Die Zeit ist reif für Security-SaaS
Artikel erschienen in Swiss IT Magazine 2008/20
Der amerikanische IT-Autor Nicholas Carr vergleicht in seinem neusten Buch den aktuellen Wandel der Informa-
tionstechnologie mit der Entwicklung der Elektrizität vor gut 100 Jahren. Damals betrieben die meisten Unternehmen ihr eigenes Kraftwerk und versorgten damit ihre Maschinen über komplexe Zwischensysteme mit mechanischer Energie. Lieferanten und Spezialisten waren für den Unterhalt dieser Einrichtungen genau so wichtig wie sie es heute für die unternehmensinternen IT-Landschaften sind. Dass Unternehmen heute ihre Energie komplett als Service beziehen, beruht auf den Entwicklungen des frühen 20. Jahrhunderts, welche sowohl eine effiziente Energiegewinnung als auch deren Übertragung über weite Distanzen ermöglichten. Eine wichtige Voraussetzung für die massentaugliche Verteilung von Elektrizität war zudem die Standardisierung des Energieprodukts.
Tatsächlich sind die Parallelen zur heutigen IT-Landschaft augenfällig. Dank der Virtualisierung von Rechenzentren, dem massiven Anstieg an Netzbandbreite und dem Internet als standardisiertem Kommunikationsmedium, spriessen Software-as-a-Service-Dienste wie Pilze aus dem virtuellen Boden. Und zwar viele mit Erfolg. Die amerikanische CRM-On-Demand-Firma Salesforce rechnet dieses Jahr mit einem Umsatz von 1 Milliarde US-Dollar, was einer Verdoppelung gegenüber dem Vorjahr entspricht.
Sicherheit ist ein Thema, welches viele Unternehmen gerne in der eigenen Hand behalten. Dennoch sind Experten davon überzeugt, dass sich die ersten SaaS-Erfolge auch für Sicherheitsfunktionen wiederholen werden. Während IT-Leiter heute unter zunehmendem Kostendruck und begrenzten Ressourcen leiden, nehmen Sicherheitsanforderungen und IT-Risiken weiter zu. Mit Security-as-a-Service können IT-Verantwortliche ausgewählte Sicherheitsfunktionen von einem externen Dienstleister beziehen und profitieren dabei von der professionellen Infrastruktur und der Erfahrung des Providers.
Security-as-a-Service umfasst Security-Dienste, welche gemäss SaaS-Modell erbracht werden – also Sicherheitsfunktionen, welche über das Internet von einem externen Dienstleister bezogen werden. Dies unterscheidet sich von Managed Services und Outsourcing beispielsweise darin, dass der kundenseitige IT-Administrator die Kontrolle über die wichtigsten Einstellungen und Regeln behält. Diese können einfach und bequem über eine Webkonsole verwaltet werden. Im Gegensatz zu vielen Managed-Service-Vereinbarungen, liegt die gesamte Infrastruktur, welche für den Service notwendig ist, in der alleinigen Obhut des Providers. Investitionskosten und Systembetrieb fallen dadurch weg und entlasten die Unternehmens-IT.
Nicht alle Sicherheitsfunktionen sind reif für das SaaS-Modell. Als Voraussetzungen gelten eine tiefe Latenzempfindlichkeit und ein minimaler Anpassungsbedarf an die kundenspezifische Umgebung. Eine sichere Online-Backup-Lösung, beispielsweise für mobile Mitarbeiter, eignet sich optimal. Dazu kommt, dass solche Services unabhängig vom Standort von überall und auch ohne Zugriff auf das eigene Firmennetzwerk verwendet werden können.
Ein weiterer Vorteil von Security-as-a-Service-Diensten kommt dort zu tragen, wo externes Wissen und Erfahrungen von Nutzen sind. Dies trifft beispielsweise beim E-Mail Scanning auf Viren und Spam zu oder bei externen Netzwerk-Scans, um den eigenen Perimeter auf Sicherheitslücken zu überprüfen.
Für Endpoint Security sieht Gartner bedingte Möglichkeiten, da der direkte Zugriff auf die Endgeräte sinnvolle Serviceangebote behindert. Mögliche Ausnahmen bilden hier On-Demand Scans auf Malware und Policy Compliance. Aber auch das zentrale Management für die Verschlüsselung und aktionsbasierte Vernichtung von Laptopdaten ist bereits als Service verfügbar.
Die Firma Iron Mountain beispielsweise – bekannt für ihr sicheres Online-Backup-Produkt ConnectedBackup – bietet mit DataDefense genau diese Lösung an. Per sicherem Webzugriff können Einstellungen und Regeln für die Datenverschlüsselung und Vernichtung festgelegt werden. Letztere kommen zum Zug, wenn ein Notebook verloren oder gestohlen wurde. Während ConnectedBackup die Verfügbarkeit der Laptopdaten sicherstellt, schützt DataDefense die geschäftskritischen Informa-tionen vor unbefugtem Zugriff.
Im Bereich Message Security setzen bereits heute 20 Prozent der Unternehmen auf Security-as-a-Service. Kein Wunder: Pionierunternehmen wie MessageLabs und Google/Postini blicken bereits auf neun Jahre Erfahrung zurück. Die Dienste sind reif und erreichen gemäss den Service-Providern höhere Spam-Erkennungs- und Filterraten als Stand-Alone-Firmenlösungen. Die Knowledgebase wird laufend aktualisiert und profitiert von der globalen Sicht der externen Provider. Zudem setzen die meisten Anbieter von Message Security mehrere Scanner und eine Vielzahl von Technologien ein. Latenzzeiten spielen bei E-Mails keine Rolle und sind ohnehin marginal. Die Bedenken, dass geschäftskritischer Mail-Verkehr durch fremde Hände geht, werden gemeinhin damit entkräftet, dass E-Mails im Internet sowieso einer Postkarte gleichzusetzen sind, solange sie nicht verschlüsselt werden.
Die Inbetriebnahme eines Anti-Spam- und Anti-Virus-Services ist denkbar einfach. In der Regel reicht eine simple Anpassung des MX-Eintrags im firmeneigenen DNS-Server. Danach werden eingehende E-Mails durch den externen Service gefiltert. Die durchschnittlich 90 Prozent Spam-Mails bleiben beim Service-Provider zurück, was die internen Netzressourcen und den Speicherbedarf für die Mail-Archivierung massiv entlastet. Eine Webkonsole erlaubt IT-Administratoren des Servicebezügers Einstellungen vorzunehmen, den Dienst zu überwachen und Reports zu generieren. Die Kontrollmöglichkeiten unterscheiden sich dabei meist nur unwesentlich von der Appliance im eigenen Haus.
Preislich liegen die Angebote im Bereich zwischen einem und drei Franken pro E-Mail-Konto und Monat. Vergleicht man dies mit den Gesamtkosten einer selbst betriebenen Lösung, zeigt sich grosses Einsparungspotential. Diese Kosten werden nämlich von Osterman Research auf 12 Franken pro Konto und Monat geschätzt.
Die grossen Message Security Provider bieten heute längst nicht mehr nur Scandienste an. MessageLabs, gerade erst durch Symantec übernommen, besitzt in seinem Service-Portfolio zusätzlich E-Mail-Dienste im Zusammenhang mit Verschlüsselung, Archivierung und Continuity.
Die IT steht unter Druck. Budget und Ressourcen sind knapp, obwohl die Anforderungen weiterhin ansteigen. Gemeinhin gilt, dass 75 Prozent der IT-Ausgaben für System- und Softwarewartung ausgegeben werden. Gerade Sicherheitssysteme verlangen einen aufwendigen Unterhalt. Da kommen Services aus dem Security-Bereich gerade recht.
Auch dort, wo die Umsetzung einer neuen Sicherheitslösung rasch erfolgen soll, aber die Ressourcen fehlen, ist Security-as-a-Service eine sinnvolle Alternative.
Aber noch nicht alle Sicherheitsfunktionen sind, wie bereits erwähnt, reif für den Bezug im Servicemodell. Bei sicherem Online-Backup, Message Security und Vulnerability Management kann man sich aber kaum mehr die Finger verbrennen. Auf jeden Fall ist es empfehlenswert, bei der Wahl des Anbieters auf Stabilität und Erfahrung im Bereich der IT-Sicherheit zu achten. Zudem sollten auch Vertragsbestandteile wie Service Levels, Verrechnungsmodell und minimale Vertragsdauer genauer unter die Lupe genommen werden. Denn Pay-per-Use wird je nach Anbieter unterschiedlich ausgelegt, was Kostenvergleiche erschwert. Kurze minimale Vertragslaufzeiten sind zudem zu bevorzugen, da sie Switching-Kosten tief halten und das finanzielle Projektrisiko minimieren.
Security-as-a-Service wird auf jeden Fall die Security-Landschaft verändern. Die Vorteile des SaaS-Modells werden auch in dieser IT-Disziplin manches Unternehmen überzeugen. Daraus resultiert ein verstärkter Wettbewerb unter den Lösungsanbietern, was sich günstig auf die Preise auswirken wird. Für Unternehmen wird sich je nach Grösse und Agilität eine unterschiedlich ausgeprägte Koexistenz von Security Services und Inhouse-Lösungen einstellen.
Mark Stäheli ist Leiter von Avantec Net, ein Anbieter von Security-as-a-Service Diensten.
www.avantec.ch/net