Wenn sich bei Unternehmen niemand für die Implementierung der Sicherheitsprotokolle und die Information der Mitarbeiter über Gefahrenpotenziale zuständig fühlt, können vermehrt Sicherheitslecks auftreten – ausgelöst durch Mitarbeiter, die auf infizierte Links klicken, Sicherheitsrisiken unterschätzen oder bewährte Sicherheitsverfahren nicht beachten. Dadurch finden sich MSPs und andere IT-Dienstleister zwangsläufig in der Rolle des Sicherheitsberaters wieder. Was wiederum Fragen aufwirft, inwieweit sie dafür verantwortlich sind, ihren Kunden ein Bewusstsein für das Thema Sicherheit zu vermitteln und sie im Rahmen von Weiterbildungsmöglichkeiten in den täglichen Sicherheitsroutinen zu schulen.
Um besser verstehen zu können, wie MSPs ihre Managed-Services-Angebote durch die Unterstützung ihrer Kunden im Bereich Sicherheit aufwerten können, sprachen wir mit Dave Sobel von LogicNow, Leiter der Partner-Community von MAXfocus. MAXfocus von LogicNow bildet das Herzstück einer globalen Community von mehr als 10.000 der weltweit führenden MSPs sowie eines Netzwerks von Partnern in mehr als 100 Ländern.
Foto: LogicNow
Aus der Channel-Perspektive betrachtet: Ist Managed Security ein Bereich, dem MSPs und Fachhändler, die ManagedServices anbieten, Beachtung schenken sollten und der Gewinne verspricht?
Dave Sobel: Definitiv ja,denn der Bedarf nach Managed Security wächst stetig und ist zurzeit ein wichtiges Thema. Wann immer ich über Sicherheit spreche, weise ich darauf hin: Sicherheit ist kein Produkt, das man kaufen und dann abhaken kann. Es gibt leider keine ganzheitliche Lösung, die automatisch für Sicherheit in allen Bereichen sorgt. Denn die Sicherstellung konstanter Sicherheit ist nur als Serviceleistung möglich, weil es dabei eben nicht um ein einmaliges Einrichten von Workflows geht, sondern um eine permanente Überprüfung und Aktualisierung. Daher bedarf es eines fortlaufenden Risiko-Managements und kontinuierlicher Prozesssteuerungsaktualisierungen.
Wir betrachten beispielsweise viele Geschäftsprozesse und -systeme unter dem Aspekt der Sicherheit. Um diese zu erlangen, müssen kleine und mittelständische Unternehmen sowie auch ihre IT-Dienstleister eine ganze Reihe von Lösungen kombinieren, und es gibt natürlich auch unterschiedliche Herangehensweisen. So gilt es, nicht nur ein Malware-Management – inklusive geeignetem Patch-Management und Perimetersicherheit wie bei E-Mails – zu gewährleisten, sondern gleichzeitig auch die Anwender zu betreuen und sicherzustellen, dass diese sich sicher im Netz bewegen und keine fragwürdigen Websites besuchen. Diese Kombination aus technischen Dienstleistungen und der Fähigkeit, Nutzern ein Policy-Management an die Hand zu geben, um sicherzustellen, dass die Anwender sämtliche Technologien gefahrlos und richtig nutzen, versteht man unter Managed Security.
Also sehen Sie Sicherheitsdienstleistungen als ein separates Angebot an?
Sobel: Sie können Sicherheitsdienstleistungen als eine eigenständige Dienstleistung verkaufen. Sie kann aber auch als Bestandteil eines Angebots zur Infrastruktur-Betreuung und des Managements einer IT-Umgebung angeboten werden. Außerdem bieten wir neben Anwenderunterstützung auch alle weiteren Komponenten an, die beim Betreiben eines Netzwerkes zum Einsatz kommen. Die Sicherheitsdienstleistungen umfassen weiterhin die Bereiche Disaster Recovery und Backup Management, sowohl vor Ort, als auch in der Cloud.
Sehen kleinere Unternehmen das auch so bzw. verstehen sie, dass sie sich um die IT-SicherheitGedanken machen und hier auch investieren müssen?
Sobel: Das tun sie, insbesondere, je mehr man sie über Compliance-Fragen und gesetzliche Bestimmungen aufklärt. Wenn sie Kreditkarten akzeptieren, sollten dieseUnternehmen zumindest den PCI-Standard (Sicherheitsstandard zur Abwicklung von Kreditkartentransaktionen) erfüllen. Meine Empfehlung ist, das Thema für die Kunden so praxisnah wie möglich aufzubereiten. Es geht nicht darum, sich hinzustellen und zu sagen "Ich werde überall für Sicherheit sorgen". Sprechen Sie mit Ihren Kunden darüber, inwieweit diese Sicherheitsbelange ihre Unternehmen betreffen und erklären Sie ihnen, wie sie vorgehen müssen und welche Maßnahmen für ihre Absatzmärkte relevant sind.
Was Ihre Aufklärungsarbeit im Channel betrifft: Wie schaffen Sie es, bei Ihren Channel-Partnern ein Verständnis dafür zu entwickeln, worauf sie achten sollten und wie sie ihren Kunden das Thema Managed Security am besten präsentieren?
Sobel: Wir erreichen dies auf unterschiedliche Arten und Weisen. Wir haben eine Reihe von Produkten und Maßnahmen, die den IT-Dienstleistern bei der Überzeugungsarbeit helfen können. Viel wichtiger ist es aber, dass wir ihnen helfen zu verstehen, wie sie die Angebote zu einer echten Dienstleistung zusammenfassen können. Dazu bieten wir auch Onlinekurse, Lernvideos und White Papers sowie Workshops auf unseren Channel-Events an. Wir tauschen uns außerdem mit befreundeten Communities aus, wie zum Beispiel mit CompTIA und deren IT-Sicherheits-Community. Es gibt viele verschiedene Wege, all diese Punkte miteinander zu verbinden, um sicherzustellen, dass wir die MSPs und IT-Dienstleister bestmöglich darin schulen, diese Serviceangebote im IT-Markt zu platzieren.
Können Sie zu den eben erwähnten Produkten einige Beispiele nennen?
Sobel: Wir haben verschiedene Softwarelösungen, die kombiniert all das abdecken, was KMUs im Bereich Managed Security benötigen: Remote-Management, Patch-Management, MaxMail für E-Mail-Sicherheit und einen in die MAXRM-Lösung integrierten Web-Schutz.
Was die Schulungsmaßnahmen für den Channel betrifft: Müssen sie dazu aktiv auf Ihre Channel-Partner zugehen oder kommen diese zu Ihnen und fragen die Schulungen an, wenn die Vermarktung der Managed-Security-Angebote ja offensichtlich so entscheidend ist?
Sobel: Wir bieten die Schulungen quasi als Bestandteil unseres Softwareangebots an, da wir dies als wichtigen Punkt betrachten. Für einige Spitzenanbieter ist ein solcher Vermarktungsansatz sehr leicht erfassbar und gehört für sie zum Tagesgeschäft, andere Dienstleister benötigen etwas mehr Unterstützung. Deshalb tun wir alles, um sicherzustellen, dass unsere Partner sämtliche Ressourcen zur Verfügung haben, die sie benötigen. Aus diesem Grund haben wir mit Ian Trump auch einen erfahrenen Security-Experten in unserem Team.
Ist das etwas, was Sie von Ihren Mitbewerbern unterscheidet?
Sobel: Ich denke schon – es ist auch einer der Gründe, warum ich für MAXfocus arbeite. Ich war selber gut zehn Jahre als Managed Services Provider tätig und hatte eine eigene Firma in Washington, DC. Jeder in meinem heutigen Community-Team hat einen Channel-Hintergrund. Wir haben ein Team von vier Kundendienstmitarbeitern, die zusammen gerechnet fast 60 Jahre Channel-Erfahrung haben.
Vorbereitungen, Verbesserungen, Vertriebspartner
Gibt es aus sicherheitstechnischer Sicht irgendetwas, was Sie in Ihrer Zeit bei MAXfocus gelernt haben, von dem Sie sich wünschen würden, es schon als MSP gewusst zu haben?
Sobel: Ja. Beispielsweise, dass es so viele Tools gibt, die alle miteinander zu einem Service zusammengefasst und auf einer einzigen Plattform integriert werden können. Dieser Grad der Integration kann gar nicht hoch genug eingeschätzt werden und liefert einen überzeugenden Mehrwert. Als ich vor 15 Jahren zum ersten Mal Managed Services anbot, erforderte es eine Menge Arbeit, dies alles zu kombinieren. Als Dienstleister musste man viele Produktkomponenten ergänzen und zusammenbringen. Mittlerweile ist es einfacher, alle Komponenten zusammenzustellen und eine attraktive Dienstleistung anzubieten. Zum anderen ist es interessant festzustellen, wie viele Überlegungen, Entwicklungen und Investitionen in den Bereich Sicherheit eingeflossen sind, insbesondere wenn man unsere Ausbildungsmaßnahmen mit den Ressourcen wie CompTIA kombiniert. Für eine Schulung müssen die IT-Dienstleister dann nur relativ wenig ihrer Zeit investieren, da die Vorarbeiten bereits geleistet wurden.
Foto: LogicNow
Gibt es bestimmte Fragen, auf die sich die MSPs vorbereiten müssen, die da draußen Ihre Lösungen vermarkten?
Sobel: Zu allererst sollten sie die zu erwartenden Geschäftsergebnisse verdeutlichen können. Darauf sollte man auf jeden Fall vorbereitet sein. Die Kunden werden den Erfolg eher anhand von Ergebnissen messen wollen als anhand der gelieferten technischen Errungenschaften.
Wie bereitet man sich auf diese Fragen vor?
Sobel: Indem man Dinge wie Ausfallzeiten erfasst und aufzeigt, welche Kosten den Unternehmen dadurch entstehen und wie sie diese Kosten reduzieren können. Des Weiteren helfen wir unseren Partnern dabei, das Geschäft ihrer Endkunden zu verstehen und die Betriebskosten sowie die Kosten für die Sicherheitsdienstleistung einzuschätzen.
Gibt es sonst noch irgendetwas, was jemand aus dem Channel-Bereich beantworten können sollte?
Sobel: Es ist sehr wichtig, den Bezug zur jeweiligen Branche des Endkunden herstellen zu können. Wenn man sich auf Bereiche wie Medizin, Finanzen, Produktion oder Einzelhandel fokussiert, muss man verstehen, was für konkrete Geschäftsanforderungen der Kunde hat und die technischen Lösungen speziell darauf abstimmen. Zum Beispiel muss man den Unterschied zwischen PCI- und HIPPA-Compliance kennen. Die gute Nachricht ist, dass Anbieter wie MAXfocus erhebliche Geldsummen investiert haben, um sicherzustellen, dass ihre Lösungsanbieter gut ausgebildet sind.
Gibt es bestimmte Bereiche, in denen Ihre Vertriebspartner nicht so gut vorankommen und in denen es noch Platz für Verbesserungen gibt?
Sobel: Die besten Lösungsanbieter sind diejenigen, die in der Lage sind, die Kosten für die Bereitstellung einzuschätzen und ihre Kostenmodelle darauf aufzubauen. Beispielsweise unterstützen wir unsere Lösungsanbieter dabei zu verstehen, welcher Aufwand ihnen bei der Bereitstellung verschiedener Dienstleistungen entsteht und wie sie dabei Geld verdienen können.
Warum glauben Sie ist es für einige schwierig, dies zu verstehen?
Sobel: Viele Anbieter haben einen technischen Hintergrund, und die unternehmerischen Fähigkeiten kommen erst mit der Zeit. Die Vermittlung dieserkaufmännischen Kenntnisse ist einer der Bereiche, in den wir investiert haben. Wir haben ein Team aufgebaut, das sich um die Community kümmert und sie bei betriebswirtschaftlichen Fragen unterstützt.
Gibt es noch andere Gebiete, auf denen Sie Ihren Partnern helfen zu wachsen?
Sobel: Wir haben viel Zeit und Mühe in die Erstellung von Whitepapers und Vertriebsszenarien (Sales Playbooks) gesteckt, die Vermarktungs- und Vertriebsstrategien enthalten. Diese können die Anbieter bei der Zusammenstellung von Lösungspaketen zur Hilfe nehmen. Zum Thema Managed Security bringen wir gerade ein neues Dokument heraus. Es beinhaltet viele der Lösungen, Maßnahmen und Informationen, die wir bisher zum Thema Sicherheit in die Wege geleitet haben, und unterstützt die Partner dabei, diese in einer Dienstleistung zu bündeln. Wir zeigen ihnen, wie sie diesen Service verkaufen und sich positionieren können, wie sie Bedenken der Endkunden überwinden und wonach im Markt eine große Nachfrage besteht.
Wenn ich dies hier als IT-Dienstleister lesen würde, würde ich anfangen, mir ernsthaft Gedanken um das Thema Datensicherheit zu machen – falls ich das nicht schon vorher getan habe.
Sobel: Der Bereich Managed Security öffnet Lösungsanbietern viele Türen, um sich weiterhin selbst als "ausgelagerter CIO" (Outsourced CIO) zu positionieren. Beispielsweise können sie für ihre Endkunden als eine Art Compliance Officer agieren oder ihnen dabei helfen, ihre Geschäftsanforderungen zu managen. Und ich würde sagen, dass unsere Partner keine Scheu haben müssen zu sagen, dass sie die besten Lösungsangebote für diesen Bereich haben. Die Daten sprechen hier eine deutliche Sprache. Ich kann nur jedem raten, mit den folgenden Fragen an den Bereich Managed Security heranzugehen: Wie kann ich der CIO oder der Chief-Compliance-Officer meiner Kunden werden? Wie kann ich ihnen bei der Bewältigung ihrer geschäftlichen Herausforderungen helfenund welche Technologie kann ich dafür nutzen?