Fazit: Wo SecS-Anwendungen Sinn geben
Security-as-a-Service ist nicht die richtige Wahl für jedes Unternehmen und für jede benötigte Sicherheitsfunktion. Es müssen auch nicht zwangsläufig ausschließlich On-Premise-Lösungen, also Vor-Ort Schutzmaßnahmen oder SecS-Lösungen, eingesetzt werden, denn auch eine Mischung dieser beiden Modelle kann von Vorteil sein. Dabei werden die Flexibilität groß und die Kosten gering gehalten sowie Compliance gewährleistet.
- Anpassungsbedarf und -möglichkeiten
Kostenvorteile sind nur durch einen gemeinsamen, standardisierten Betrieb zu erzielen. Im Zuge der Produktauswahl muss geklärt werden, ob die Anforderungen mit den im System vorhandenen Anpassungsmöglichkeiten umgesetzt werden können. Programmatisches Customizing ist eher unüblich und darf nur erfolgen, wenn es den gemeinsamen Betrieb und die Wartung nicht verhindert. - Effizientes Identitäts-Management
Bei SaaS-Angeboten ist die Vergabe von individuellen Benutzerzugängen beim Anbieter der Regelfall. Nutzt ein Unternehmen Angebote verschiedener SaaS-Anbieter, müssen pro Mitarbeiter mehrere Accounts eingerichtet werden. Dies führt schnell zu Organisations- und Sicherheitsproblemen. Hier bietet sich eine Integration von SaaS-Single-Sign-on (SaaS-SSO) in das Intranet an. Dazu können SSO-Standards wie SAML oder Cryptotickets verwendet werden. - Usability der Benutzerschnittstelle
Web-Benutzerschnittstellen sind oft nicht so effizient und bequem zu bedienen wie lokal installierte Software. Mit Techniken wie Ajax oder auch nur Javascript können die meisten Web-Anwendungen allerdings für den normalen Anwender sinnvoll nutzbar gemacht werden. Dieser Aspekt sollte vor der Einführung bedacht werden. - Flexibilitäts- und Preis-Check des Mietvertrags
Ein schlechter Mietvertrag für die SaaS-Lösung kann die erhofften Flexibilitäts- und Preisvorteile schnell zunichtemachen. Im Vorfeld ist unbedingt zu prüfen, ob der Vertrag einen zeitnahen Auf- und Abbau von Kapazitäten erlaubt und ob die vertragliche Preisgestaltung die erwünschten Kosteneinsparungen bringt. - Technische Nutzungsvoraussetzungen
Effizientes verteiltes Arbeiten ist nur möglich, wenn die Anwendung tatsächlich über das öffentliche Internet nutzbar ist. Wenn einem nur kurzfristig aktiven, freien Mitarbeiter erst spezielle Hardware, wie zum Beispiel eine Virtual Private Network Box zur Verfügung gestellt werden muss, gehen Flexibilitäts- und Kostenvorteile verloren. - Tragfähige Konzepte für Sicherheit und Notfälle
Bei einem gehosteten Angebot muss der IT-Manager für alle möglichen Problemfälle einen „Plan B“ parat haben, um schnell reagieren zu können. Bedacht werden müssen Datenschutzproblematiken, Notfallpläne für den Netzausfall, und wie man bei einer Insolvenz des Anbieters an die gespeicherten Daten gelangt.
Ausbaufähiges Angebot an spezialisierten SecS-Anwendungen
Derzeit sind SecS vergleichsweise gering verbreitet, was unter anderem in unzureichender Spezialisierung der Angebote (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download) resultiert. Aus diesem Grund empfiehlt sich SecS bisher vor am meisten für standardisierbare Aufgaben, die nur minimal individuell konfiguriert und kontrolliert werden müssen.
Aussichtsreich ist der Einsatz von SecS in folgenden Bereichen:
-
Schwachstellenbewertung (Vulnerability Assessment),
-
Nachrichtensicherheit und Web-Anwendungssicherheit sowie
-
Informationssicherheit und Log-Management.
Auf die SecS-Marktreife der Sicherheitsanbieter achten
Ferner ist nicht jede SecS-Lösung gleichermaßen empfehlenswert. Hier muss der Konsument die Sicherheitsfunktionen der jeweiligen Anbieter beurteilen. Besonders wichtig ist der Reifegrad einer Technik. Vorzugsweise gilt es, Anbieter von Sicherheitslösungen auszusuchen, die längerfristig am Markt mit On-Premise- sowie On-Demand-Angeboten präsent und erfolgreich sind, wie zum Beispiel McAfee oder AVG. In diesem Fall können SecS mit proprietären Lösungen kombiniert und Lock-in-Effekte vermieden sowie zwischen den beiden Ansätzen variabel gewichtet werden.
Service-Level-Agreements vertraglich vereinbaren
Nach der Entscheidung, SecS zu beziehen, sollten Unternehmen unbedingt Service-Level- Agreements (SLA) mit den SecS-Anbietern vereinbaren. Werden verabredete SLAs im Einzelfall nicht erfüllt, kommt es zu einer finanziellen Kompensation des Ausfalls, die in den SLAs festgelegt ist. Die SLAs ermöglichen es den Konsumenten, die Sicherheitsleistungen der Provider anhand festgelegter Messwerte wie zum Beispiel der Zahl der abgewehrten Angriffe zu quantifizieren und zu beurteilen.
SecS-Anwendungen werden über das Internet bezogen, somit ist eine zuverlässige und performante Netzanbindung von großer Bedeutung. Die Auswahl des passenden Netzbetreibers bildet einen kritischen Erfolgsfaktor für SecS. Um sich gegen das Risiko unzureichender Verfügbarkeit abzusichern, sollten Konsumenten zudem SLA-Vereinbarungen mit dem TK-Provider abschließen.
Die Spezialisierung und Verbreitung von SecS schreitet weiter fort. In Zukunft wird die ganze Bandbreite an Sicherheitsfunktionen als Service für Unternehmen bereitgestellt werden. Um die entstehende Vielfalt an SecS-Angeboten effektiv und effizient im Unternehmen einzusetzen, entwickelt das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) Konzepte zur
-
Evaluierung,
-
Konfiguration und
-
Auswahl geeigneter SecS-Lösungen für das Unternehmen.