Es tut sich einiges im IT-Security-Umfeld, jedoch weniger auf technischer Seite – mit Trends wie KI, IoT und Co. geht es eher schleppend voran. In puncto Bereitstellung scheint aber jemand den Hebel umgelegt zu haben. Viele Marktkenner prophezeien: 2019 könnte das Jahr sein, in dem „Security as a Service“ (SaaS oder – um Verwechslung mit SaaS = „Software as a Service“ zu vermeiden, SecaaS genannt) den Markt vollends erobert. Wie es aktuell um den Markt bestellt ist und wohin die Reise gehen wird – eine Momentaufnahme.

Ob Endpoint-Sicherheit und Firewalls, Patch-Management oder Web-Scanning: Sicherheitstechnik direkt vom Hersteller zu beziehen ist heute keine Seltenheit mehr. Immer mehr klassische Provider bieten ihre Sicherheitsfunktionen inzwischen auch als Service und wirbeln das Marktgefüge damit kräftig durcheinander. Zugleich sprießen reine Service-Anbieter, Security-Broker genannt, aus dem Boden und laufen den klassischen Lizenz- und Vertriebsmodellen mehr und mehr den Rang ab. Sie könnten einigen Marktbeobachtern zufolge schon in wenigen Jahren den Sicherheitsmarkt dominieren.

Ein Beispiel, das den Wandel hin zu „as a Service“ nachvollziehbar macht, ist SIEM (Security-Information- und Event-Management): War der Aufbau eines Security Operations Centers (SOC) bislang eine gewaltige Herausforderung für Anwenderunternehmen, bekommen sie die Technik heute bequem als Service vom Hersteller. Interessenten können solche Angebote direkt online abonnieren. Daneben gibt es Technologien, die überhaupt erst boomen, seit sie als Service verfügbar sind, beispielsweise Vulnerability-Management-Lösungen.

Der Markt in Zahlen

Dass es sich dabei um mehr als nur ein Bauchgefühl handelt, belegen die aktuellsten Statistiken. Die Zahl der Hersteller, die ihre Leistungen als Service anbieten, steigt weiter an: 37 Prozent machen die Service-Anbieter inzwischen aus, 2018 waren es noch 24 Prozent. Im deutschsprachigen Markt ist die Entwicklung noch offensichtlicher: Bereits 46 Prozent der Unternehmen mit Sitz im DACH-Raum haben Service-Modelle entwickelt, also rund 100.

Was die Zahlen nicht erkennen lassen: Vielen Herstellern fällt es unglaublich schwer, ihr Geschäftsmodell auf Services umzustellen – unabhängig davon, ob es um Application Service Provider (ASP), xSP, SaaS, PaaS, IaaS oder Cloud Computing geht. Vieles, was heute als neuartiges Service-Modell gehandelt wird, entpuppt sich bei näherem Hinsehen als Pseudo-Service, beispielsweise wenn der Anbieter den Preis einer Drei- oder Fünf-Jahres-Lizenz einfach durch die Anzahl der Monate teilt und vielleicht sogar noch mit einem Aufpreis versieht – ein häufig anzutreffendes Phänomen. Vom Kern des Konzepts Security as a Service und den Bedürfnissen des Marktes ist dieses Vorgehen Lichtjahre entfernt.

Denn gemeint ist mit SaaS nicht das Mieten oder Finanzieren von Softwarelizenzen, ebenso wenig das weit verbreitete Bezahlen von Services für drei Jahre im Voraus für eine fest definierte Nutzerzahl. Diese Ansätze gehören der Managed-Services-Welt von gestern an, die gut ohne dedizierte Abrechnungsmöglichkeiten ausgekommen ist. Ein unabhängiger Billing-Software-Markt mit Anbietern für die nutzungsabhängige Abrechnung skalierbarer Services hat sich hingegen bis heute nicht herausgebildet. Die Entwicklung von Services im eigentlichen Sinne hat das klar gebremst.

Ein Grund für die Zurückhaltung der Hersteller ist die Sorge, durch die Transfor­mation zu SaaS Umsatz­einbrüche zu erleiden. Bezahlen Anwenderunternehmen mehrjährige Lizenzverträge nicht mehr auf einmal im Voraus, lässt sich der Bezug der Leistung zunächst nicht vorhersagen und kalkulieren. Selbst die Aussicht auf neue Kundenschichten und mittel- bis langfristig mehr Ertrag ist häufig nicht Ansporn genug.

Baukastenprinzip

Bei echten nutzungsabhängige Modellen, die sich an den Bedarf der Endanwender anpassen, verhält es sich ähnlich wie mit Strom oder Wärme: Der Nutzer muss keine Mindestmenge im Monat abnehmen, sondern bezahlt die Leistung individuell nach Verbrauch. Übertragen auf das Security-Universum heißt das: Firewall-Hersteller oder Anti-Spam-Anbieter rechnen mit ihren Kunden je nach anfallendem Datenverkehr ab, beispielsweise auf Basis des eingehenden E-Mail-Volumens. Unternehmen aus dem Mittelstand könnten künftig ähnlich wie im Versicherungsmarkt über ein Standard-Security-Paket ihre Grundsicherung erwerben und bei Bedarf Module dazukaufen, die das Schutzniveau weiter erhöhen. Dafür scheint der Markt jedoch noch nicht reif, weder auf Anbieterseite noch bei den Service-Beziehern. An der technischen Realisation scheitert es nicht, denn die Grundvoraussetzung, (Security-)Software als Service anbieten zu können, gibt es schon lange: Von den Plattformen – Hardware, Betriebssystem, Virtualisierung, Mandantenfähigkeit – bis hin zu den darauf aufsetzenden Applikationen ist alles vorhanden. Zudem hat die Technologie in den letzten 15 Jahren noch einmal erhebliche Fortschritte gemacht.

Ein weiteres Hemmnis sind aber die Prozesse auf Kundenseite. Wie auch im Automationsumfeld gilt hier: Prozesse lassen sich nur dann automatisieren, wenn der Prozess sauber steht – mit wild gewachsenen Abläufen hingegen funktioniert das nicht. Genauso verhält es sich mit dem Thema Security as a Service: Unstrukturiertes per Service-Modell sicherer zu machen ist ein Ding der Unmöglichkeit.

Strom, Wasser, Telefon, Sicherheit

An nutzungsabhängig beziehbaren IT-Services mangelt es trotz Wachstum also noch auf allen Seiten in großen Teilen der IT-Branche. Forderungen werden laut, mehr Softwarehersteller sollten ihren klassischen Partnern Lizenzmodelle anbieten, die speziell dem Managed-Service-Gedanken folgen. Reseller und Systemintegratoren könnten sich so selbst zum Provider entwickeln und individuell für ihre Kunden maßgeschneiderte Services anbieten. Ein denkbares Szenario ist es aber auch, dass sich der Vertriebskanal für Security-Produkte künftig komplett verlagert, beispielsweise in Richtung der kommunalen Versorger. Unternehmen könnten dann sämtliche Basisfunktionen ähnlich wie Strom, Wasser oder Telekommunikation über einen einzigen Provider beziehen. Ein einziger Vertrag mit dem Internet-Provider könnte dann die Sicherheitsfunktionen mit abdecken. 2020 wird sich zeigen, wohin die Reise geht, ob sich der Markt überproportional weiterentwickelt und welchen Marktteilnehmern es gelingt, den Druck in Richtung echter Security-Services zu erhöhen.

Gerald Hahn ist Vorstand des auf den Security-Markt spezialisierten VADs Softshell mit Sitz in München, www.softshell.ag.