Wer seine IT-Infrastruktur schützen will, muss nicht zwingend entsprechende Hardware und Software kaufen. Security-Lösungen kann man auch mieten und seit ein paar Jahren sogar aus der Cloud beziehen. Das Ganze nennt sich Security as a Service (SecaaS) und unterscheidet sich gemäss Definition des Bitkom insofern von Managed Security Services, als dass der IT-Sicherheitsdienst mandantenfähig ist, also eine einzelne Sys- teminstanz eine Vielzahl an Kunden bedient. Zudem kann der Kunde den Service vollständig virtualisiert, also ohne zusätzliche dedizierte Hard- und Software, nutzen und abgerechnet wird verbrauchsbezogen.
Marktübersicht
In unserer Marktübersicht finden Sie 15 Anbieter von Security as a Service in der Schweiz im Direktvergleich.
Marktübersicht als PDF
Für jedes Unternehmen ein Thema
SecaaS kommt laut Mark Stäheli, Geschäftsleitungsmitglied von Avantec, gleichermassen für Unternehmen, die limitierte Ressourcen haben und einzelne geeignete Services aus der Cloud beziehen möchten, und auch für Firmen, die weltweite Niederlassungen haben und diese über eine zentrale Lösung schützen möchten, in Frage. Markus Bloesch, CTO von Netrics Hosting, ergänzt diese Aufzählung um Unternehmen, welche Security in der IT-Strategie als festes Ziel verankert haben (Compliance) und den Wert ihrer Digital Assets erkannt haben.
Damit ist SecaaS grundsätzlich für Unternehmen jeder Grösse ein Thema. Das zeigt auch ein Blick auf die untenstehende Marktübersicht mit 15 Security-as-a-Service-Anbietern in der Schweiz: Es wird die ganze Bandbreite an Kunden von kleinen Unternehmen mit nur fünf bis zu grossen Konzernen mit 10’000 und mehr Mitarbeitenden bedient. Die Kundensegmente sind jedoch von Anbieter zu Anbieter sehr verschieden. Während mittelgrosse Unternehmen fast überall willkommen sind, ist das Angebot für Kleinfirmen deutlich kleiner.
Apropos Anbieter: Es werden immer mehr. Im Vergleich zur letzten Marktübersicht von «Swiss IT Magazine» mit Security-as-a-Service-Anbietern aus der Schweiz, die im April 2012 erschienen ist, ist die Zahl der Teilnehmer – es wurden wiederum verschiedene Hersteller, Provider und die namhaftesten Schweizer Security-Spezialisten angeschrieben – nämlich um 50 Prozent gewachsen, wobei nach wie vor kein Anspruch auf Vollständigkeit erhoben wird. Im noch jungen und dynamischen SecaaS-Markt gibt es in der Schweiz ziemlich sicher noch weitere Player.
Das Dashboard von Zscaler, eine von vielen Security-Cloud-Lösungen. (Quelle: Zscaler)
Web- und E-Mail-Security aus der Cloud
Die Angebote der verschiedenen Anbieter unterscheiden sich stark. Während die IT-Riesen HP und IBM sowie die grossen Service Provider Orange Business Services, Swisscom und T-Systems ihren Kunden das ganze SecaaS-Spektrum gemäss Definition der Cloud Security Alliance anbieten – also sowohl Identity and Access Management (IAM), Data Loss Prevention (DLP), Web-Security, E-Mail-Security, Security Assessments, Intrusion Management, Security Information and Event Management (SIEM), Encryption, Business Continuity and Disaster Recovery sowie Network Security aus der Cloud –, beschränken sich kleinere IT-Dienstleister wie First Frame Networkers oder I-Community nur auf drei der insgesamt zehn Kategorien. Die Angebote der anderen SecaaS-Anbieter, zu denen auch bekannte Security-Softwarehersteller wie Norman und Panda Security sowie lokale Security-Spezialisten wie Avantec, United Security Providers oder Terreactive gehören, liegen irgendwo dazwischen.
Am weitesten verbreitet ist, passend zum aktuellen Schwerpunktthema von «Swiss IT Magazine», Web- und E-Mail-Security aus der Wolke. Bis auf Terreactive und First Frame Networkers (nur E-Mail-Security) bieten alle Unternehmen in der Marktübersicht Services in diesen beiden Kategorien an. «Die Verwaltung ist einfacher, zeit- und kostensparender», fasst Panda Security die Vorteile der Cloud-Variante zusammen. Jörg Korch von First Frame Networkers ergänzt, dass keine Investitionskosten nötig sind und es kalkulierbare Betriebskosten gibt. Der Kunde zahle nur, was er wirklich benötige und erhalte gleichzeitig immer aktuelle Lösungen.
Swisscom preist weiter die Standortunabhängigkeit an und verspricht, dass dank Web- und E-Mail-Security aus der Cloud ein gleicher Schutz für alle Firmenstandorte im In- und Ausland applizierbar ist. Zudem gibt es angeblich eine Zero-Day-Protection oder anders ausgedrückt eine dynamische Gefahrenerkennung in Echtzeit. «Die Cloud ist immer up-to-date und muss nicht auf den Download, zum Beispiel der neuesten Virensignaturen, warten», erklärt der Telekomkonzern.
Mark Stäheli von Avantec, das seit 2008 im Bereich SecaaS zu Hause ist, sieht die Sache etwas differenzierter: «Bei E-Mail Security liegt der Vorteil darin, einen Service mit SLA einzukaufen anstelle dem Betreiben einer eigenen Lösung. Dies kann Kosten sparen, aber schont auf jeden Fall die internen Ressourcen. Dank der Kombination verschiedener Technologien in der Cloud werden ausserdem maximale Erkennungsraten für Spam und Viren erzielt – garantiert durch die SLA. Bei Web Security steht ein Vorteil im Vordergrund: Der Service schützt alle Firmenniederlassungen und mobilen Mitarbeiter weltweit beim Zugriff auf das Internet – und zwar unabhängig von Standort und Endgerät. Aussenstellen können somit direkt und lokal ins Internet. Dies gewährleistet ein besseres Interneterlebnis bezüglich Performanz und lokalen Inhalten und bietet ein massives Einsparungspotential bei den Bandbreitenkosten (MPLS, VPN).»
Datenhaltung in der Schweiz
Natürlich bieten Cloud-Services im Bereich Web- und E-Mail-Security nicht nur Vor-, sondern auch Nachteile gegenüber herkömmlichen Hardware- oder Softwarelösungen. Dabei geht es vor allem um die Abhängigkeit vom Service Provider, die eindeutig grösser ist, als wenn man die Lösung selbst und inhouse betreibt. Aber auch das Vertrauen ist ein Thema, wie Orange Business Services weiss. Kunden vertrauen Legacy-Hardwarelösungen aus Gründen der Sicherheit zum Teil angeblich mehr als Lösungen aus der Cloud. Gemäss Panda Security handelt es sich dabei aber nur um einen ersten Eindruck. In Wirklichkeit sollen Cloud-Systeme eine höhere Verfügbarkeit als On-premise-Infrastrukturen bieten. Unbestritten ist derweil, dass es mit einer Cloud-Lösung Einschränkungen gibt, was Sonderwünsche betrifft. Das bestätigt Markus Bloesch von Netrics Hosting.
Ein Thema, das im Zusammenhang mit Cloud Services auch immer wieder auftaucht, ist der Datenschutz. Für viele Unternehmen spielt es eine Rolle, wo die Daten gespeichert werden und die Rechenzentren der Anbieter stehen. Hier kann grünes Licht gegeben werden: Fast alle Anbieter in der Marktübersicht verfügen über ein oder mehrere Data Center in der Schweiz, wobei United Security Providers sogar Private Clouds von Kunden nutzt, falls das möglich ist. Nur Panda Security und Orange Business Services haben kein Rechenzentrum in der Schweiz, sind aber immerhin in Europa vertreten.
Zu den Security-as-a-Service-Dienstleistungen gehört bei allen Anbietern auch ein entsprechendes Support-Angebot. Die Service-Levels sind unterschiedlich, aber die meisten bieten einen 7x24 Helpdesk an, zum Teil aus einem eigenen Security Operations Center. Ergänzend gibt es bei einigen Anbietern auch Remote-Support.
Verbreitung nimmt zu
2012, als die letzte SecaaS-Marktübersicht in «Swiss IT Magazine» erschienen ist, war die Verbreitung von entsprechenden Lösungen im Unternehmensumfeld noch gering. In der Zwischenzeit hat sich einiges getan. Einerseits ist, wie bereits erwähnt, die Zahl der Anbieter gewachsen. Andererseits ist aber auch die Zahl der abgeschlossenen und laufenden Projekte bei einigen Dienstleistern deutlich gestiegen, beispielsweise bei Avantec. Hatte der Schweizer Security-Spezialist vor zwei Jahren noch rund 60 SecaaS-Projekte abgeschlossen, sind es mittlerweile schon 100. Bei United Security Providers hat man sich gar von 10 auf 65 Projekte gesteigert, dafür ist die Zahl der laufenden Projekte deutlich gesunken. Security as a Service und Web- und E-Mail-Security aus der Cloud ist also auf dem Vormarsch.
HIN (Health Info Net)
In der Marktübersicht findet man mit HIN (Health Info Net) auch einen speziellen SecaaS-Anbieter. Speziell deshalb, weil sich das Unternehmen ausschliesslich an Institutionen und Einzelpersonen aus dem Schweizer Gesundheitswesen wie Ärzte, Spitäler, Versicherer oder Behörden richtet. Das 1996 von der FMH und weiteren Partnern gegründete Unternehmen ist Partner von Quovadis, Oracle sowie Seppmail und ermöglicht gemäss eigenen Angaben eine sichere, datenschutzkonforme Kommunikation und Interaktion im Internet. Zudem bietet HIN angeblich auch einen sicheren Zugriff auf eine Vielzahl geschützter Internet-Applikationen des Gesundheitsbereichs an und zählt aktuell rund 15’900 Leistungserbringer des Schweizer Gesundheitswesens zu seinem Benutzerkreis.
(mv)