Von Alexander Roth

Die Zeit der heißen Trends in der IT-Security ist vorbei. Die Liste der denkbaren virtuellen Bedrohungen für Unternehmen ist so lang und unübersichtlich geworden, dass dem Fachhandel kein schnelles Geld mehr mit Angstkäufen winkt.

Viren, Rootkits, Spyware, Trojaner, die eigenen Mitarbeiter, Datenklau, gezielte Hackerangriffe, gesetzliche Richtlinien - die Liste ließe sich beliebig fortsetzen. Ein Allheilmittel gegen all diese Gefahren gibt es nicht, und welches mittelständische Unternehmen kann es sich schon leisten, sich mit allen virtuellen Bedrohungsszenarien auseinanderzusetzen?

Der Markt driftet auseinander

Bis auf die großen Konzerne oder die stark bedrohten Unternehmen wie etwa Finanzdienstleister kann kaum jemand die Gefahrenlage richtig einschätzen. Und so ist es nur folgerichtig, dass der Markt für IT-Security mittlerweile wie eine Schere auseinanderdriftet: Auf der Nachfragerseite, vor allem in den kleinen und mittelständischen Unternehmen, ist eine immer unzureichendere Sicherheitslage auszumachen, wie Markforscher und auch Hersteller immer wieder feststellen.

Dabei sind es vor allem die neuen Arten der Kommunikation wie Chat oder drahtloser Datenaustausch, die Firmen nur fahrlässig oder gar nicht schützen, so der Vorwurf der Experten. Gleichzeitig gelten viele Firewalls und Spam-Filter, die Unternehmen im Einsatz haben, als veraltet: Sie können beispielsweise tief gehenden, vielschichtigeren Bedrohungen wie Rootkit-Angriffen nicht mehr Einhalt gebieten.

Dies ist der Hintergrund für einen Scheren-Effekt: Trotz des teilweise sehr fahrlässigen Umgangs mit der Sicherheit in den Firmen boomt der Markt, auf Nachfrager- wie auf Herstellerseite. Vor allem Rundum-Lösungen erfreuen sich großer Beliebtheit: Der Marktforscher IDC attestiert beispielsweise UTM-Appliances (Unified Threat Management), die Gateway-Schutzfunktionen wie Firewall, VPN und Spamfilter in einem Gerät vereinen, ein jährliches Verkaufsplus in Stückzahlen bis 2010 von 40 Prozent. Auch reine Antivirenlösungen gibt es kaum mehr: Hersteller wie Symantec und mittlerweile auch Microsoft erweitern diese Produkte um präventive, tief greifende Schutzfilter und teilweise gar Möglichkeiten für Storage und Backup.

All-In-One verspricht Marge

In einer exklusiven ChannelPartner-Studie gab fast die Hälfte aller befragten Fachhändler an, bevorzugt All-In-One-Lösungen, vor allem in Form von Hardware, zu verkaufen. Das wäre vor Jahren noch undenkbar gewesen: Damals galt eine Sicherheitsarchitektur nach dem "Best-of-Breed"-Konzept als das Nonplusultra - sowohl beim Fachhandel als auch beim Kunden: Der Händler konnte an der Installation und Wartung der jeweiligen Einzelprodukte verdienen, während der Kunde das Gefühl hatte, nur solche Schutzfunktionen am Gateway installiert zu haben, die er wirklich braucht, und davon auch noch die beste Lösung.

Das Angenehme für den Fachhandel an der ganzheitlichen Lösungen: Mit zusätzlichen Funktionen steigt auch die Gewinnspanne. Stellt sich der Händler geschickt an, sind Margen von 20 bis 30 Prozent möglich, wie Hersteller und Distributoren gerne zusichern. Ob diese Gewinnspannen durchgesetzt werden können, hat wieder mit dem genannten Scheren-Effekt zu tun: Dort, wo der Kunde durch Unwissenheit nicht ausreichend geschützt ist und wo er kein direkt vergleichbares Produkt sieht, wird er auch bereit sein, mehr zu zahlen. Nicht zu vernachlässigen sind dabei auch zusätzliche Verkaufsargumente für den Händler, die solche vielseitigen Lösungen mit sich bringen.

Fachhandel muss entscheiden

Ein Beispiel: Eine UTM-Appliance ermöglicht es in der Regel, sichere VPN-Verbindungen aufzubauen, über die sich vom Netzwerk entfernte Unternehmensmitarbeiter in die IT-Umgebung der Firma einwählen können. Ein Kunde, der eine solche Funktion nicht kennt, kann also von einer UTM-Appliance doppelt profitieren: Er schützt sein Gateway und kann gleichzeitig seine Außendienstmitarbeiter effektiver einsetzen. Einen Aufpreis bezahlt er in einem solchen Fall bestimmt gerne.

Doch so gut Rundumschutz-Lösungen auch klingen, sie haben doch ein Manko: Auch sie können nicht alle Aufgaben von IT-Security erledigen. UTM-Appliances kümmern sich um den Internetdatenstrom, Endpunkt-Sicherheitsprodukte machen die Schnittstellen von Netzwerken sicher, Mobility-Lösungen nehmen sich des mobilen Datenverkehrs an. Wo bleibt das ganzheitliche Konzept, die eine, einzige Lösung, die alles, auch Unternehmensrichtlinien, einbindet?

Hier bietet sich Managed Security als interessante Alternative an. Viele Hersteller wie McAfee oder Sonicwall geben dem Fachhandel bereits die Möglichkeit, ohne großen Aufwand selbst als Outsourcing-Dienstleister aufzutreten: Weblösungen ersparen aufwändige Installationen beim Kunden und können in puncto Preis und Menge flexibel an sich ändernde Kundenanforderungen angepasst werden.

Netzwerker werden zu Security-Anbietern

Auch umfassende Konzepte wie Ciscos Network Access Control (NAC), mit dem sich die Viren und Würmer von innen aus dem Netzwerk heraus abwehren lassen sollen, berücksichtigen nur Teilaspekte von IT-Security.

Der Erfolg von spezialisierten Dienstleistern wie der Ismaninger Firma Integralis zeigt jedoch: Es obliegt allein dem Berater, die Begebenheiten des Markts zu nutzen: Es gilt, das Kundenunternehmen genau unter die Lupe zu nehmen, um dann, wie Computerlinks-Vorstand Richard Hellmeier es beschreibt, Prioritäten zu setzen und entsprechende Security-Lösungen auf die individuellen Anforderung des Kunden zurechtzuschneidern (siehe Kasten). Noch aber lässt sich für ein wirklich ganzheitliches Konzept ein selbst zusammengezimmerter Baukasten aus Hosting, Software und Hardware nicht durch etwas Besseres ersetzen.