Security Services aus der Schweiz

Security-Lösungen aus der Wolke, also der Bezug von IT-Sicherheitsfunktio­nalitäten aus der Cloud, erfreuen sich einer immer grösseren Beliebtheit. Laut einer Studie der Marktforscher von Gartner aus dem letzten Jahr wird sich dessen Nutzung bis 2013 in vielen Bereichen verdreifachen. Und wie der Branchenverband Bitkom Ende letztes Jahr in einer Studie herausgefunden hat, nutzen in Deutschland aktuell bereits etwa 20 Prozent aller Unternehmen Security-as-a-Service (SECaaS)-Lösungen.
Auch im Schweizer SECaaS-Markt tut sich derzeit einiges, obschon die Verbreitung im Enterprise-Umfeld laut Mark Stäheli, Mitglied der Geschäftsleitung von Avantec, noch bescheiden ist. Im Bereich E-Mail Security sind es laut ihm aktuell etwa 15 Prozent, im Bereich Web Security sogar erst 5 Prozent der Schweizer Unternehmen, die eine SECaaS-Lösung einsetzen. Obschon für Stäheli die Vorteile von SECaaS sehr gross wären: «SEC-aaS eignet sich für kleinere und mittlere Unternehmen, welche begrenzte IT-Ressourcen oder begrenztes Know-how haben.

Dank SEC­aaS erhalten auch sie einen optimalen Schutz zu akzeptablen Kosten und ohne Ressourcenbindung.» Für Martin Kulendik, Advisory Security Sales Specialist bei IBM Schweiz, spielt bei den Überlegungen für SECaaS auch der Trend nach BYOD (Bring Your Own Device), der laufend zunimmt, eine wichtige Rolle, weil damit auch die entsprechenden Anforderungen an die Sicherheit steigen. «Sicherheitslösungen werden deshalb vermehrt als Service und nicht einfach als Software nachgefragt», so Kulendik. T-Systems erklärt derweil, dass sich mit Cloud Security wichtige Ansprüche der Unternehmen wie sehr kurze Reaktionszeiten auf Veränderungsanforderungen (Signaturen, Files, Update und Code Fixes), geringere Bereitstellungs- und Nutzungskosten sowie eine zentrale Verwaltung der Ereignisdokumentation gut erfüllen lassen.

Junger Markt mit grosser Dynamik

Noch ist der Schweizer SECaaS-Markt sehr jung. Die Mehrheit der Anbieter ist im Schnitt erst seit drei bis vier Jahren in diesem Bereich und in ganz unterschiedlichen Kundensegmenten tätig. Und viele Unternehmen bauen diesen Geschäftszweig aktuell erst auf. Weiter gibt es im Markt neben bekannten, traditionellen Software-Herstellern noch eine Vielzahl von kleinen, lokalen Security-Spezialisten sowie grosse Cloud-Service-Provider. Dementsprechend schwer ist es, eine umfassende Marktübersicht zusammenzustellen.
«Swiss IT Magazine» hat die verschiedenen Hersteller, Provider und die namhaftesten Schweizer Security-Spezialisten angeschrieben und kann untenstehend zehn Schweizer SECaaS-Anbieter präsentieren, die Services in mindestens drei von der Cloud Security Alliance (CSA) im vergangenen Jahr definierten zehn SECaaS-Kategorien anbieten. Einen Anspruch auf Vollständigkeit erheben wir, aus den oben genannten Gründen, ausdrücklich nicht.

Umfassende Angebotspalette

Unternehmen können in der Schweiz mittlerweile aus einer wahren Vielfalt von SECaaS-Angeboten auswählen. Die verschiedenen Anbieter bieten heute neben Web und E-Mail Security auch Services in vielen anderen SEC-aaS-Kategorien an. Wie der Blick in die Marktübersicht zeigt, können heute bei den meisten Anbietern auch bereits Lösungen für das Identity and Access Management (IAM), Data Loss Prevention (DLP) oder Network Security als Service aus der Wolke bezogen werden. Aber auch Themen wie Disaster Recovery, Security Assessments oder das Intrusion sowie das Security Information and Event Management (SIEM) werden heute vielerorts als Service angeboten, beispielsweise von IBM, ITcom Pro oder T-Systems, die alle drei alle zehn Kategorien abdecken. Manche Anbieter bieten einzelne Lösungen zwar noch nicht aus der Cloud, dafür aber als Managed Service (siehe dazu Infobox «SEC­aaS ist nicht gleich Managed Service») oder wie Avantec als ergänzende, herkömmliche On-premise-Lösung oder -Appliance an und bieten damit ebenfalls einen Rund-um-Security-Service.

Zu den Security-as-a-Service-Angeboten gehört bei allen Anbietern auch ein entsprechendes Support-Angebot. Dieses umfasst mindestens einen 7x24 Helpdesk beziehungsweise eine 7x24 Helpline, in den meisten Fällen inklusive Remote-Support. Bei Swisscom und Integralis sind ausserdem, was für klassisches SECaaS eigentlich unüblich ist, für Kunden auch individuelle Service Level Agreements (SLA) erhältlich.

Aus Schweizer Rechenzentren

Wenn es um das Thema Cloud Computing geht, tauchen auch immer wieder Bedenken bezüglich sicherheitsbezogener Risiken auf. Zumindest was den Standort des Data Centers betrifft, aus dem man seine Lösungen bezieht, kann in unserem Fall grünes Licht gegeben werden: Wie die Marktübersicht zeigt, ist in den letzten Monaten einiges gegangen, so dass heute mit Ausnahme weniger Anbieter wie Integralis oder Webgate die Lösungen eigentlich überall aus einem oder sogar mehreren Data Center in der Schweiz bezogen werden können. Interessant ist diesbezüglich auch der Ansatz von United Security Providers, wo SECaaS einerseits aus der Public Cloud, hauptsächlich Amazon, andererseits aber auch aus den Private Clouds der Kunden selbst angeboten wird. Damit schliesst sich der Kreis am Ende wieder.

SECaaS ist nicht gleich Managed Service

Das Outsourcing von IT-Security im Allgemeinen wird unter dem Begriff Managed Security zusammengefasst. Im traditionellen Sinne entspricht dies allein jedoch nicht dem Cloud-Gedanken, da pro Dienstnehmer jeweils eine eigene Systeminstanz mit einer jeweils eigenen Dienstschnittstelle aufgesetzt wird und die organisatorische Bindung zwischen Dienstnehmer und -anbieter so vergleichsweise hoch ausgeprägt ist. Von SECaaS spricht man erst, wenn der IT-Sicherheitsdienst mandantenfähig ist, das heisst, eine einzige Systeminstanz eine Vielzahl an Kunden bedient und der Aufwand für das Aufsetzen eigener Systeminstanzen entfällt. Aus Sicht des Dienstnehmers stellt der Dienst eine vollständig virtualisierte Ressource da, welche er idealerweise ad-hoc ohne zusätzliche dedizierte Hard- und Software nutzen kann und deren Nutzung feingranular verbrauchsbezogen abgerechnet wird. (Quelle: Bitkom) (mv)