Auch Cloud basierte Sicherheitsdienste und Security für die Cloud gehören zu den Top 10-Themen, die deutsche Sicherheitsverantwortliche im Jahr 2010 anpacken und prüfen müssen. Zugleich stehen weitere Aufgaben an: unter anderem muss das Kosten-Nutzen-Verhältnis von Sicherheitsinvestitionen optimiert und kommuniziert werden, Mitarbeiter und Partner sollen sicheren Fernzugriff auf Unternehmens-Ressourcen erhalten, und Maßnahmen gegen Wirtschaftskriminalität sind zu ergreifen. Dies ist das Resumée, das die Advisor der Experton Group aus ihren Security-Projekten der letzten zwölf Monate ziehen.
Während Sicherheit für die Cloud derzeit ein kontrovers diskutiertes Thema ist, das nicht wenige Unternehmen bei Investitionen in eine Cloud-Infrastruktur zögern lässt, hat sich Sicherheit aus der Cloud in einzelnen Bereichen bereits gut etabliert, meinen die Analysten der Experton Group. In einer Studie zu Cloud-basierten Security Services greife die Marktforscher diese Thematik auf und betrachten dabei insbesondere die verschiedenen Nuancen zwischen traditionellen Managed Security Services und Cloud-Modellen.
So ermöglichen externe Security Services aus der Cloud einerseits der Mehrzahl der Unternehmen die IT-Sicherheit auf ein höheres Niveau zu heben. Externe Dienstleister bieten ihre Leistungen für eine Vielzahl von Kunden an und verfügen über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur und entsprechendes Know-how erlauben.
Andererseits ist aber nicht zu erwarten, dass künftig alle IT-Sicherheits-Funktionalitäten komplett in die Wolke verlagert werden. Der Cloud-Anteil wird aber in den kommenden drei bis fünf Jahren für einzelne Sicherheitsthemen stark zulegen.
In einzelnen Segmenten, etwa bei E-Mail-Sicherheit oder Spam-Schutz, sind Cloud Services bereits heute recht ausgereift und treffen auf hohe Akzeptanz bei deutschen Unternehmen. "Durch die wachsende Verbreitung von Cloud Services werden auch manche hierfür notwendige Sicherheitsfunktionalitäten in die Wolke wandern - also Sicherheit aus der Cloud für die Cloud", prognostiziert Wolfram Funk, Senior Advisor bei der Experton Group. "Besonders deutlich wird dies bei der Verwaltung und Bereitstellung von Identitäten für Cloud Services, etwa über Web Single Sign-On."
4 Modelle von Managed Security-Services
Foto: Ronald Wiltscheck
2009 nutzte nur etwa jedes dritte deutsche Unternehmen mit mindestens 100 Mitarbeitern die so genannten Managed Security Services (MSS) in irgendeiner Form. Dabei sind nach Experton vier Modelle mit fließenden Übergängen zu unterscheiden:
-
Der Kunde betreibt das Sicherheitssystem im eigenen Rechenzentrum, dieses wird aber durch einen externen Dienstleister aus der Ferne überwacht.
-
Der Kunde betreibt das Sicherheitssystems im eigenen Rechenzentrum, der externe Dienstleister verwaltet es komplett aus der Ferne (Remote Management), er ändert also auch die Konfiguration am System und liefert dem Kunde aussagefähige Berichte.
-
Auch das Rechenzentrum selbst wird von einem externen Dienstleister betrieben (Hosting und Management), das heißt der Security-Dienstleister kümmert sich um das Sicherheitssystem des Kunden im eigenen so genannten "Security Operations Center".
-
Cloud basierte Shared Managed Security Services ohne Kunden spezifisches dediziertes Sicherheitssystem: Security Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS). (rw)