Managed-Security-Services spalten IT-Abteilungen
Wachsende Dienstpalette stößt noch auf Misstrauen
Eine sich ständig wandelnde Bedrohungslage sowie zunehmend schärfere Compliance-Vorgaben stellen Unternehmen in Sachen IT-Sicherheit vor kaum noch in Eigenregie zu lösende Aufgaben. Hinzu kommt ein immenser Kostendruck, denn die damit betrauten Mitarbeiter müssen ständig neu qualifiziert werden - bei Unternehmen mit 24/7-Anforderungen sogar in Dreifachbesetzung. Die Situation schreit förmlich nach Managed-Security-Service-Providern (MSSPs).
In der IT ist der Wandel hin von der Produkt- zur Servicewirtschaft allerdings bislang erst
vergleichsweise verhalten angekommen: So enthält zum Beispiel eine aktuelle Studie von Forrester
Research das Ergebnis, dass Unternehmen aller Größenordnungen derzeit nur zirka 16 Prozent ihres
IT-Sicherheitshaushalts für externes Consulting und Managed-Services ausgeben, während sie nach wie
vor 50 Prozent in Neuanschaffungen und Upgrades eigener technischer Lösungen investieren. Kleine
und mittlere Unternehmen (KMU) tendieren unter dem Strich geringfügig stärker zur eigenen Technik
als Großunternehmen (Quelle: "The State of Enterprise IT Security Adoption: 2007", "The State of
SMB IT Security Adoption: 2007").
Was die Inanspruchnahme speziell von Security-Services anbetrifft, zeigt sich in den Unternehmen
ein durchwachsenes Bild: Tests und Analysen ja – Überwachung und Steuerung nein. Dies ist zumindest
das Ergebnis einer Umfrage, die die Experton Group Anfang 2008 für T-Systems durchgeführt hat.
Demnach sind Unternehmen offen für Sicherheitsanalysen, Penetrationstests, Risikoanalysen und
Implementierungshilfen; wenn es jedoch um die Überwachung und Steuerung der laufenden
Security-Prozesse und -Systeme geht, waltet nach wie vor große Skepsis.
On-Demand-Services als Appetithäppchen
Um ihren Kunden den Einstieg in die Welt der Managed-Security-Services etwas zu erleichtern,
vermarkten Anbieter seit einiger Zeit "On-Demand"-Services, die punktuell nach Bedarf und ohne
lange Vertragslaufzeiten genutzt werden können. Im Grunde widerspricht dies dem Gedanken, dass
Security grundsätzlich umfassend und fortlaufend zu betrachten sei – in einigen Bereichen sind
jedoch dennoch sinnvolle Angebote realisierbar. Ein Beispiel sind digitale Zertifikate und dazu
gehörende Public-Key-Infrastrukturen (PKI) als Managed-Service. Diese Form der Sicherheit in der
elektronischen Kommunikation ist bislang vorwiegend Großunternehmen vorbehalten.
Dem Mittelstand galt die Einführung einer PKI lange als nicht effizient, da hohe Investitionen
in Technik, Personal und Audits nötig waren. Mittels Outsourcing sollen sich Zertifizierungsdienste
nun auch für kleine und mittlere Unternehmen rechnen: "Per On-Demand-Modell kommt das Zertifikat
ähnlich wie der Strom aus der Steckdose, und das ist fast schon eine kleine Revolution im Bereich
PKI", so Dr. Rolf Lindemann, Director Product Management bei der Hamburger TC Trustcenter. "Während
sich für kleinere Firmen oder Arbeitsgruppen ein sogenanntes Teamzertifikat eignet, nutzen
Unternehmen ab einer Größe von rund 50 Mitarbeitern PKI-Lösungen auf Basis eines E-Mail-Gateways",
erläutert Lindemann. "Ab etwa 500 Zertifikaten lohnt sich bereits eine eigens als Managed-Service
betriebene Unternehmens-PKI." Abgerechnet werde ausschließlich teilnehmerbasiert. Pro Teilnehmer
und Monat kämen so durchschnittlich rund 1,20 Euro zusammen.
Das Thema E-Mail ist jedoch auch als Ganzes gesehen ein Topkandidat für
Managed-Security-Dienstleister. Läuft die E-Mail-Kommunikation über die Rechenzentren eines
entsprechenden Providers, erfolgt die gesamte Gefahrenabwehr außerhalb der IT-Infrastruktur des
Unternehmens – suspekte und gefährliche Mails werden abgefangen, bevor sie die unternehmenseigenen
Server und Netzwerke erreichen und dort Schaden anrichten können. Inzwischen tritt jedoch noch ein
weiterer Aspekt in den Vordergrund, der für die Nutzung eines externen E-Mail-Dienstleisters
spricht: die Sicherstellung geschäftsrelevanter E-Mails in jeder Situation und zu jedem
Zeitpunkt.
Hintergrund ist der schier uferlose Spam-Wildwuchs, mit dem Unternehmen zu kämpfen haben (Bild
oben). Spam macht heute nicht selten mehr als 95 Prozent des gesamten E-Mail-Aufkommens von
Unternehmen aus; allein zwischen 2005 und 2007 ist das Spam-Volumen um 5000 Prozent gestiegen.
Angesichts dieser Entwicklung kann schon das "normale" E-Mail-Aufkommen zu dauerhaften Belastungen
von IT-Infrastrukturen führen. Trifft zudem eine große Spam-Welle ein, kann die gesamte
E-Mail-Kommunikation eines Unternehmens schnell zusammenbrechen. Spam-Filter beim Provider sorgen
dafür, dass die Welle sich bereits weit vor den Unternehmenstoren "bricht". Eine zusätzliche
E-Mail-Firewall stellt Nachrichten wichtiger Absender auch dann verzögerungsfrei zu, wenn eben
durch eine Spam-Welle oder einen Denial-of-Service-Angriff gerade eine Spitzenlast am E-Mail-System
anliegt.
VoIP verschärft Disaster-Recovery-Bedarf
Wie aus einer kürzlich veröffentlichten IT-Studie des Handelsblatts und des
Beratungsunternehmens Droege & Comp. hervorgeht, telefonieren heute 19 Prozent der deutschen
Unternehmen über das Internet. Bis zum Jahr 2010 sollen es mehr als die Hälfte sein. Im Zuge der
Einführung von Voice over IP (VoIP) kommen jedoch auch neue Bedrohungen ins Haus: Das Spektrum
reicht dabei von SPIT-Attacken (Spam over Internet Telephony) über das Abhören durch unbemerktes
Umleiten auf einen Fremdserver (Man in the Middle) bis hin zu Spyware, Würmern und Viren. Da sich
Telefone und Computer im gleichen Netz befinden, kann jeder PC oder Laptop zum Einfallstor für
Angriffe werden. Spoofing wird immer beliebter: Über gefälschte IP-Adressen können sich Unbefugte
am VoIP-Server eines Unternehmens anmelden und auf dessen Kosten telefonieren.
Während sich diese Probleme noch durch gut gepflegte Abwehrsysteme wie Firewalls,
Intrusion-Detection- und Verschlüsselungslösungen in den Griff bekommen lassen, entsteht durch die
Konvergenz von Daten und Sprache auf einer gemeinsamen Infrastruktur noch eine ganz andere
Bedrohung, für die es keine so einfach zu handhabende Lösung gibt: Im Fall einer Netzstörung
versagen E-Mail, Internet und Telefon gleichzeitig. Auch der Anruf bei Netzadministrator, wenn das
wichtige Spreadsheet nicht lädt, läuft damit ins Leere. Wer über VoIP nachdenkt, sollte daher auch
gleich angemessene Pläne für Disaster Recovery (Wiederherstellung des Betriebs im Notfall) und
Business Continuity (ununterbrochener Geschäftsablauf) mit ins Kalkül ziehen. Denn die Folgen eines
Netzausfalls sind in konvergenten Architekturen weitaus dramatischer als bei separaten Netzen.
Für Dienstleister gibt es auf diesem Gebiet verschiedene Ansätze. VoIP-spezifische
Bedrohungsabwehr haben inzwischen viele im Programm, in Sachen Disaster Recovery und Business
Continuity präsentieren Outsourcer und SPs neben dem Consulting zunehmend gemanagte
Redundanzlösungen, die sie zum Teil auch in den eigenen Rechenzentren hosten. "Häufig ist eine
verschärfte Sicherheitslage, wie sie beispielsweise eine VoIP-Einführung mit sich bringt, der
Auslöser für Auslagerungsinitiativen", weiß Reinhard Bertram, Leiter des Security Competence
Centers von Siemens IT Solutions and Services. "Unternehmen wollen ihr Geschäft ohne Unterbrechung,
also hochverfügbar, abwickeln. Gleichzeitig soll die IT immer mehr Aufgaben und Anwendergruppen
intelligent unterstützen und damit zur Wertschöpfung beitragen. Aus technischer Sicht steigt nicht
nur die Zahl der Systeme und Netze stetig, sondern auch deren Integrationsgrad. Weil das Management
entsprechender Infrastrukturen meist nicht zur Kernkompetenz der Betriebe zählt, wird es vielfach
ausgelagert."
Der sicherste Weg, den Bedrohungen im Zusammenhang mit VoIP aus dem Weg zu gehen, dürfte das
komplette Outsourcing der Sprachkommunikation sein. Entsprechende so genannte IP-Centrex-Lösungen
finden sich zwar zunehmend vor allem bei den großen TK-Anbietern, große Nachfrage erleben sie indes
noch nicht. Mit steigendem Sicherheitsbewusstsein soll sich dies nun aber rasch ändern – das hoffen
zumindest die entsprechenden Provider.
Die so genannte Endpunktsicherheit gehört zu den klaren "Aufsteigern" im Sicherheitsbewusstsein
der Unternehmen. Treiber ist unter anderem die dramatische steigende Zahl schnurloser und mobiler
Geräte, deren Netzverbindungen oft ein unkalkulierbares Risiko bergen. Hier geht es darum, die
Identität eines Benutzers zweifelsfrei festzustellen, um ihm anschließend passgenau Rechte,
Applikationen etc. zuzuweisen.
Managed Endpoint Security
Dabei können auch sein aktueller Aufenthaltsort, die Art der Verbindung, die Zugehörigkeit zu
einer Gruppe und vieles weitere mit einfließen. Was zusätzlich mit einfließt, ist der Status des
verwendeten Endgeräts in Bezug auf die im Unternehmen festgeschriebenen Sicherheitsregeln: Nur wenn
beispielsweise die Personal Firewall, der Spyware- sowie der Virenschutz mit den
Unternehmensrichtlinien konform gehen, bekommt das Gerät überhaupt Zugang.
Cisco bietet für diese Art der Zugangskontrolle bekanntlich den NAC-Ansatz (Network Access
Control). Parallel hat Microsoft seine NAP-Plattform (Network Access Protection) entwickelt und
Industriepartnerschaften aufgesetzt. Heute tummeln sich über 35 Hersteller in diesem Markt, und die
Zahl wächst rasch. Neben Security-Anbietern sind darunter auch einige der etablierten Player aus
dem Netzwerkmarkt wie Extreme, Enterasys, Foundry, HP Procurve und Juniper. Inzwischen hat
Microsoft mit Vista und XP Service-Pack 3 die Voraussetzungen für NAP-basierte NAC-Lösungen
geschaffen, und einige der Partner kommen mit Integrationslösungen auf den Markt.
Auch bei NAC bietet sich eine Reihe von Ansätzen für externe Dienstleister an, wenngleich es
sich hier um tief in die aktive Netzwerkinfrastruktur eingebettete Aufgaben handelt. Zunächst wird
sicher das Consulting im Mittelpunkt stehen – mit zunehmender Reife des Marktes erwarten Experten
jedoch auch hier echte Managed-Security-Services – in diesem Fall als Bestandteil übergeordneter
Managed-Network-Services.
Ausblick: noch deutliches Wachstumspotenzial
Der deutsche Markt für IT-Security-Dienstleistungen zieht deutlich an. So erwarten etwa die
Analysten der Experton Group für 2009 in Deutschland einen Umsatz von knapp 2,4 Milliarden Euro,
ein Plus von 13 Prozent im Vergleich zu 2,1 Milliarden Euro in diesem Jahr. Viele Unternehmen
hätten jedoch noch große Probleme sowohl bei der Wahl der auszulagernden Dienste als auch bei der
Wahl des passenden Dienstleisters. Drei von vier deutschen Unternehmen nutzten die
Security-Services externer Dienstleister für Wartungs-, Support- oder
Integrationsdienstleistungen.
Unabhängig von der Art der genutzten Dienstleistungen raten die Analysten den Unternehmen aber,
die übergeordnete Verantwortung für IT-Security immer bei sich im Haus zu behalten: "Für
Managed-Security-Services, also im weiteren Sinne Betriebsdienstleistungen im Sicherheitsumfeld,
sollten Unternehmen stets einen kompetenten internen Ansprechpartner vorhalten", rät Wolfram Funk,
Senior Advisor bei der Experton Group. Der Analyst sieht aber "die konkrete Ausführung spezifischer
Aufgaben wie etwa Monitoring, Forensik oder Konfigurationsmanagement, für die Unternehmen keine
internen Ressourcen aufbauen möchten oder können, bei externen Dienstleistern durchaus gut
aufgehoben".
Zahlreiche Hersteller von Security-Lösungen zielen heute bereits dediziert auf das
Provider-Segment: Anbieter wie zum Beispiel Fortinet, Phion oder auch Symantec haben inzwischen
jeweils einen Teil ihres Portfolios darauf zugeschnitten, Managed-Services aus der Hand eines
Providers zu unterstützen. Jetzt müssen nur noch die Anwender mitspielen.
Lesen Sie mehr zum Thema
