geschäft mit den Managed-Security-Services (MSS) ein, und zwar mit einem modular aufgebauten Paket. Es reicht von Managed Firewalls über Intrusion Detection und VPN-Dienste (VPN = Virtual Private Networks) bis zum externen Antivirus-Check.

Derzeit arbeitet Dimension Data mit dem Software- und Serviceanbieter ISS und dessen fünf Security Outsourcing Centers (SOCs) zusammen. In diesen Sicherheitszentren lagern die Kapazitäten, die auch den hiesigen Dimension-Data-Kunden zur Verfügung gestellt werden. Das soll jedoch nur eine vorläufige Lösung sein, denn Dimension Data baut ein eigenes Security Operating Center auf und möchte dieses Angebot mit zugehörigen Dienstleistungen ergänzen. Derzeit beschäftigt der Anbieter 30 Security-Consultants (davon 20 Checkpoint-zertifiziert). Die eigene Truppe ist für das Call-Center, Consulting-Services und den First-Level-Support zuständig. Unterstützt werden Firewalls von Watchguard, Checkpoint und Cisco.

Für das Firewall-Management müssen Dimension-Data-Kunden zwischen 1500 und 2000 Euro pro Monat bei ein bis zwei Jahren Vertragslaufzeit zahlen. Dazu kommt eine Installationsgebühr. Allerdings steckt das junge Geschäft mit Managed Services bei Dimension Data noch in der Aufbauphase. Der Anteil am Gsamtumsatz liegt im einstelligen Bereich.

Der US-amerikanische Sicherheitsexperte ISS vertraut es seinem Partner Dimension Data nicht exklusiv an, den deutschen Markt zu erschließen, sondern spricht hiesige Interessenten auch über Direktvertriebskanäle an. Hiesigen Kunden werden vornehmlich Kapazitäten aus dem schwedischen Sicherheitszentrum in Helsingborg angeboten. Die Entscheidung darüber, ob auch ein deutsches Outsourcing-Zentrum errichtet werden soll, ist noch offen. Die Verantwortlichen wollen zunächst die Marktentwicklung beobachten. Mittlerweile erzielt der Anbieter von Sicherheitsprodukten rund 25 bis 30 Prozent seines Umsatzes mit Service, angestrebt wird ein hälftiger Anteil. "Unter unseren Kunden finden sich einige mit großem Wissen um das Thema Sicherheit, die aber keinen 24-Stunden-Service garantieren können", erläutert Volker Pampus, ISS-Geschäftsführer Deutschland, "andererseits gibt es Anwender, die die Technik nicht vollständig verstehen und daher eine Plug-and-Play-Lösung wollen. Mittlerweile zeigt auch der gehobene Mittelstand Interesse."

Zu den bekanntesten Security-Spezialisten in Deutschland gehört Articon-Integralis. Das Unternehmen aus Ismaning bei München ist in den letzten Jahren beachtlich gewachsen, scheint aber nun ebenfalls von der allgemeinen Wirtschaftsflaute erfasst worden zu sein. Kürzlich brach der Aktienkurs innerhalb weniger Tage um 70 Prozent ein, weil Articon die eigenen Prognosen verfehlte. Intern allerdings sieht man keinen Grund zur Sorge. "Das Geschäft läuft ungebremst", beteuert Ronald Dittmann, der als Product Manager Managed-Security-Services für einen Teilbereich des Dienstleistungsangebots verantwortlich ist. Neben dem Bereich des Sicherheits-Outsourcing, der für Kunden Firewalls verwaltet, gibt es noch den Auditing-Sektor System-Security-Services (S3-Services) und seit neuestem eine separate Gruppe für IT Security Consulting, die sich in erster Linie Highend-Kunden widmen soll.

Der Dienstleistungsbereich der MSS hat Zugriff auf die drei Security-Management-Center in Hartford im US-Bundesstaat Connecticut sowie in Ismaning und London. Verwaltet werden Firewalls von Checkpoint und Cisco. In 95 Prozent der Fälle übernimmt Articon das Monitoring, also die permanente Überwachung des Netzverkehrs inklusive des Erkennens und Abwehrens von Angriffen. Der Rest der Kunden begnügt sich mit einer Überwachung der gesetzten Parameter aus dem Hintergrund. Zurzeit ist das Thema Managed-Security-Services auch für Articon Integralis allerdings noch ein Geschäft für die Zukunft: Aktuell steuern die MSS etwa acht Prozent zum Umsatz des Unternehmens bei.

Dass der deutschsprachige Managed-Security-Markt noch zäh ist, musste auch der Application-Service-Provider (ASP) Hotasp (hotasp.net) erfahren. Entstanden aus einem österreichischen Online-Angebot für kleine und mittlere Unternehmen (http://www.kmu-net.at), offeriert er den Sicherheitsservice "Qualysgard" des Softwareherstellers Qualys. Anwender können über dieses ASP-Angebot ihre IP-Adressen von außen auf Sicherheitslöcher überprüfen. Der Vorteil dabei ist, dass die Software, die auf einem Qualys-Server läuft, ständig aktualisiert wird - keine unbedeutende Funktion, denn im Sicherheitsumfeld ergeben sich beispielsweise durch die Virenplage ständig neue Anforderungen. Dennoch war Hotasp bislang kein Erfolg beschert - in Österreich gibt es nicht einen einzigen Kunden. "Wir haben die Dauer des Entscheidungsprozesses unterschätzt", gibt Johann Petz zu, der bei Hotasp den Qualysgard-Dienst verantwortet.

Das mag auch an dem Preis liegen, denn kleine und mittlere Unternehmen werden sich schwer tun, 2300 Euro pro Jahr und IP-Adresse zu bezahlen (unbegrenzte Nutzung inbegriffen, außerdem gibt es bei mehreren zu prüfenden Adressen Mengenrabatte). Leichter fällt es vermutlich Großunternehmen, derartige Summen für Sicherheitskontrollen aufzubringen. Daher adressiert der Softwarehersteller Qualys anders als sein österreichischer Partner Hotasp vornehmlich die Top-1000-Unternehmen. "Wir setzen darauf, dass Managed-Service-Provider und Consultants den Dienst in ihre Portfolios aufnehmen", erläutert Frauke Artz, Country-Managerin für den deutschsprachigen Raum, das indirekte Vertriebsmodell des ASP-Angebots von Qualys. Erste Kunden konnten so bereits in Deutschland, Österreich und der Schweiz gewonnen werden.

*Ariane Rüdiger ist freie Journalistin in München.

Abb: Deutscher Markt für IT-Sicherheit

Im Jahr 2004 werden allein mit Sicherheitsservices 550 Millionen Mark umgesetzt. Quelle: Meta Group