Noch Zurückhaltung bei Managed-Security-Services
Viele Gesichter, noch wenig Profil
Managed Security - IT-Sicherheit als dauerhaft extern erbrachte Dienstleistung - ist ein sehr weites Feld, dessen Strukturen sich gerade erst formen. Sogar die Marktforscher haben ihre Probleme, das gesamte Spektrum der Managed-Security-Services (MSS) zu bewerten. Einig sind sich jedoch alle, dass der MSS-Markt noch unter seinen Möglichkeiten bleibt. Hohe Komplexität, ein rechtlich immer enger geschnürtes Korsett und ökonomische Aspekte weichen langjährige Vorbehalte gegen das Outsourcing von Security aber auf.
Managed-Security-Services gehören zu den jüngeren Dienstleistungsdisziplinen am Markt. Die
Angebote haben oft noch experimentellen Charakter (und verschwinden nicht selten sehr schnell
wieder – zum Teil mitsamt Anbieter), und die direkt bezifferbaren Umsätze sind noch eher
bescheiden. Sogar der Begriff selbst ist noch so diffus wie eine Rundstrahlantenne. Während sich
Marktforscher wie Frost & Sullivan und Gartner in ihren Prognosen und Analysen auf den
ausgewiesenen MSS-Markt konzentrieren, sieht IDC darin nur die Spitze des Eisbergs und arbeitet an
Methoden, beispielsweise auch als "Infrastrukturservice" verpackte Security-Dienste zu
beziffern.
Die Schwierigkeit liegt wohl in den zahlreichen Spielarten und Spielern in diesem Geschäft. So
kann das Personal vor Ort zum betreffenden Unternehmen bestellt werden oder vom Provider aus
operieren, die zu verwaltenden Geräte stehen in manchen Fällen beim Nutzer, in anderen Fällen
betreibt sie der Provider in seinen Räumlichkeiten.
Blick auf das Spielfeld und seine Figuren
Den Markt bedienen unterschiedliche Anbieterkategorien, die mit spezifischen Herangehensweisen
verschiedene Zielgruppen ansprechen, sich aber teilweise deutlich überlagern. So gibt es
beispielsweise die klassischen IT-Dienstleister und Systemintegratoren, die in der Regel das
komplette IT-Spektrum abdecken und typischerweise eine starke globale oder regionale Präsenz
zeigen. Das Gros des Geschäfts läuft hier über individuelle Großprojekte. Zu den führenden
Vertretern dieser Kategorie gehören beispielsweise IBM Global Services, Unisys, HP, Infosys, Wipro,
CSC, EDS, Logica CMG und Cap Gemini.
Die zweite große Gruppe sind die TK- und Netzwerk-Service-Provider. Auch sie decken meist das
gesamte IT-, zusätzlich das TK-Spektrum ab. Neben großen Projekten spielen hier speziell im Bereich
Security zunehmend "Fertigpakete" eine Rolle. Das prädestiniert diese Gruppe auch für mittlere und
kleine Organisationen, zu denen sie ohnehin oft einen guten Draht haben. Die europäischen "Big
Player" in diesem Segment sind die großen Incumbents (Ex-Telefoniemonopolisten) beziehungsweise
deren Servicetöchter.
Incumbents und ihre Servicetöchter
Dazu zählen BT, Orange Business Services (OBS, vormals France Telecom/Equant), T-Systems,
MCI/Verizon, AT&T, Telefónica und Telecom Italia. So bietet nun zum Beispiel OBS von fünf
Rechenzentren aus Intrusion-Prevention-Dienste zur Gefahrenabwehr in Echtzeit. Aber auch zahlreiche
kleinere oder regional tätige Netzbetreiber und Service-Provider sind hier aktiv.
Ein weiteres großes Segment bilden die Netzwerkintegratoren, die ihren Servicebereich meist aus
dem Geschäft mit Netzwerkkomponenten großer Hersteller wie Cisco, HP und anderen heraus entwickelt
haben. Sie verfügen meist über sehr starke Beziehungen zu den IT-Abteilungen in Unternehmen und
kennen sich in der Datenwelt perfekt aus. Viele dieser Netzwerkintegratoren haben inzwischen auch
Expertise in Sachen Sprache und konvergente Netze, Applikationsservices und Management weiterer
Netzkomponenten aufgebaut. Einige sehen sich daher bereits mehr als System- denn als
Netzwerkintegratoren. Beispiele sind Dimension Data, Telindus, Simac und Affiniti.
Weitere Gruppe: Managed Security Service Provider
Bleibt als vierte Gruppe noch die Spezies des dedizierten Managed Security Service Providers
(MSSPs). Deren größter Trumpf ist ein spezialisiertes Security-Know-how und -Produktportfolio.
Paneuropäische Repräsentanten dieser Gruppe sind zum Beispiel Ubizen (Cybertrust) und Integralis.
Es gibt hier jedoch auch zahlreiche Nischen-Player, die oft ebenfalls eine starke Marktpräsenz
aufweisen. Gartner zählt in seiner Studie "European Managed Security Service Provider Market
Overview, 2006" dazu etwa Blackspider, Messagelabs, Scan-safe und Verisign. Hinzu kommen die
Anbieter von Security-Tools, die ebenfalls verstärkt MSS im Programm führen. Beispiele sind hier
ISS, McAfee, Symantec oder Wick Hill – letzterer als Vertreter der Value-Added-Distributoren im
Security-Umfeld.
Hohe Dunkelziffer erschwert Prognose
Das Problem mit den Marktprognosen im Bereich der Managed Security liegt offenbar in einer sehr
hohen "Dunkelziffer". Diese entsteht aus der Arbeit der IT-Dienstleister, TK-Provider und
Netzwerkintegratoren (Gruppen eins bis drei), die sich im wachsenden Maße um Security-Themen
kümmern, ihr Angebot aber in der Regel nicht nach Funktionen, sondern sinnvollerweise nach
IT-Ebenen wie IT-Infrastruktur, Desktop-Services, Applikationsmanagement etc. gliedern. Eine
Ausnahme bilden die noch jungen Security-Pakete, wie sie derzeit bei diversen
TK-/Netzwerk-Providern erscheinen. Sicherheit ist bei diesen Dienstleistern sonst fast überall ein
ganz wesentlicher Bestandteil, wird aber selten explizit ausgewiesen oder gar in Geldbeträgen
quantifiziert. In den gängigen Marktstudien zum Thema Managed Security fällt dieser komplette
Bereich unter den Tisch. Da deswegen niemand auch nur annähernd genau sagen kann, wieviel
Unternehmen für Security-Dienstleistungen insgesamt tatsächlich ausgeben, eruiert IDC gerade
Möglichkeiten, die "versteckten" Security-Services mit zu erfassen. Die Marktforscher hoffen, im
Laufe des kommenden Jahres ihre Studien zu "Professional IT-Services" auch für einige horizontale
Funktionen wie eben Security herunterbrechen zu können.
Zahl der expliziten Dienstleistungen ist gering
Explizite Security-Dienstleistungen machen den Schätzungen von Experten zufolge den weit
geringeren Teil der Sicherheitsdienstleistungen aus, lassen sich aber einfach in Zahlen und
Statistiken fassen. So hat das Marktforschungsinstitut Frost & Sullivan im Rahmen einer Studie
den europäischen MSS-Markt untersucht. Die Analysten prognostizieren eine Verdreifachung des
Umsatzes dieser Branche von 73 Millionen Dollar im Jahr 2001 auf 250 Millionen Dollar im Jahr
2008.
Die Meta Group versucht, eine Idee vom Gesamtmarkt zu geben. Eine Schätzung für
Security-Services vom vergangenen Jahr nennt ein Volumen von 1,6 Milliarden Euro allein in
Deutschland. Das Marktwachstum in diesem Sektor soll recht konstant um zehn Prozent liegen. Vor
allem in den Mittelstand werden hohe Erwartungen gesetzt. Gartner nennt in einer aktuellen Studie
vom Februar dieses Jahres keine absoluten Zahlen, geht jedoch davon aus, dass der westeuropäische
Markt für MSS von 2004 bis 2009 um jährlich 14,9 Prozent wächst.
Auch wenn diese Prognosen sehr verheißungsvoll klingen, glauben die Auguren, dass noch
wesentlich mehr drin sein könnte. Die Vorsicht resultiert vor allem aus den Erfahrungen mit MSSPs
in den letzten zwei bis drei Jahren: Am Ende der IT-Boomjahre investierten viele MSSPs in den
Aufbau von Sicherheitsrechenzentren (Security Operations Centers, SOCs), von denen aus sie
beispielsweise die Firewalls ihrer Kunden überwachen und betreiben wollten. Seit dem Einbruch der
Technologiebörsen sind viele dieser Anbieter wieder verschwunden oder haben ihre
Outsourcing-Angebote eingestellt.
Security-Outsourcing-Druck nimmt zu
Der Zusammenbruch der Finanzmärkte überlagerte allerdings den wahren Grund für das Scheitern
vieler MSSPs ein wenig: Den sieht beispielsweise Gartner aktuellen Umfragen bei Anwendern zufolge
nämlich vorrangig in unzureichender Kundenzufriedenheit. Offenbar haben die Provider noch nicht den
Nerv der Anwenderwünsche getroffen. Hinzu kommt, dass zahlreiche potenzielle Anwender ohnehin noch
ein Problem damit haben, sensible Aufgaben wie Security aus der Hand zu geben. Außerdem schätzen
sie ihre eigene Verwundbarkeit ebenso wie das Einsparpotenzial beim Outsourcing oft noch zu niedrig
ein. Wenn sich die MSSPs nicht allzu dumm anstellen, könnte sich das Blatt allerdings sehr schnell
wenden: Mehrere Faktoren erhöhen massiv den Druck bei Unternehmen, sich nach Alternativen zur
Self-made-Security umzusehen.
Uwe Becker von Orange Business Services sieht bei seinen Kunden vor allem die gestiegene
Komplexität der Sicherheitssysteme sowie den Druck zur Technikhomogenisierung und Kostenreduktion
als treibende Kräfte für Security-Outsourcing-Überlegungen: "Laufend kommen neue
Security-Technologien oder Weiterentwicklungen vorhandener Techniken auf den Markt", so Becker. "
Aktuelle Beispiele sind Intrusion Prevention, Personal Security, Unified Threat Management und
Ähnliches. Der Aufwand, die Mitarbeiter auf dem Laufenden zu halten, steigt rasend schnell." Hinzu
kommen laut Becker Anforderungen wie kurze Reaktionszeiten (zum Beispiel gegen "Day Zero Attacks"),
Schutz rund um die Uhr ("24/7") und die ständige Auswertung von Log-Daten – alles Aufgaben, die die
Anforderungen an die Personaldecke unverhältnismäßig erhöhen würden. "An aktuelle
Bedrohungsszenarien angepasste Security-Lösungen verlangen ganz klar eine Verlagerung der
Investionskosten (Capex) auf Betriebskosten (Opex)," betont Becker.
Schwerer Stand für den IT-Security-Manager
Diverse Umstände erschweren einem IT-Security-Manager in Unternehmen heute das Leben. Dazu
gehören immer mehr Vorschriften wie SOX (Sarbanes-Oxley Act), Basel II, Kontrag und weitere
Gesetze, deren Einhaltung inzwischen unter verschärfte Beobachtung gerät. Ein
Security-Dienstleister kann den Unternehmen zwar nicht die Verantwortung für die Compliance
(Einhaltung der Richtlinien) abnehmen, sehr wohl aber als Nachweis der gebotenen Sorgfaltspflicht
dienen. Fehler lassen sich auch mit einem Security-Provider nicht ausschließen, jedoch lässt sich
die Gefahr verringern, im Fehlerfall in Haftung genommen zu werden. Voraussetzung ist allerdings,
dass der gewählte Provider eine entsprechende Compliance-Kompetenz nachweisen kann.
Ein weiteres Thema sind ITIL-konforme Betriebsprozesse, die auch sehr stark den Security-Bereich
tangieren. Die IT Infrastructure Library (ITIL) ist ein in den Unternehmen zunehmend akzeptierter
Leitfaden, der die IT von der angestammten Technikorientierung in eine Richtung führen soll, in der
der Servicegedanke oberste Priorität hat. Externe Dienstleister haben sich zum Teil schon länger
darauf vorbereitet; in den unternehmenseigenen IT-Abteilungen fasst dieser Gedanke nur sehr langsam
Fuß.
Dabei ist es durchaus sinnvoll, schon von Beginn an einen ganzheitlichen Ansatz im Fokus zu
haben: Bei typischen MSS-Aufgaben wie Firewall-Management, Spam- und Virenabwehr sowie Intrusion
Prevention geht es heute nicht mehr nur darum, auf Angriffe zu reagieren, sondern sie durch
präventive Security-Mechanismen gar nicht erst in Erscheinung treten zu lassen.
Erfahrung ist für die Umsetzung zwingend notwendig
Zur Umsetzung dieser Anforderung bedarf es neben stets aktueller Kenntnisse sehr viel Erfahrung.
Der Praktiker weiß: Über beides verfügt ein dedizierter Security-Anbieter meist weit eher als eine
hausinterne IT-Abteilung. Dies betrifft auch die Sicherheitsverfahren, die im Zuge von
IP-Sprachservices (VoIP) nötig werden. Auf diesem Gebiet haben sogar Security-Spezialisten oft noch
Lücken.
Thomas Fink, Business Development Manager bei Brainforce, sieht für die Security Provider noch
Aufgaben, die unter den Begriff "interne Kontrolle" fallen. Im Grunde geht es dabei um alle
Maßnahmen, die einen Datenklau durch eigene Mitarbeiter verhindern sollen. "Nicht nur die von
Anwendern sehr geschätzten USB-Sticks haben neue Gefahren in die Unternehmen gebracht, auch Tricks
beispielsweise mit Um- oder Weiterleitung sensibler Mails an bestimmte Accounts gilt es zu
enttarnen und zu unterbinden", so Fink. "Bei der internen Sicherheit sehe ich für die Zukunft ein
großes Potenzial für externe Dienstleister".
Die Inanspruchnahme eines externen Dienstleisters bedeutet nicht, dass die hauseigenen
IT-Mitarbeiter in puncto Security die Köpfe in den Sand stecken sollen. Zielführend ist nach
Meinung vieler Experten eine gesunde Balance. Auch beim dazu nötigen Aufbau von aktuellem Wissen
kann ein Dienstleister hilfreich sein. So hat beispielsweise Cybertrust kürzlich für seine
MSS-Kunden einen speziellen Informationsdienst eingeführt, die "Intelligence Services": Ein von der
Cybertrust-Tochter Ubizen bereitgestelltes Dashboard bietet hier umfassende
Sicherheitsinformationen und statistische Aussagen zur Gefahrenlage, aus denen Unternehmen
zusätzliche Erkenntnisse für ihre eigenen Systemumgebungen ableiten können.
Vorbehalte bleiben noch auszuräumen
Der Markt müsste förmlich nach MSSPs lechzen. Nachdem das reale Wachstum in dieser Branche aber
weit von einem Boom entfernt ist, gilt es, offensichtlich noch vorhandene Vorbehalte aus dem Weg zu
räumen. Ein gutes Mittel dazu sind Service-Level-basierte Vertragsmodelle, die inzwischen zum
Standard gehören sollten. Preisgestaltungen, die sich nach der Anwenderzahl richten, erlauben
überschaubare Einstiegskosten und bieten Flexibilität für Wachstum.
Noch bedarfsgerechter geht es mit On-Demand-Services, die jetzt auch bei einigen MSSPs Einzug
halten. Postini zum Beispiel bietet einen On-Demand-Service für E-Mail-Archivierung, Spam-Filterung
und Verschlüsselung an. MSSPs müssen alle Maßnahmen ausschöpfen, die das Vertrauen der Anwender
fördern und Planungssicherheit gewährleisten.
Lesen Sie mehr zum Thema
