Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

15.11.2002 - 

Die Skepsis gegenüber MSS-Anbietern ist zum Teil berechtigt

Schwache Resonanz auf Security Services

MÜNCHEN (sp) - Angesichts steigender Anforderungen an die IT-Sicherheit liegt es nahe, einzelne Bereiche an externe Dienstleister auszulagern. Doch das Geschäft mit Managed Security Services (MSS) hat die bisherigen Erwartungen enttäuscht.

Mehr als verdreifachen könnte sich in den nächsten sieben Jahren der Umsatz aus dem Geschäft mit Security-Dienstleistungen. Einer Studie von Frost & Sullivan zufolge soll der Markt in Europa von 73 Millionen Dollar 2001 auf 250 Millionen Dollar 2008 wachsen.

Auf den ersten Blick spricht viel für das Outsourcing sicherheitsrelevanter Aufgaben. Kleine und mittlere Firmen, denen qualifizierte Spezialisten fehlen, können damit ihre Security verbessern und gleichzeitig IT-Ressourcen für das Kerngeschäft freisetzen. Zudem gilt ein auf dedizierte Aufgaben spezialisierter Provider als kostengünstiger - speziell bei Services, die den Einsatz von Personal an allen Tagen der Woche rund um die Uhr erfordern (24x7).

Viele Leistungen sind überflüssig

Die Realität sieht offenbar anders aus. Laut Stefan Strobel, Geschäftsführer der Unternehmensberatung Cirosec, sind viele MSS-Leistungen nicht kundengerecht oder schlicht überflüssig. So beschränke sich das Firewall-Monitoring oft auf die Aufzeichnung relevanter Logfiles. Da ein Alarm jedoch nur bei gescheiterten Angriffen ausgelöst werde, sei dieses Verfahren ungeeignet, um erfolgreiche Attacken zu erkennen. Und selbst wenn der Provider einen Angriff ausgemacht habe, seien seine Reaktionsmöglichkeiten begrenzt. Meist würden nur neue Regeln eingefügt, um weitere Aktionen des Angreifers von seiner Quelladresse zu blockieren. "Von anderen Adressen aus kann der Hacker aber weitermachen", so Strobel.

Ein weiterer Grund für die dürftige Akzeptanz von Security-Services ist das mangelnde Vertrauen in die Anbieter. Viele Firmen in Europa haben Bedenken, ihre geschäftskritischen Systeme und personenbezogenen Daten einem externen Dienstleister zu überlassen. Tom Scholtz, Analyst bei der Meta Group, rät daher, nicht die komplette IT-Sicherheit aus der Hand zu geben. "Die Entscheidungsprozesse müssen im Haus bleiben", so der Experte.

Laut Strobel steht das Ergebnis dann aber oft nicht mehr im Verhältnis zum Aufwand. Beispiel Firewall-Management: Bei häufigen Änderungen hänge das Gros der erforderlichen Maßnahmen von internen Entscheidungen ab, während auf die Ausführung nur der letzte Schritt entfalle. "Viele Dienste bringen daher weder den erhofften Kostenvorteil noch mehr IT-Sicherheit", fasst der Berater zusammen.

Die Skepsis gegenüber MSS-Dienstleistern sei aber auch wegen der oft mangelnden Professionalität berechtigt: "Viele Anbieter gehen recht hemdsärmelig an die Sachen heran", hat Strobel beobachtet. Der Grund: Speziell kleinere Provider hätten Probleme, erfahrene Mitarbeiter zu finden und entsprechend zu bezahlen. Nicht selten beschäftigten sie daher Studenten und Umschüler vom Arbeitsamt.

Schwarze Schafe der Branche

Vor allem der Schichtdienst schreckt von der Tätigkeit bei einem MSS-Provider ab, so Strobel. "Die guten Leute haben es nicht nötig, sich auf Verträge einzulassen, die ihnen regelmäßige Nachtschichten vorschreiben." Bei den schwarzen Schafen der Branche sei das Data-Center während der Nacht sogar überhaupt nicht besetzt. "Da kommt dann ab und zu ein Wachmann vorbei und schaut nach, ob irgendwo eine Alarmlampe leuchtet." Manche Rechenzentren seien regelrechte Attrappen, "was der Kunde nie merkt, da er den Raum aus Sicherheitsgründen nicht betreten darf".

Nach Ansicht von Scholtz ist die Zurückhaltung gegenüber MSS aber auch darauf zurückzuführen, dass die IT-Security-Budgets zurzeit ohnehin knapp seien. Das Sicherheitsbewusstsein sei zwar in Europa recht hoch. "An Maßnahmen, die über die Basisversorgung hinausgehen, wird momentan jedoch gespart, und das trifft die externen Anbieter empfindlich."

Hinzu kommt, dass immer mehr Unternehmen aus unterschiedlichen Bereichen ins MSS-Geschäft drängen - etwa Systemintegratoren und IT-Dienstleister sowie Hersteller von Sicherheitssoftware und TK-Anbieter. Der zersplitterte Markt und die wenig transparenten Angebote schrecken die ohnehin skeptischen Anwender zusätzlich ab.

Scholtz geht dennoch davon aus, dass der MSS-Markt wachsen wird - wenn auch nur moderat. Die Anwender hätten keine andere Wahl, als bestimmte Bereiche ihrer IT-Security auszulagern, da ihnen die Ressourcen im eigenen Haus fehlten. "Speziell bei 24x7-Aufgaben ist Outsourcing die einzige Alternative", so der Analyst. Nach Einschätzung von Strobel schrumpft der Markt dagegen eher. In den USA seien bereits einige Anbieter Pleite gegangen.

Auch in Europa deuten einige Entwicklungen - etwa die Reintegration der Articon-Integralis-Tochter Activis - darauf hin, dass sich die Erwartungen an MSS nicht erfüllt haben. Angesichts der mangelnden Akzeptanz und des wachsenden Wettbewerbsdrucks gilt eine Marktbereinigung als unvermeidlich. Während Frost & Sullivan internationalen MSS-Anbietern wie Activis und Ubizen relativ gute Chancen ausrechnen, können kleine, lokale Provider die hohen Personal- und Rechenzentrumskosten mittelfristig nicht auffangen.

Skeptisch betrachtet Strobel auch die Hersteller von Sicherheitssoftware, die sich eben-falls einen Teil des Kuchens sichern wollen. "Es wundert schon, wenn Firmen wie Symantec, die während des Hypes MSS-Anbieter zugekauft haben, Dienste für alle möglichen Produkte anbieten und gleichzeitig ihre eigenen Firewalls verkaufen", so Strobel. Gute Perspektiven im MSS-Markt hätten dagegen Carrier: "Die Telcos müssen schon von Gesetzes wegen sehr hohe Sicherheitsstandards erfüllen und eine ausgereiftere Infrastruktur bieten." Nach Ansicht von Scholtz werden aus der Konsolidierung vor allem etablierte Firmen hervorgehen, die MSS als Zusatzgeschäft betreiben und dank langjähriger Kundenbeziehungen einen Vertrauensvorschuss genießen - etwa IBM Global Services, CSC, T-Systems oder Internet Security Systems (ISS).

Sinnvolle MSS-Dienste

Managed Security Services (MSS) umfassen vor Ort oder via Fernwartung in Anspruch genommene Dienstleistungen im Bereich der IT-Sicherheit. Beispiele sind das Management von Firewalls und Virtual Private Networks (VPN) sowie Monitoring und Services in den Bereichen Intrusion-Detection, Authentifizierung und Content-Filtering.

Laut Stefan Strobel, Geschäftsführer der Cirosec GmbH, ist ein überdurchschnittliches Wachstum jedoch nur in einzelnen Bereichen zu erwarten. Für sinnvoll hält er etwa "Managed-Information-Security-Services", die regelmäßige Versorgung des Kunden mit gezielten, speziell auf ihn zugeschnittenen Informationen über neue Schwachstellen und Verwundbarkeiten der Firewall. Auch das Online-Scanning biete Potenzial. Hier scannt der Provider jede Nacht automatisch die extern sichtbaren Adressen des Kunden und informiert ihn am folgenden Tag über eventuelle Vorkommnisse - etwa über neue Lücken in der Firewall.

Abb: Der europäische MSS-Markt

Analysten zufolge wird der Markt für Managed Security Services in den kommenden Jahren wachsen - wenn auch nur langsam. Angesichts der bis dato recht verhaltenen Resonanz sind solche Prognosen allerdings mit Vorsicht zu genießen. Quelle: Frost & Sullivan