Nicht jeder Reseller kann so ohne Weiteres das Geschäft mit IT-Sicherheit betreiben. Dazu sind umfangreiche Kenntnisse des Marktes unabdingbar. Hinzu kommt die Tatsache, dass kaum ein anderes Segment der IT-Branche so starkem Wandel unterworfen ist, wie IT-Security. Die Bedrohungen aus dem Netz nehmen ständig zu, nicht immer ist sofort Abhilfe möglich. Da müssen IT-Security-Dienstleister oft improvisieren.
Security-Business blüht, aber nicht für jeden
91 Prozent der deutschen Unternehmen sind sich nach eigenen Angaben bewusst, dass sie künftig mehr in ihre Datensicherheit investieren müssen als je zuvor, so die Studie "IT-Sicherheit und Datenschutz 2016" der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS). Das spüren auch die IT-Dienstleister und Anbieter im Bereich IT-Security.
In der deutschen Industrie arbeitet laut Digitalverband Bitkom knapp die Hälfte der Unternehmen bei der Umsetzung digitaler Sicherheitsmaßnahmen mit einem externen IT-Dienstleister zusammen. Bei einem Viertel übernimmt ein externer Dienstleister sogar die gesamte Verantwortung für die IT-Sicherheit.
Foto: Enisa
Die Tatsache, dass deutsche Unternehmen zunehmend auf IT-Sicherheitsdienstleister setzen, ist aber nicht nur positiv zu sehen. Der Grund für die Beauftragung externer Security-Spezialisten liegt in dem herrschenden Fachkräftemangel, der gerade im Bereich IT-Security sehr hoch ist.
Insbesondere kleine und mittelgroße IT-Dienstleister leiden unter dem gleichen Fachkräftemangel wie ihre potenziellen Kunden. Die teilweise sehr hohen Gehaltsvorstellungen der Security-Spezialisten können oftmals die großen Dienstleister besser erfüllen.
Foto: ISACA
Trotzdem sollte man sich das Security-Geschäft nicht entgehen lassen. Es empfiehlt sich aber, dass man sich als kleiner oder mittlerer Dienstleister nicht in der komplexen Security-Thematik verstrickt, sondern dass man sich auf die richtigen Themen innerhalb der IT-Security konzentriert. Doch welche sind das eigentlich? Hier sollte man nicht nur auf die Security-Prognosen der Anbieter schauen, die naturgemäß das eigene Portfolio im Blick haben. Stattdessen sollte man alle vier Dimensionen des Security-Business in den Blick nehmen. Hierzu folgen einige Tipps.
Dimension 1 von IT-Security: Der Kunde
Auch wenn es ohne einen guten Security-Anbieter als Partner nicht geht, sollte man zuerst auf den Kunden achten, der die Leistungen kaufen soll. Das klingt nach einer Binsenweisheit, wird aber im Security-Bereich gerne übersehen. So können die Security-Prognosen noch so bedrohlich aussehen und viele neuartige Gefahren benennen, die Probleme der Kunden können ganz woanders liegen.
Foto: Intel Security
Das beginnt bereits damit, dass viele Kunden gar keine Motivation haben, sich gegen die neusten Attacken zu rüsten. Den Kunden fehlt oftmals noch der Basisschutz. Für Industrieunternehmen zum Beispiel hat Bitkom ermittelt, dass nur 48 Prozent Daten auf Datenträgern und 46 Prozent ihre elektronische Kommunikation per E-Mail verschlüsseln, lediglich 35 Prozent verfügen über eine Absicherung des internen Netzwerks gegen Datenabfluss von innen, und 30 Prozent der Unternehmen setzt erweiterte Verfahren zur Benutzeridentifikation ein, zum Beispiel eine Zwei-Faktor-Authentifizierung oder biometrische Merkmale.
Was die Kunden aber machen, sie setzen immer stärker auf neue Technologien, wie Studien zu Cloud, Big Data oder Industrie 4.0 zeigen. Zusätzliche Security-Angebote sollten deshalb entsprechend diese Technologien absichern. Dank Internet of Things hat IT-Sicherheit Hochkonjunktur, so der Verband der Internetwirtschaft eco. Das gilt es zu nutzen.
Tipp: Basisschutz für Security anbieten, weitere Leistungen als Absicherung der vom Kunden eingesetzten neuen Technologien offerieren
Dimension 2: Der Anbieter von IT-Security
Security-Anbieter liefern ihren Partnern in aller Regel regelmäßige Informationen über aktuelle Bedrohungen und Security-Trends, verbunden mit den passenden Angeboten. Das ist ein guter, wichtiger Service für die Partner im Channel.
Foto: Intel Security
Die Security-Trends der Anbieter sollten aber nicht die alleinige Richtschnur sein, aus zwei Gründen: Erstens stehen viele Meldungen der Anbieter im direkten Zusammenhang mit Neuprodukten. Die Kunden selbst könnten aber durchaus auch Bestandsprodukte gebrauchen. Der zweite Grund ist, dass sich Security-Anbieter schnell wandeln können. Gegenwärtig finden zahlreiche Übernahmen und Zukäufe statt, die sich deutlich auf das Security-Portfolio auswirken können.
Tipp: Nicht versuchen, immer nur die neuesten Security-Lösungen anzubieten. Entscheidend sind der Bedarf und die Ist-Analyse beim Kunden.
Dimension 3 von IT-Security: Der Bedarf (Bedrohungslage, Compliance-Forderungen)
Es gibt eine Vielzahl an Security-Studien der verschiedenen Marktforscher und Analystenhäuser, selbst wenn man sich auf die für den deutschen Markt relevanten konzentriert. Einen guten Überblick über die Bedrohungslage liefern aber auch Studien des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der EU-Agentur für Netz- und Informationssicherheit (ENISA) oder auch der branchenweit sehr beachtete Verizon Data Breach Investigations Report.
Allen Studien ist gemeinsam, dass es keinen Bereich in der IT gibt, der nicht auf die eine oder andere Weise bedroht ist. Wie dynamisch die Trends in der Security sein können, zeigt auch eindrucksvoll der KPMG Cyber Trends Index, der fortlaufend aktualisiert wird.
Aufgrund der Dynamik und Komplexität der Bedrohungen und der Verschiedenheit der IT-Bereiche kann die Empfehlung nur lauten, sich auf den Kern der Bedrohung zu konzentrieren.
Statt den Fokus nur auf Netzwerke, Endgeräte oder Anwendungen zu legen, sollten die IT-Sicherheitsmaßnahmen dort ansetzen, wo die Angreifer hinwollen: bei den Daten und bei den digitalen Identitäten, die gestohlen werden, um letztlich alles in der IT der Opfer machen zu können, was man als Internetkrimineller möchte.
Neben der dynamischen Bedrohungslage gilt es auch die Compliance-Entwicklung zu berücksichtigen, um möglichst gut ins Security-Geschäft zu kommen. Hier ist insbesondere die Datenschutz-Grundverordnung (DSGVO) zu nennen, die branchenübergreifend für neue Aktivitäten im Bereich der Datensicherheit sorgen wird. Die Aufsichtsbehörden für den Datenschutz empfehlen Unternehmen "jetzt Ärmel hochkrempeln und mit der Umsetzung starten". Hier besteht bei vielen Unternehmen Unterstützungsbedarf, der für das Security-Geschäft genutzt werden kann und sollte.
Tipp: In Zukunft gilt es verstärkt, die Daten und Identitäten abzusichern, denn sie sind das Ziel der Angriffe, nicht die Geräte oder Netzwerke. Rückenwind für das Security-Geschäft bieten verschärfte Compliance-Anforderungen. Insbesondere die Datenschutz-Grundverordnung ist ein wichtiges Sales-Argument.
Dimension 4: Die Innenansicht von IT-Security
Last but not least, sollte man sich anschauen, welche Security-Leistungen man denn wirklich erbringen kann, insbesondere bei dem massiven Fachkräftemangel, der auch die IT-Dienstleister nicht verschont. Deshalb gilt es, neben der Schulungsangebote und der Pre-Sales-Unterstützung der Security-Anbieter auch die Services zu nutzen, die sich relativ einfach weiterverkaufen lassen.
Nach den Ergebnissen des "Cloud-Monitors 2016" von Bitkom und KPMG bezieht fast ein Drittel (29 Prozent) der Public-Cloud-Nutzer in Unternehmen Sicherheitsdienste aus dem Netz. Der Trend hin zu Security-as-a-Service oder Managed Security Services wird nicht nur anhalten, sondern in den nächsten Jahren deutlich wachsen.
Tipp: Um Security-as-a-Service anbieten und vertreiben zu können, sind gute Partner-Portale wichtig, die viele Security-Provider inzwischen anbieten. Security-Dienste aus der Cloud sind nicht nur ein guter und relativ leichter Einstieg ins Security-Business, sie entsprechen auch dem Security-Trend hin zu Security-Services. Zudem lassen sich Security-Dienste aus der Cloud als Managed Services um weitere Module und Funktionen ergänzen, oftmals sogar von verschiedenen Security-Anbietern, die zunehmend kooperieren und technische Schnittstellen zwischen ihren Lösungen schaffen. (rw)