Managed Security Service Provider
IT-Sicherheit vom Fachmann
Immer mehr Geschäftsprozesse hängen von einer reibungslos funktionierenden IT ab - bei bestenfalls stagnierendem IT-Personalbestand. Zugleich gibt es einen Trend zu gezielten Angriffen auf IT-Infrastrukturen. Da liegt das Auslagern von Sicherheitsfunktionen an MSSPs (Managed Security Service Provider) nahe. Bei Großunternehmen ist dies längst gang und gäbe, ebenso sind Kleinunternehmen oft froh, sich nicht mit Security befassen zu müssen. Lediglich der Mittelstand setzt für IT-Sicherheit nach wie vor häufig auf internes Personal und Know-how.
"Die Bedrohungslandschaft der Informationssicherheit verändert sich rapide, und viele
Sicherheitsorganisationen haben damit zu kämpfen, mit dem Wandel in der Natur, der Komplexität und
dem Ausmaß der Angriffe Schritt zu halten", diagnostiziert Khalid Kark, als Vice President und
Principal Analyst einer der IT-Security-Spezialisten des Marktforschungshauses Forrester ("The New
Threat Landscape: Proceed With Caution", Forrester-Report, 13.8.10). Marktkenner wie Kark stellen
übereinstimmend fest, dass Angriffe heute immer öfter von konkreter finanzieller Motivation
getrieben sind – und damit gezielter und vor allem viel unauffälliger ablaufen als das Hacking
früherer Tage (man möchte fast sagen: "der guten alten Zeit"). Die gut organisierte
Blackhat-Industrie nutzt automatisierte Angriffswerkzeuge, und auf einschlägigen Websites kursieren
zudem Malware-Toolkits für den Do-it-yourself-Angreifer. Khalid Kark betont, statt der
IT-Infrastruktur generell rückten heute spezifische Anwendungen ins Visier der Angreifer, und damit
könne ein gezielter Angriff schnell desaströse Auswirkungen haben. Sein Rat: "Security-Manager
müssen neue Wege finden, um die Auswirkungen ihrer Sicherheitsüberwachung zu maximieren, die
Risiken zu minimieren und Investitionen in Technik effizient einzusetzen."
Arbeitsteilung
Auf zunehmend komplexe Anforderungen haben die Menschen in ihrer Geschichte stets eine
Wunderwaffe eingesetzt: Arbeitsteilung. Statt alles von A bis Z selbst zu erledigen, übergibt man
Prozesse oder zumindest Prozessschritte an (hoffentlich nachweislich kompetente) Spezialisten. Der
Gedanke liegt also nahe, bei einer sich verschärfenden Bedrohungslage die Absicherung der
hauseigenen IT-gestützten Prozesse an hauptamtliche Security-Fachleute abzutreten, die
IT-Sicherheitsinfrastrukturen dauerhaft aus der Ferne überwachen und managen: an MSSPs. "Heute sind
Unternehmen oft mit IT-Sicherheitsfragen überfordert", kommentiert Stefan Angerer,
Deutschland-Geschäftsführer bei Norman Data Defense Systems, einem Security-Spezialisten, der seit
Kurzem auch Patch und Remediation als Managed Service anbietet. Da überrascht es nicht, dass
Marktbeobachter den MSSPs eine rosige Zukunft voraussagen (wie übrigens schon seit Jahren).
Forrester-Analyst Kark schätzt das Weltmarktvolumen für Managed Security Services einschließlich
Security-Outsourcing und SaaS (Software as a Service) auf 4,5 Milliarden Dollar ("The Forrester
Wave: Managed Security Services, Q3 2010", Forrester-Report, 5.8.10). Er erwartet, dass dieser
Markt mindestens die nächsten drei Jahre um 15 Prozent jährlich wächst. Zu den MSSP-Marktführern
zählt Kark mit Blick auf Großunternehmen und Multinationals vorrangig das allgegenwärtige und
kürzlich mit einer Cloud-Security-Initiative an den Start gegangene Schwergewicht IBM sowie den
dedizierten MSSP Secureworks (seit 2009 verstärkt durch die Verisign-Akquisition). Der Analyst lobt
deren große Kompetenz und Breite des MSS-Portfolios. Wichtige Konkurrenten seien AT&T, BT, HP,
Symantec, der eifrig zukaufende Security-Provider Trustwave, Verizon Business (der
Managed-Services-Arm des US-Carriers Verizon) sowie der indische Offshore-Dienstleister Wipro. Im
Schlepptau dieser Gruppe finde man CSC und Unisys mit etwas eingeschränkteren Angeboten.
MSSPs in Europa: langsame Weiterentwicklung
"Der Markt für Managed Security Services in Europa ist ausgereift und entwickelt sich nur
langsam weiter", urteilen die Gartner-Analysten Carsten Casper und Tom Scholtz in ihrem Report "
Market Scope for Managed Security Services in Europe" vom 30.9.10. "IT-Infrastruktur- und
Kommunikationsdienstleister dominieren, Sicherheitsspezialisten füllen eine Nische, und das
Wachstum setzt sich fort", so Casper und Scholtz. Da der europäische MSS-Markt in den letzten zwölf
Monaten stärker gewachsen sei als erwartet, gehen die Marktforscher nun für 2010 von einem
Umsatzvolumen von 2,1 Milliarden Dollar aus.
Als einzigem MSSP auf dem europäischen Markt haben die Gartner-Analysten Verizon Business die
Bestnote "Strong Positive" verliehen. Zur Verfolgerschar zählen sie aus dem Carrier-Umfeld
AT&T, BT Global Services, die France-Telecom-Tochter Orange Business Services und T-Systems,
außerdem die IT-Service-Provider Atos Origin, Computacenter, CSC, HP und IBM, die
Security-Spezialisten Integralis, Secureworks und Symantec sowie die Offshore-Anbieter HCL, Wipro
und – wenngleich etwas abgeschlagen – Tata.
Anbietervielfalt
Die Provider-Landschaft auf dem MSSP-Markt ist allerdings vielfältiger, als es Berichte mit dem
für diese Analystenhäuser typischen Fokus auf international tätige Großkunden vermuten lassen.
Hinzu kommen nicht nur jene Provider, die bei den Reports an den hoch gelegten
Qualifikationsmesslatten scheitern (darunter im Fall des Gartner-Reports etwa Dimension Data,
Fujitsu, Telefonica, Telindus oder auch Unisys). Vielmehr gesellen sich zu den großen MSSPs mit
breitem Portfolio auch noch Spezialanbieter wie Antispameurope, Blue Coat, Eleven, Retarus oder
regionale Größen wie Secunet. Einen Überblick über die MSSP-Landschaft im deutschsprachigen Markt
gibt unsere Marktübersicht (Seite 28) auf der Basis einer Web-basierten Befragung der einschlägigen
Anbieter.
Nicht vergessen darf man zudem die zentral gemanagten Dienste, wie sie die Betriebssystem-,
Plattform- und Applikationsanbieter standardmäßig liefern – und die heutzutage bei einer Vielzahl
von Anwendern unbeachtet im Hintergrund laufen, ohne dass jemand einen Gedanken daran verschwendet,
dass er durch den fernverwalteten Bezug von Sicherheits-Patches praktisch MSSP-Kunde ist. Manch ein
Unternehmen verlässt sich für die Aktualisierungen der Microsoft-Software ganz selbstverständlich
auf die Windows-Update-Services, und auch das manuelle Aktualisieren von Virenerkennungsmustern ist
schon recht aus der Mode gekommen.
Sonderfall Mittelstand
Bei einer Reihe von LANline-Interviews zum Thema MSSP – darunter auch auf der IT-Security-Messe
IT-SA Ende Oktober in Nürnberg – war jedoch vor allem die Bandbreite der Anwenderschaft immer
wieder Diskussionsthema: Einigkeit herrschte bei den Anbietern darüber, dass das Prinzip MSSP im
Großkundenumfeld akzeptiert und oft sogar gesetzt ist: "Größere Unternehmen haben keine
Berührungsängste, die komplette IT outzusourcen", erklärte zum Beispiel Dr. Markus Müller, Leiter
Managed Security Services bei Secunet, gegenüber LANline, "und das Gleiche gilt für Managed
Security." Ähnlich etabliert sind Managed Security Services am unteren Rand des Firmenspektrums:
Viele Kleinunternehmen sind froh, die lästige Absicherungsarbeit dem Softwareanbieter oder zum
Beispiel einem spezialisierten Anti-Virus- oder Anti-Spam-Dienstleister überlassen zu können.
Als ein Marktsegment, dass sich den Avancen der MSSPs nach wie vor häufig verweigert, führten
die Provider jedoch immer wieder den Mittelstand an, damit also eine – unabhängig davon, wie man
den vagen Terminus definiert – wichtige Gruppe von Unternehmen. Ein Hemmschuh für Investitionen in
Managed Security Services sei häufig das verborgene Kostenpotenzial der IT-Risiken: "Security ist
ein Thema, das nicht wirklich drückt, solange noch nichts passiert ist", erläutert Müller von
Secunet. "Der Nutzen von Managed Security ist nicht vorab evident, die Kosten aber sind – anders
als beim internen Betrieb der IT-Sicherheit – sofort bezifferbar." Bestimmte Branchen seien
allerdings MSSP-affiner, zum Beispiel der Bankenbereich oder auch stark Internet-abhängige
Unternehmen: Hier habe man gelernt, "dass die Agenturen, die Web-Applikationen zusammenbauen,
häufig nicht das nötige Security-Know-how mitbringen, um dies angemessen abzusichern", so Müller.
Auf weniger Resonanz stießen Managed Security Services hingegen in Industrie und Handwerk.
Norman-Manager Angerer wiederum sieht die Mittelständler als "gebrannte Kinder des E-B
usiness-Hypes": "Der Mittelstand will, dass Produktionssteigerungen klar dargelegt werden. Hier
wird genau hingeschaut: Wo liegt mein ROI (Return on Investment)?" Im Security-Umfeld ist dieser
aber höchstens mit aufwändigen Risikoanalysen belegbar.
Guido Moezer, Product Manager Support and Managed Services bei der NTT-Tochter Integralis,
hingegen gab sich im Gespräch mit der LANline geradezu euphorisch: "Der MSSP-Markt öffnet sich
wesentlich stärker als vor Jahren." Insgesamt verzeichne Integralis eine sehr positive Entwicklung
und steigende Nachfrage in fast allen Bereichen – wobei Integralis allerdings seit der Übernahme
durch NTT die gesamte Kundenbasis des internationalen Netzbetreibers auf MSS ansprechen kann. Doch
auch der Mittelstand, erklärt Moezer, "kommt langsam in diesem Bereich" – wobei manch ein
verantwortungsbewusster Firmeninhaber beim Security-Outsourcing vor einem Interessenkonflikt stehe:
"Was mache ich mit meinen Mitarbeitern?"
Einsatz und Monitoring
Insgesamt bestätigen die deutschen Anbieter die positive Markteinschätzung der Analysten: "
Ähnlich wie bei der physischen Sicherheit machen Unternehmen zunehmend auch bei der IT-Security
Gebrauch von externen Dienstleistern", so Dr. Frank Kedziur, Head of Business Continuity, Security
and Governance Practice bei BT Germany. Das Feld der für eine Auslagerung geeigneten Services sei
groß und umfasse gemanagte Firewalls, VPNs und IDS/IPS ebenso wie Viren- und Spam-Abwehr oder
Content Filtering. Die Nachfrage werde dabei vielfältiger: "Getrieben von der Mobilität und der
Vernetzung fragen Unternehmen heute zusätzlich auch Services rund um Themen wie
Vulnerability-Management, Risk- und Compliance-Management, Identity-Management, Security Monitoring
und Log File Retention an", so Kedziur. "Das ist eine logische Weiterentwicklung innerhalb des
MSS-Markts."
"Der Haupttreiber für die Akzeptanz von Managed Security ist das 24/7-Management" (also die
Verwaltung rund um die Uhr), so Mark Laureys, Business Development Director EMEA bei Verizon
Business. Von zentraler Bedeutung sei es hier, dass der Kunde aussagekräftige Alarme erhalte. Um
ihren Kunden den geforderten Überblick über den Sicherheitsstatus zu geben, stellen MSSPs in der
Regel Informationen per Web-Portal zur Verfügung. Die Funktionsfülle dieser Interfaces variiert
allerdings stark. "Ein MSS-Provider sollte sowohl den augenblicklichen Security-Status aller
gebuchten Services als auch deren Statistiken über ein gesichertes Web-Portal darstellen", so
BT-Mann Kedziur. "Die Portale sind oft individuell konfigurierbar, sodass der Kunde aus
vorgefertigten Elementen schnell seinen spezifischen Satz an Reports erstellen oder erstellen
lassen kann." Dies gehe mitunter mit der Buchung von Cloud-Services einher, bei der ein Kunde
Dienste – beispielsweise sichere Mailboxen – flexibel buchen oder abbestellen kann.
Denn auch die MSSPs setzen verstärkt auf Virtualisierung, um die Flexibilität und Skalierbarkeit
ihrer Security-Angebote zu erhöhen – und um diese trendkonform als "Cloud-Services" zu vermarkten. "
Security-Services gibt es als reine Cloud-Dienste oder als Hybridlösung bestehend aus Geräten vor
Ort und Diensten in der Cloud", erläutert Dietmar Schnabel, Sales Director DACH und Eastern Europe
bei Blue Coat. Hier sieht er Wachstumspotenzial: "Cloud-Services sind perfekt für Managed Service
Provider. Denn diese können sie auch denjenigen Kunden anbieten, die für eine Installation mit
Geräten vor Ort einfach zu klein sind." Jörn Diercks, Chief Security Strategist EMEA bei
Attachmate-Tochter NetIQ, wiederum rät Anwenderunternehmen und MSSPs zu mehr Automation. Dann
könnten zum Beispiel bei der Einstellung eines neuen Mitarbeiters sogar Prozesse wie das Anlegen
eines Kontos beim MSSP automatisch ablaufen.
Wie beim Outsourcing und der Nutzung von Cloud-Services ist es auch für deutsche MSSP-Kunden
wichtig zu wissen, dass ihre Datenbestände bei einem Service-Provider nicht nur sicher, sondern
zudem im deutschen Rechtsraum verwahrt sind. Deshalb betont zum Beispiel Walter Schumann, Vice
President Sales bei Eleven, dass sich sämtliche Data Center von Eleven in Deutschland befinden –
ein wichtiges Vertriebsargument für den E-Mail-Security-Anbieter, der sein Portfolio kürzlich um E-M
ail-Archivierung erweitert hat. Bei Compliance-Bedenken lohnt sich somit immer die gezielte
Rückfrage nach dem RZ- und dem Backup-Standort.
So flexibel der MSSP-Ansatz ist: Irgendwo hat auch er seine Grenzen. Secunet-Manager Müller
betont zwar, dass ein Unternehmen im Prinzip jeden IT-Security-Aspekt an einen MSSP abgeben könne,
warnt aber: "Das Risiko verbleibt immer beim Unternehmen – Verantwortung und Risiko-Management
lassen sich nicht auslagern." Ähnliches gelte für die weichen Faktoren der IT-Sicherheit wie die
Security Awareness der Mitarbeiter als Schutzschild gegen Social Engineering. "Dies ist eine Frage
der Unternehmenskultur", so Müller – also ebenfalls nicht Outsourcing-geeignet. Deshalb bieten
diverse Security-Provider wie eben auch Secunet ergänzende Awareness-Schulungen an.
Ausblick
"Der Markt wird sich konsolidieren", ist sich Schumann von Eleven sicher. Denn die Unternehmen
fragten zunehmend nach gebündelten Services statt nach Punktlösungen. Für den europäischen Markt
erwartet Gartner bis 2014 ein jährliches Durchschnittswachstum von 14 Prozent. 2011 soll das
Umsatzvolumen damit ebenfalls "signifikant" zulegen. Die Fernverwaltung von Sicherheits-Equipment
des Kunden werde weiterhin das dominante MSS-Modell bleiben, aber auch gehostete und Cloud-basierte
Services sollen stetig an Fahrt gewinnen. Oliver Dehning, CEO von Antispameurope, sieht den "Chasm"
– das Einbrechen der Nachfrage nach der ersten Welle der Early Adopters (gemäß Geoffrey A. Moores
Buch "Crossing the Chasm") – bei Cloud-basierten Managed Security Services als überwunden an: Er
rechnet mit steigender Akzeptanz nach MSS und sieht die Systemhäuser gefordert, sich entsprechende
Beratungs- und Vermittlungskompetenz zu erarbeiten. "Bedarf an MSS aus der Cloud ist bei den
multinational agierenden Unternehmen heute schon vorhanden", bestätigt Guido Moezer von Integralis.
"Im Bereich Web und Mail fordern die CIOs Services, bei denen man mit variablen Lasten oder
User-Zahlen kalkulieren kann." Doch die Gartner-Forscher warnen: "Obwohl Bereitstellung aus der
Cloud und Virtualisierung deutlich sichtbare Trends darstellen, sind die Angebote und
Preisgestaltungen nicht immer klar." Denn "Cloud" und "SaaS" seien nach wie vor vage Begriffe, die
jeder Anbieter für sich interpretiere. Eine weitere Hürde: "Es gibt auch noch keinen auf breiter
Basis akzeptierten Standard für die Preise des Monitorings und Managements virtualisierter
Sicherheitsinfrastruktur", so Casper und Scholtz. Die Unternehmen könnten aber jedenfalls im
Vergleich zu lokal betriebenem Equipment mit niedrigeren Preisen rechnen – und sollten diese auch
einfordern.
Lesen Sie mehr zum Thema
