cnt

Die Zeit ist reif für Security-SaaS

Security-as-a-Service hat das Potential, Unternehmen einen hohen Grad an Sicherheit zu gewährleisten. Doch nicht überall macht dieser Ansatz Sinn.

Artikel erschienen in Swiss IT Magazine 2008/20

     

Der amerikanische IT-Autor Nicholas Carr vergleicht in seinem neusten Buch den aktuellen Wandel der Informa-
tionstechnologie mit der Entwicklung der Elektrizität vor gut 100 Jahren. Damals betrieben die meisten Unternehmen ihr eigenes Kraftwerk und versorgten damit ihre Maschinen über komplexe Zwischensysteme mit mechanischer Energie. Lieferanten und Spezialisten waren für den Unterhalt dieser Einrichtungen genau so wichtig wie sie es heute für die unternehmensinternen IT-Landschaften sind. Dass Unternehmen heute ihre Energie komplett als Service beziehen, beruht auf den Entwicklungen des frühen 20. Jahrhunderts, welche sowohl eine effiziente Energiegewinnung als auch deren Übertragung über weite Distanzen ermöglichten. Eine wichtige Voraussetzung für die massentaugliche Verteilung von Elektrizität war zudem die Standardisierung des Energieprodukts.



Tatsächlich sind die Parallelen zur heutigen IT-Landschaft augenfällig. Dank der Virtualisierung von Rechenzentren, dem massiven Anstieg an Netzbandbreite und dem Internet als standardisiertem Kommunikationsmedium, spriessen Software-as-a-Service-Dienste wie Pilze aus dem virtuellen Boden. Und zwar viele mit Erfolg. Die amerikanische CRM-On-Demand-Firma Salesforce rechnet dieses Jahr mit einem Umsatz von 1 Milliarde US-Dollar, was einer Verdoppelung gegenüber dem Vorjahr entspricht.



Die Vorteile von SaaS-Lösungen liegen auf der Hand. Unternehmen profitieren von Einsparungen bei Kosten und Ressourcen, da sie HW und SW weder kaufen noch betreiben müssen. Zudem sind die Dienste rasch implementiert und flexibel skalierbar gemäss den dynamischen Bedürfnissen der Unternehmensentwicklung. In den USA haben SaaS-Dienste bereits signifikante Marktanteile gewonnen, während in Europa noch etwas Zurückhaltung herrscht.



Anteil von Security-SaaS Lösungen am jeweiligen Gesamtmarkt, 2008 - 2018 (gemäss Gartner, 2008)


Security-as-a-Service ist nicht gleich Managed Services oder Outsourcing

Sicherheit ist ein Thema, welches viele Unternehmen gerne in der eigenen Hand behalten. Dennoch sind Experten davon überzeugt, dass sich die ersten SaaS-Erfolge auch für Sicherheitsfunktionen wiederholen werden. Während IT-Leiter heute unter zunehmendem Kostendruck und begrenzten Ressourcen leiden, nehmen Sicherheitsanforderungen und IT-Risiken weiter zu. Mit Security-as-a-Service können IT-Verantwortliche ausgewählte Sicherheitsfunktionen von einem externen Dienstleister beziehen und profitieren dabei von der professionellen Infrastruktur und der Erfahrung des Providers.


Security-as-a-Service umfasst Security-Dienste, welche gemäss SaaS-Modell erbracht werden – also Sicherheitsfunktionen, welche über das Internet von einem externen Dienstleister bezogen werden. Dies unterscheidet sich von Managed Services und Outsourcing beispielsweise darin, dass der kundenseitige IT-Administrator die Kontrolle über die wichtigsten Einstellungen und Regeln behält. Diese können einfach und bequem über eine Webkonsole verwaltet werden. Im Gegensatz zu vielen Managed-Service-Vereinbarungen, liegt die gesamte Infrastruktur, welche für den Service notwendig ist, in der alleinigen Obhut des Providers. Investitionskosten und Systembetrieb fallen dadurch weg und entlasten die Unternehmens-IT.



Beim Outsourcing werden bestehende Infrastrukturkomponenten an einen externen Betreiber übergeben. Das Kostenoptimierungspotential ist dabei geringer, da Security-as-a-Service-Provider auf der gleichen Plattform ein Vielfaches an Kunden bedienen können.


Die Bedenken gegenüber Security-as-a-Service liegen hauptsächlich im Kontrollverlust und der Abhängigkeit vom externen Dienstleister. Für Schweizer Unternehmen kommt daher ein Service-Provider im Ausland kaum in Frage. Durch die Wahl eines zuverlässigen und wirtschaftlich stabilen Providers, welcher über ausreichende Erfahrung im Gebiet der IT-Sicherheit verfügt, können die Bedenken und Risiken minimiert werden. Viele sicherheitsbezogene Befürchtungen sind zudem unbegründet. Die Qualität der Infrastruktur, Sicherheitsvorkehrungen und IT-Betriebsprozesse von Serviceanbietern übersteigt in vielen Fällen die entsprechenden Möglichkeiten der Servicebezüger.


Was gemäss dem amerikanischen Markt-
analysten Burton Group bleibt, sind Konnektivitätsprobleme beim Umstieg auf SaaS. Diese sorgen bei 4 von 10 Unternehmen zu Beginn für Probleme. Werden daraus die richtigen Lehren gezogen, dürfte dies bald keine Kopfschmerzen mehr verursachen.


Wo Security-SaaS Sinn macht

Nicht alle Sicherheitsfunktionen sind reif für das SaaS-Modell. Als Voraussetzungen gelten eine tiefe Latenzempfindlichkeit und ein minimaler Anpassungsbedarf an die kundenspezifische Umgebung. Eine sichere Online-Backup-Lösung, beispielsweise für mobile Mitarbeiter, eignet sich optimal. Dazu kommt, dass solche Services unabhängig vom Standort von überall und auch ohne Zugriff auf das eigene Firmennetzwerk verwendet werden können.


Ein weiterer Vorteil von Security-as-a-Service-Diensten kommt dort zu tragen, wo externes Wissen und Erfahrungen von Nutzen sind. Dies trifft beispielsweise beim E-Mail Scanning auf Viren und Spam zu oder bei externen Netzwerk-Scans, um den eigenen Perimeter auf Sicherheitslücken zu überprüfen.



Eher ungeeignet sind hingegen Dienste, welche auf Ergebnisse in Echtzeit angewiesen sind oder Systeme vor Ort beim Kunden voraussetzen, wie das beispielsweise für die Analyse des internen Netzverkehrs der Fall ist. Firewall- und IDS/IPS-Dienste bleiben daher vorzugsweise inhouse. Denkbar ist jedoch, dass solche Services in Zukunft verstärkt durch Netzwerk-Carrier und Internetprovider angeboten werden.


Die Marktforscher von Gartner gehen davon aus, dass der SaaS-Markt für Sicherheitsfunktionen in den nächsten Jahren mehr als 30 Prozent pro Jahr zulegen wird. An der Spitze stehen dabei Dienste in den Bereichen Anti-Spam, Content Filtering und Vulnerability Scanning. Diese Dienste dürften über die nächsten Jahre die heute weitverbreiteten Software- und Appliance-Lösungen stark zurückdrängen.


Potential haben zudem die Themen IAM (Identity/Access Management) und SIEM (Security Information/Event Management). Bei letzterem können insbesondere Managed Security Service Provider zum Zug kommen. Aber auch Anbieter von SIEM-Produkten werden ihre Lösungen im Servicemodell anbieten.


Sicherheit für Laptopdaten

Für Endpoint Security sieht Gartner bedingte Möglichkeiten, da der direkte Zugriff auf die Endgeräte sinnvolle Serviceangebote behindert. Mögliche Ausnahmen bilden hier On-Demand Scans auf Malware und Policy Compliance. Aber auch das zentrale Management für die Verschlüsselung und aktionsbasierte Vernichtung von Laptopdaten ist bereits als Service verfügbar.


Die Firma Iron Mountain beispielsweise – bekannt für ihr sicheres Online-Backup-Produkt ConnectedBackup – bietet mit DataDefense genau diese Lösung an. Per sicherem Webzugriff können Einstellungen und Regeln für die Datenverschlüsselung und Vernichtung festgelegt werden. Letztere kommen zum Zug, wenn ein Notebook verloren oder gestohlen wurde. Während ConnectedBackup die Verfügbarkeit der Laptopdaten sicherstellt, schützt DataDefense die geschäftskritischen Informa-tionen vor unbefugtem Zugriff.


Kosten sparen mit Message Security

Im Bereich Message Security setzen bereits heute 20 Prozent der Unternehmen auf Security-as-a-Service. Kein Wunder: Pionierunternehmen wie MessageLabs und Google/Postini blicken bereits auf neun Jahre Erfahrung zurück. Die Dienste sind reif und erreichen gemäss den Service-Providern höhere Spam-Erkennungs- und Filterraten als Stand-Alone-Firmenlösungen. Die Knowledgebase wird laufend aktualisiert und profitiert von der globalen Sicht der externen Provider. Zudem setzen die meisten Anbieter von Message Security mehrere Scanner und eine Vielzahl von Technologien ein. Latenzzeiten spielen bei E-Mails keine Rolle und sind ohnehin marginal. Die Bedenken, dass geschäftskritischer Mail-Verkehr durch fremde Hände geht, werden gemeinhin damit entkräftet, dass E-Mails im Internet sowieso einer Postkarte gleichzusetzen sind, solange sie nicht verschlüsselt werden.


Die Inbetriebnahme eines Anti-Spam- und Anti-Virus-Services ist denkbar einfach. In der Regel reicht eine simple Anpassung des MX-Eintrags im firmeneigenen DNS-Server. Danach werden eingehende E-Mails durch den externen Service gefiltert. Die durchschnittlich 90 Prozent Spam-Mails bleiben beim Service-Provider zurück, was die internen Netzressourcen und den Speicherbedarf für die Mail-Archivierung massiv entlastet. Eine Webkonsole erlaubt IT-Administratoren des Servicebezügers Einstellungen vorzunehmen, den Dienst zu überwachen und Reports zu generieren. Die Kontrollmöglichkeiten unterscheiden sich dabei meist nur unwesentlich von der Appliance im eigenen Haus.



Preislich liegen die Angebote im Bereich zwischen einem und drei Franken pro E-Mail-Konto und Monat. Vergleicht man dies mit den Gesamtkosten einer selbst betriebenen Lösung, zeigt sich grosses Einsparungspotential. Diese Kosten werden nämlich von Osterman Research auf 12 Franken pro Konto und Monat geschätzt.


Die grossen Message Security Provider bieten heute längst nicht mehr nur Scandienste an. MessageLabs, gerade erst durch Symantec übernommen, besitzt in seinem Service-Portfolio zusätzlich E-Mail-Dienste im Zusammenhang mit Verschlüsselung, Archivierung und Continuity.


Worauf es zu achten gilt

Die IT steht unter Druck. Budget und Ressourcen sind knapp, obwohl die Anforderungen weiterhin ansteigen. Gemeinhin gilt, dass 75 Prozent der IT-Ausgaben für System- und Softwarewartung ausgegeben werden. Gerade Sicherheitssysteme verlangen einen aufwendigen Unterhalt. Da kommen Services aus dem Security-Bereich gerade recht.
Auch dort, wo die Umsetzung einer neuen Sicherheitslösung rasch erfolgen soll, aber die Ressourcen fehlen, ist Security-as-a-Service eine sinnvolle Alternative.


Aber noch nicht alle Sicherheitsfunktionen sind, wie bereits erwähnt, reif für den Bezug im Servicemodell. Bei sicherem Online-Backup, Message Security und Vulnerability Management kann man sich aber kaum mehr die Finger verbrennen. Auf jeden Fall ist es empfehlenswert, bei der Wahl des Anbieters auf Stabilität und Erfahrung im Bereich der IT-Sicherheit zu achten. Zudem sollten auch Vertragsbestandteile wie Service Levels, Verrechnungsmodell und minimale Vertragsdauer genauer unter die Lupe genommen werden. Denn Pay-per-Use wird je nach Anbieter unterschiedlich ausgelegt, was Kostenvergleiche erschwert. Kurze minimale Vertragslaufzeiten sind zudem zu bevorzugen, da sie Switching-Kosten tief halten und das finanzielle Projektrisiko minimieren.



Security-as-a-Service wird auf jeden Fall die Security-Landschaft verändern. Die Vorteile des SaaS-Modells werden auch in dieser IT-Disziplin manches Unternehmen überzeugen. Daraus resultiert ein verstärkter Wettbewerb unter den Lösungsanbietern, was sich günstig auf die Preise auswirken wird. Für Unternehmen wird sich je nach Grösse und Agilität eine unterschiedlich ausgeprägte Koexistenz von Security Services und Inhouse-Lösungen einstellen.


Der Autor

Mark Stäheli ist Leiter von Avantec Net, ein Anbieter von Security-as-a-Service Diensten.
www.avantec.ch/net




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER