Zusatzangebote für Security und Compliance

Office 365 sinnvoll und profitabel ergänzen

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Viele Systemhäuser sehen Office 365 skeptisch. Sie fürchten, nach der Umstellung auf das Cloud-Angebot für ihre Kunden unwichtiger zu werden. Doch weil die Microsoft-Suite im professionellen Einsatz vieles vermisen lässt, bieten sich ihnen gute Ansatzpunkte für Zusatzangebote.

Nach leichten Anlaufschwierigkeiten setzt sich Office 365 auch bei Firmen in Deutschland auf breiter Front durch. Das liegt einerseits an den umfangreichen Möglichkeiten, von unterschiedlichen Geräten und Orten aus zuzugreifen, wodurch es für diejenigen Mitarbeiter interessant ist, die immer mehr Flexibilität bei der Einteilung ihrer Arbeit fordern. Der wochenlange erzwungene Aufenthalt im Homeoffice durch die Coronakrise und die sich voraussichtlich anschließenden Überlegungen der Firmen, wie sie auf künftige Notfälle besser vorbereitet sein können, wird ebenfalls dazu beitragen.

Andererseits drängt auch Microsoft Anwender sanft, aber beharrlich zum Umstieg, indem es seine Angebote immer besser verzahnt und immer häufiger dafür sorgt, dass Cloud-Verweigerer regelmäßig bemerken, was sie verpassen. Die größten Auswirkungen hat aber die rasche Adaption von Microsoft Teams in Unternehmen. Der Dienst entwickelt sich trotz aller bei näherem Hinsehen noch vorhandenen Unzulänglichkeiten hervor­ragend. Microsoft setzt auch alles daran, dass das so bleibt, ist Microsoft Teams doch die vorderste Front im Bereich der Produktivitäts-Tools bei der Abwehr der lästigen Emporkömmlinge.

Während Firmen wie Slack in der Regel mit einer Punkt-Lösung beachtliche Erfolge feiern - oder zumindest von bestimmten Nutzergruppen dafür gefeiert werden - wirft Microsoft regelmäßig die Allgegenwart seiner etablierten Software in Büroumgebungen und die vielfältigen Möglichkeiten der Verknüpfung dieser Produkte in die Waagschale. Das funktioniert, denn der alte Wunsch nach möglichst einer, weitgehend einheitlichen und nach derselben Logik zu bedienenden Software im Büro ist stärker als die Faszination für Tools, die Einzelaufgaben brillant meistern.

Was sich durch Office 365 ändert

Daraus ergeben sich zwei Konsequenzen: Erstens verlagert sich mit der Nutzung von Office 365 nicht nur die Arbeit vom Server im Unternehmen in die Cloud, sondern es wandern auch alle wichtigen Dokumente dorthin. Zweitens gewinnen die Unternehmen zwar an Komfort und geben einige administrative Sorgen ab, verlieren andererseits aber Gestaltungspielraum und sind in vielem auf Microsoft angewiesen.

Marc Fischer, Head of Sales und Prokurist bei Ebertlang: "Microsoft bietet lediglich einen rudimentären Grundschutz für Office 365, der die Anforderungen moderner IT-Security-Strukturen nicht erfüllt. Partner können also besonders mit ergänzenden Security-Lösungen bei Kunden punkten."
Marc Fischer, Head of Sales und Prokurist bei Ebertlang: "Microsoft bietet lediglich einen rudimentären Grundschutz für Office 365, der die Anforderungen moderner IT-Security-Strukturen nicht erfüllt. Partner können also besonders mit ergänzenden Security-Lösungen bei Kunden punkten."
Foto: Ebertlang

Da nicht jeder den direkten Draht zum Hersteller hat, ist ein IT-Dienstleister als Mittler schon deshalb nach wie vor sinnvoll. Darüber hinaus erweckt Microsoft bei vielen Kunden - ob absichtlich oder unabsichtlich sei dahingestellt und spielt auch keine Rolle - zwar den Eindruck, dass es sich bei Office 365 um eine Komplettlösung handelt, tatsächlich stellt das Unternehmen aber lediglich die Infrastruktur für die von ihm angebotenen Services bereit.

Das geht eindeutig aus der Leistungsvereinbarung hervor. Demnach verpflichtet Microsoft sich, die technische Funktionsfähigkeit und Verfügbarkeit sowohl der Plattform als auch der Anwendungen zu gewährleisten. Das klingt erst einmal umfassend und attraktiv - scheitern doch viele IT-Abteilungen in den Augen der Anwender schon an diesen beiden Punkten. Dennoch lässt es in Bezug auf Sicherheit, gesetzeskonformen Betrieb und aufwandsarme Verwaltung einiges zu wünschen übrig.

Kira Zaytsev, Head of Channel Sales Europe (DACH) bei Forcepoint: "Beispielsweise liegen Zero-Day-, Phishing- und Ransomware-Angriffe außerhalb des Anwendungsbereichs von Microsoft. Office 365 bietet zwar einen gewissen Einblick in die Bedrohungen für den Microsoft-Stack
Kira Zaytsev, Head of Channel Sales Europe (DACH) bei Forcepoint: "Beispielsweise liegen Zero-Day-, Phishing- und Ransomware-Angriffe außerhalb des Anwendungsbereichs von Microsoft. Office 365 bietet zwar einen gewissen Einblick in die Bedrohungen für den Microsoft-Stack
Foto: Forcepoint

"Betrachtet man Office 365 einmal als konventionellen Mail- und Groupware-Server in der Cloud, drängen sich auch schon die Möglichkeiten auf, die sich Resellern bieten: Von Backup über E-Mail-Archivierung bis hin zur sicheren und geschützten Kommunikation sind alle Bereiche vertreten, die der Fachhandel schon aus der Vergangenheit kennt", erklärt Marc Fischer, Head of Sales und Prokurist bei Ebertlang.

Bordmittel von Microsoft sehr eingeschränkt

Auch Michael Zajusch, Regional Sales Director für Deutschland bei Barracuda Networks, weist darauf hin, dass Microsoft in vielen Bereichen "entweder gar keine oder nur teilweise Lösungen innerhalb eines kostspieligen Zusatzpaketes anbietet. Die Angebote bezüglich Backup und Continuity sind ebenfalls nicht allumfassend." Zudem sind Zajusch zufolge die Möglichkeiten, "anhand der Bordmittel von Microsoft die Übersicht zu behalten, wer auf was zugreift oder wo in der verteilten Umgebung welche Files liegen, sehr eingeschränkt."

Allerdings vernachlässigen viele Unternehmen gerade im Kontext Cloud das Thema Backup und Recovery. Michael Gerich, Director Channels Central EMEA bei Veeam Software, verweist dazu auf Ergebnisse einer Umfrage der Marktforscher von 451 Research, wonach sich 49 Prozent bei Backup und Restore von SaaS-Applikationen auf ihren Cloud-Anbieter verlassen, weitere elf Prozent kopierten ihre Cloud-Daten manuell ins eigene Rechenzentrum. "Ersteres ist riskant, letzteres ineffizient", warnt Gerich.

Office 365 bietet nur einen Grundschutz

Auch in Bezug auf den Schutz vor Malware und Angriffen unternimmt Microsoft viel. Das ist aber auch dringend notwendig, ist es als Betreiber der weltweit größten Kommunikations- und Kollaborationsplattform für Unternehmen doch ein ausgesprochen attraktives Ziel für Angreifer. Da ist es schon als Erfolg zu werten, dass der Dienst nahezu unterbrechungsfrei aufrechterhalten werden kann. Allerdings fällt bei näherer Betrachtung die Security-Bilanz im Detail eher nüchtern aus.

Bert Skorupski, Senior Manager Sales Engineering bei Quest Software: „Fast ein Drittel aller Organisationen, die Office 365 nutzen, spielt mit dem Gedanken, auf eine günstigere Tarifvariante des Microsoft-Pakets zu setzen und dafür verstärkt Drittanbieterlösungen als Ergänzung einzusetzen.“
Bert Skorupski, Senior Manager Sales Engineering bei Quest Software: „Fast ein Drittel aller Organisationen, die Office 365 nutzen, spielt mit dem Gedanken, auf eine günstigere Tarifvariante des Microsoft-Pakets zu setzen und dafür verstärkt Drittanbieterlösungen als Ergänzung einzusetzen.“
Foto: Quest Software

"Microsoft bietet lediglich einen rudimentären Grundschutz für Office 365, der die Anforderungen moderner IT-Security-Strukturen nicht erfüllt. Partner können also besonders mit ergänzenden Security-Lösungen bei Kunden punkten", berichtet Marc Fischer von Ebertlang. Und Kira Zaytsev, Head of Channel Sales Europe (DACH) bei Forcepoint, ergänzt: "Beispielsweise liegen Zero-Day-, Phishing- und Ransomware-Angriffe außerhalb des Anwendungsbereichs von Microsoft. Office 365 bietet zwar einen gewissen Einblick in die Bedrohungen für den Microsoft-Stack, jedoch keine unternehmensweite Ansicht über andere Anwendungen oder Datenspeicher hinweg." Die sei aber erforderlich, um sich wirksam gegen koordinierte oder etwas ausgefeiltere Angriffe zu schützen.

Fairerweise muss man anerkennen, dass Microsoft diese Einschränkungen auch einräumt. Das Schlagwort dafür ist "Shared Responsibility" - also die zwischen Anbieter und Kunde geteilte Verantwortung. Für Jörn Koch, Channel Sales Manager Central Europe bei Altaro Software, heißt das im Klartext, "dass der Kunde für seine Daten verantwortlich ist. Hierzu gehört, dass er diese vor Anwenderfehlern wie dem versehentlichen Löschen, vorsätzlichen internen Angriffen, Hacker- und Malware-Attacken sowie vielem Weiterem schützt."

Michael Zajusch, Regional Sales Director für Deutschland bei Barracuda Networks: "Microsoft bietet in vielen Bereichen entweder gar keine oder nur teilweise Lösungen innerhalb eines kostspieligen Zusatzpaketes an. Die Angebote bezüglich Backup und Continuity sind ebenfalls nicht allumfassend."
Michael Zajusch, Regional Sales Director für Deutschland bei Barracuda Networks: "Microsoft bietet in vielen Bereichen entweder gar keine oder nur teilweise Lösungen innerhalb eines kostspieligen Zusatzpaketes an. Die Angebote bezüglich Backup und Continuity sind ebenfalls nicht allumfassend."
Foto: Barracuda Networks

Die zu diesem Zweck in Office 365 integrierten Bordmittel seien begrenzt und beschränkten sich auf "einige äußerst grundlegende Funktionen rund um Archivierung, Aufbewahrung und Wiederherstellung der Daten sowie die Versionierung." Beispielsweise lässt sich beim Basis-Angebot von Microsoft Office 365 nach dem Verlust von Daten nur innerhalb eines befristeten Zeitraums auf eine frühere Dateiversion zugreifen. Auch das Ändern oder Löschen von Elementen lässt sich häufig nicht mehr rückgängig machen. Das ist nicht nur gelegentlich unangenehm, sondern kann für Unternehmen auch zu rechtlichen Problemen führen.

Akzeptanz für Zusatzlösungen nimmt zu

Dazu gibt es zwei gute Nachrichten. Erstens existiert inzwischen eine Vielzahl von Anbietern, die Office 365 um die im Unternehmenseinsatz dringend erforderlichen Funktionen ergänzen. Zum Teil sind das Anbieter, die bereits für ähnliche Angebote für Exchange-Server, Outlook und andere innerhalb von Unternehmen genutzte Software bekannt waren. Zum Teil sind es aber auch neue Anbieter, die sich auf die Absicherung von Cloud-Diensten spezialisiert haben, und für die Office 365 einer dieser Cloud-Dienste ist.

Andreas Mayer, Senior Marketing Manager bei SEP: "Datensicherung ist unerlässlich und im Microsoft Angebot nicht inkludiert. Daher wird ein Backup/Recovery für Office 365 sowie für die meisten Cloud-Applikationen benötigt."
Andreas Mayer, Senior Marketing Manager bei SEP: "Datensicherung ist unerlässlich und im Microsoft Angebot nicht inkludiert. Daher wird ein Backup/Recovery für Office 365 sowie für die meisten Cloud-Applikationen benötigt."
Foto: SEP AG

Die zweite gute Nachricht für den Channel ist, dass sich bei Unternehmen die Erkenntnis durchsetzt, dass solche Zusatzlösungen erforderlich und hilfreich sind. Beispielsweise weist Bert Skorupski, Senior Manager Sales Engineering bei Quest Software, darauf hin, dass laut einer Studie von Osterman Research aus dem vergangenen Jahr "fast ein Drittel aller Organisationen, die Office 365 nutzen, mit dem Gedanken spielen, auf eine günstigere Tarifvariante des Microsoft-Pakets zu setzen und dafür verstärkt Drittanbieterlösungen als Ergänzung einzusetzen."

Neben den beiden Aspekten Sicherheit und Gesetzeskonformität - beides unerlässlich, aber nicht immer gern gehört - gibt es auch Zusatzlösungen, die die Verwaltung von Office 365 komfortabler, übersichtlicher und einfacher gestalten. Es liegt in der Natur der Sache, dass größere Unternehmen mit vielen Mitarbeitern dafür aufgeschlossener sind als mittelständische Firmen. Aber auch diese werden im Lauf der Nutzung bald merken, dass sich vor allem Microsoft Teams in seiner reinsten Ausprägung schnell zu einem undurchdringlichen Dschungel an Gruppen, Chat-Verläufen, Nachrichten und Meeting-Aufzeichnungen auswächst.

Da kommen dann externe Governance-Lösungen zum Zuge. Christopher Goth, Regional Vice President DACH bei Avepoint, einem Unternehmen, das unter anderem Lösungen für die Erstellung, Kontrolle und das Lifecycle-Management von Microsoft Teams anbietet, empfiehlt jedoch, lieber nicht erst hinterher aufzuräumen, sondern bereits bei der Einführung klare Strukturen zu schaffen.

Das habe noch einen weiteren Vorteil: "In allen Situationen, in denen die Einführung von Office 365 durch Bedenken zum Beispiel des Betriebsrates oder der Rechtsabteilung verhindert wird, hilft entsprechende Software generell, diese mit flexiblen, zentralisierten Kontrollmechanismen auszuräumen", berichtet Avepoint-Manager Goth. Die Kombination aus Governance- und Migrations-Software mit dem persönlichen Service durch Partner trage zudem dazu bei, die Nutzerakzeptanz zu steigern.

Vertriebliche Ansatzpunkte für den Handel

Die gesetzeskonforme Archivierung geschäftlicher E-Mails ist für jedes Unternehmen rechtlich verpflichtend. Ein einfacher Ansatzpunkt ist es also, auf die Mängel bei Office 365 diesbezüglich hinzuweisen und eine E-Mail-Archivierungslösung anzubieten, die E-Mails auch in Office 365 rechtssicher archivieren kann. Ergänzend können dann Lösungen folgen, die den Grundschutz von Office 365 bei E-Mail in den Bereichen Anti-Spam, Malware und Ransomware ergänzen. "Anti-Viren-/Anti-Spam-Lösungen sind als As-a-Service-Lösungen ideal, um sie mit dem Office-365-Service zu bundlen", berichtet Marc Fischer von Ebertlang aus der Praxis.

Christopher Goth, Regional Vice President DACH bei Avepoint: "In allen Situationen, in denen die Einführung von Office 365 durch Bedenken zum Beispiel des Betriebsrates oder der Rechtsabteilung verhindert wird, hilft entsprechende zusätzliche Software generell, diese mit flexiblen, zentralisierten Kontrollmechanismen auszuräumen."
Christopher Goth, Regional Vice President DACH bei Avepoint: "In allen Situationen, in denen die Einführung von Office 365 durch Bedenken zum Beispiel des Betriebsrates oder der Rechtsabteilung verhindert wird, hilft entsprechende zusätzliche Software generell, diese mit flexiblen, zentralisierten Kontrollmechanismen auszuräumen."
Foto: Avepoint

Ebenfalls aus Gründen der Compliance benötigen Firmen eine Möglichkeit, ihre Daten aus Office 365 zu sichern und wiederherzustellen. Zur Erinnerung: Microsoft übernimmt im Rahmen der Shared Responsibility die Verantwortung für Betrieb und Sicherheit der Plattform und der Anwendungen - bei den Daten obliegt dies den Anwendern.

"Datensicherung ist unerlässlich und im Microsoft Angebot nicht inkludiert. Daher wird ein Backup/Recovery für Office 365 sowie für die meisten Cloud-Applikationen benötigt", betont etwa Andreas Mayer, Senior Marketing Manager beim Anbieter SEP. Allerdings müssten in der Regel die Kunden zuerst dafür sensibilisiert werden, dass bei Cloud-Applikationen wie Office 365 keine Backup-Lösung integriert ist, und sie selbst für die Datensicherung verantwortlich sind - wie sie das auch von On-Premises-Installationen kennen. "Häufig ist dieser Sachverhalt den Kunden nicht klar", weiß Mayer.

Das bestätigt so auch Michael Gerich von Veeam Software: "Die Speicherung mit Office 365 Sharepoint und OneDrive bietet Instrumente für die Archivierung und die Einrichtung von Arbeitsabläufen. Dies ist allerdings kein Ersatz für ein Office-365-Backup, bei dem alle Daten unabhängig von der Cloud-Plattform selbst sind und anhand einer Reihe von Instrumenten verwaltet werden, die eine granulare Wiederherstellung, Sicherheit und Governance bieten."

Jörn Koch, Channel Sales Manager Central Europe bei Altaro Software: "Bei Office 365 ist der Kunde für seine Daten verantwortlich ist. Hierzu gehört, dass er diese vor Anwenderfehlern wie dem versehentlichen Löschen, vorsätzlichen internen Angriffen, Hacker- und Malware-Attacken sowie vielem Weiterem schützt."
Jörn Koch, Channel Sales Manager Central Europe bei Altaro Software: "Bei Office 365 ist der Kunde für seine Daten verantwortlich ist. Hierzu gehört, dass er diese vor Anwenderfehlern wie dem versehentlichen Löschen, vorsätzlichen internen Angriffen, Hacker- und Malware-Attacken sowie vielem Weiterem schützt."
Foto: Altaro

Der nächste Schritt ist eine Verschlüsselungslösung. Ebertlang arbeitet zum Beispiel mit den Herstellern MDaemon Technologies, Solarwinds MSP und App­River. Wenn Kunden bereits die Notwendigkeit zusätzlicher Anti-Malware und Anti-Spam-Lösungen verstanden haben, ist es nur noch ein kleiner Schritt, ihnen auch den Bedarf für eine sichere Nutzer-Authentifizierung zu erklären. In diesem Bereich bieten etwa Airlock eine zentrale Authentifizierungsplattform oder Eset eine Lösung für sichere Zwei-Faktor-Authentifizierung an.

Managed Service Provider im Vorteil

Da Office 365 selbst als Software-as-a-Service bezogen wird, ist es nur natürlich, dass die Anbieter von Zusatzlösungen in aller Regel ebenfalls Managed-Service-Provider als Partner bevorzugen und ihre Software entsprechend bereitstellen und lizenzieren.

Die Neueinsteiger im Markt setzen ausschließlich auf dieses Modell, alteingesessene Anbieter schwenken zunehmend darauf um. Nahezu alle gemeinsam verlangen von ihren Partnern, dass diese nicht ein Standardprodukt verkaufen, sondern ihre Kunden mit angepassten Services bedienen.

Office 365 nur als Trägermedium

Langfristig dürfte es für Dienstleister, die lediglich einen Zusatzservice bieten, schwierig werden, denn es ist nicht zu erwarten, dass sich Firmen rund um Office 365 mit mehreren Service-Providern auseinandersetzen wollen. Besonders im Mittelstand dürfte also derjenige zum Zuge kommen, der auch Office 365 bereitstellt - sofern das nicht von Microsoft direkt bezogen wird.

Wenn dem so ist, sollte man versuchen, Kunden an sich zu ziehen, indem ihnen der Zusatzservice nur zusammen mit Office 365 angeboten wird. Mittelfristig ist damit zu rechnen, dass Office 365 sich mehr oder weniger zum durchlaufenden Posten entwickelt und für den Channel lediglich das notwendige Trägermedium ist, mit dem die profitableren Zusatzservices ausgeliefert werden. Umso früher man sich auf diese Situation einstellt, umso besser wird man damit zurechtkommen.