"Swiss IT Magazine": Herr Koch, für welche Unternehmen eignet sich Cloud- beziehungsweise Security as a Service eigentlich? Würden Sie Ihre Kunden in jedem Fall in diese Richtung beraten oder gibt es Einschränkungen?Christoph Koch: Security as a Service hilft allen Unternehmen, die keine eigene komplexe Infrastruktur mit mehreren Netzwerk- und Sicherheitslösungen betreiben wollen oder die weg von zu vielen Sicherheitslösungen verschiedenster Dienstleister wollen. Vielen dieser Unternehmen fehlt es zudem an notwendigen Fachkräften und Know-how, um den eigenen Betrieb aufrecht zu halten. Solche Kunden suchen einheitliche Sicherheitsrichtlinien für ihre Anwender und alle Firmenstandorte. Sichere, serviceorientierte Angebote, welche mit globaler Reichweite, Self-Service und der Agilität der Cloud ausgestattet sind, erfüllen diese Anforderungen. Und genau solche Angebote sind meistens cloudbasiert, bieten eine konsistente Sicherheit für das gesamte Netzwerk, während tägliche Management-Aufgaben – wie Kapazitätsplanung, Software-Upgrades, Betriebskomplexität – oder versteckte Kosten dem Servicelieferanten übertragen werden.
Welche Security-Lösungen lassen sich denn grundsätzlich sinnvoll aus der Cloud beziehen – und wo macht es gegebenenfalls Sinn, weiterhin auf On-Prem-Betrieb zu setzen?Meiner Meinung nach fordern hauptsächlich Regulations- und gesetzliche Datenschutz-Vorgaben den eigenen Betrieb einer On-Prem-Infrastruktur. Falls sich eine IT-Landschaft über viele Monate nicht ändert, also eine einfache und statische Applikation, die über die Zeit wenige Anpassungen und Performance-Skalierungen – wie zum Beispiel am Black Friday – erfährt, so kann eine On-Prem-Infrastruktur sogar Business-Case-technisch günstiger als ein Cloud-Service betrieben werden. Für die meisten Anforderungen kommen jedoch cloudbasierte oder auch hybride Formen in Frage.
Und was sind aus Ihrer Sicht wiederum die wichtigsten Argumente, die für einen Umstieg auf Security im As-a-Service-Modell sprechen?Der Umstieg auf Security as a Service bietet mehrere entscheidende Vorteile: Erstens hilft es, dem Fachkräftemangel entgegenzuwirken, da Unternehmen auf externes Expertenwissen und spezialisierte Sicherheitslösungen zugreifen können, ohne selbst teure und schwer zu rekrutierende Fachkräfte einstellen zu müssen. Zweitens wird die Komplexität der Verwaltung und Wartung von Sicherheitssystemen reduziert, da diese zentral von spezialisierten Anbietern verwaltet und aktualisiert werden. Drittens reduziert der Umstieg den Kostendruck, da Unternehmen nicht in teure Infrastruktur investieren müssen und stattdessen Sicherheitsdienstleistungen nach Bedarf bezahlen können. Schliesslich ermöglicht der Wechsel von Capex zu Opex – also von Investitions- zu Betriebsausgaben – eine flexiblere und planbarere Kostenstruktur, die insbesondere für wachstumsorientierte Unternehmen attraktiv ist.
Hat die Nachfrage nach entsprechenden Angeboten in den letzten Jahren vor dem Hintergrund des von Ihnen angesprochenen Fachkräftemangels also spürbar zugenommen?Definitiv. Der Fachkräftemangel ist wie erwähnt ein starker Treiber zu Security as a Service.
Nach wie vor mangelt es aber auch nicht an kritischen Stimmen, vor allem mit Blick auf die Public Cloud. Was entgegnen Sie bezüglich immer wieder genannter Datenschutz- und Compliance-Bedenken? Immerhin benötigen Security- beziehungsweise Cloud-Security-Lösungen oftmals weitreichende Berechtigungen im System, auch in Hinblick auf sensible Daten. Im Grundsatz sind cloudbasierte Services einer starken markttechnischen Selbstregulierung ausgesetzt. Fehler und Sicherheitsvorfälle verzeiht der Markt nur über eine längere Periode. Somit kann solchen Diensten meistens ein höheres Vertrauen als den eigenen Fähigkeiten zugemessen werden. Trotzdem gibt es klare regulative und gesetzliche Vorgaben, welche den Einsatz eines solchen Services nicht erlaubt, beispielsweise Datenschutz, Personendaten, Geheimhaltung. Denn jedes IT-System muss bei den initialen Admin-Zugriffsrechten seine Innereien schutzlos hingeben. Angesichts der zunehmenden Vernetzung von IT-Umgebungen, auch in der Cloud, ist die konsequente Umsetzung einer Zero-Trust-Architektur aus unserer Sicht eine entscheidende und wirksame Lösung, um die Herausforderungen der Cybersicherheit zu bewältigen. Es geht also nicht nur um das Was oder Wo, sondern auch um das Wie.
Vorfälle wie zuletzt die Crowdstrike-Panne haben aber auch verdeutlicht, dass zu viel IT-Zentralisierung auch mit einem Klumpenrisiko einhergeht. Ist das ein Argument gegen Security as a Service?Nicht unbedingt. Das Problem entstand in diesem spezifischen Fall durch einen grundlegenden Fehler im Umgang mit Software-Updates. Die Panne hatte solch grosse Auswirkungen, weil ein fehlerhafter Software-Release auf viele verteilte On-Premises-Windows-Maschinen ausgerollt wurde. Dieser Release brachte die Windows-Systeme zum Stillstand, und jedes betroffene System musste vor Ort manuell repariert werden. Mit einem zentralen, cloudbasierten Security-Service wäre das Einspielen eines fehlerhaften Moduls zwar ebenfalls kritisch gewesen, hätte jedoch schnell und zentral behoben werden können.
Was sind abschliessend Ihre Empfehlungen an Unternehmen, die aktuell auf der Suche nach passenden Cloud-Angeboten sind? Worauf gilt es zu achten?Unternehmen sollten ihre spezifischen Sicherheitsbedürfnisse und gesetzlichen Anforderungen gründlich analysieren, bevor sie sich für Cloud- und Security-as-a-Service-Angebote entscheiden. Dabei ist es wichtig, Lösungen zu wählen, die sich nahtlos in bestehende Systeme integrieren lassen und flexible, skalierbare Optionen bieten. Mit Fokus auf das Architekturdesign und dem passenden Partner an der Seite steht einer sicheren Reise durch den Cyberspace nichts mehr im Wege!
Über United Security Providers
United Security Providers ist ein seit 30 Jahren bestehender Schweizer IT-Security-Dienstleister (Gründung 1994) mit Sitz in Bern und Zürich. Seit 2019 gehört das Unternehmen zu Swisscom. Christoph Koch hat wiederum im Juni 2024 als neuer CEO übernommen, er war zuvor knapp sechs Jahre lang für Cisco tätig, zuletzt als CTO Schweiz.
United Security Providers betreut Kunden wie die Bühler Group, die Stadt Zürich, die Kantone Zug und Aargau, die Universität Bern sowie die Fachhochschule Nordwestschweiz mit verschiedensten Sicherheitslösungen und -Services. Dabei setzt der Dienstleister und Managed Service Provider auf Technologiepartner wie Cato, Fortinet, KnowBe4, Microsoft und Red Hat.
Ein Schwerpunkt von
United Security Providers ist SaaS beziehungsweise Cloud-Security. Dabei kommt eine zentrale, von Cato Networks entwickelte SASE-Cloud-Plattform zum Einsatz. Sie bündelt eigens entwickelte Security-Produkte mit entsprechenden Services und zielt auf die Umsetzung einer Zero-Trust-Architektur ab. Zu den Kernprodukten zählen dabei Sicherheitslösungen für Webanwendungen in CI/CD-Umgebungen.
