In den letzten Jahren hat die Nachfrage nach Security as a Service stark zugenommen, sowohl seitens Großunternehmen als auch des KMU-Markts. Tatsächlich bieten diese Services aus der Cloud den Nutzern zahlreiche Mehrwerte. Gleichzeitig hält der Markt eine wachsende Bandbreite an Angeboten bereit, bei denen man schnell den Überblick verlieren kann. Es gilt deshalb, einige grundlegende Aspekte zu beachten.

Immer mehr Unternehmen entschieden sich für den Umstieg auf „Security as a Service“-Angebote (SecaaS, mitunter auch SaaS genannt, wobei Letzteres meist für „Software as a Service“ genutzt wird). Der offensichtliche Vorteil eines solchen Wechsels besteht in der Verlagerung der Ausgaben von der Investitions- auf die Betriebskostenseite. Doch nicht nur in der Bilanz können sich solche Services positiv auswirken – es gibt weitere Gründe, die derlei Service-Angebote zunehmend attraktiv erscheinen lassen.

Komplexere Bedrohungen

Die Zero Day Initiative (ZDI) findet als weltweit größtes herstellerneutrales Bug-Bounty-Programm jährlich ein- bis zweitausend neue Sicherheitslücken in weit verbreiteten Softwarelösungen [1]. Zudem werden täglich über 350.000 neue Malware-Samples entdeckt [2], die Qualität der Cyber-Angriffe wird insgesamt immer ausgefeilter. Deshalb ist es kaum verwunderlich, dass sich das Management der Sicherheitswerkzeuge von einer Nebensache zur Hauptaufgabe gewandelt hat. Diese Entwicklung macht IT-Sicherheit zwangsläufig zu einer komplexen, wiederkehrenden Aufgabe für Spezialisten. Kleinere Unternehmen können die Qualität, die Security-Dienste aus der Cloud bieten, beispielsweise hinsichtlich Verfügbarkeit, Update-Zyklus und Qualitätssicherung, mit eigenen Mitteln kaum selbst umsetzen. Anders als in Großunternehmen haben Administratoren hier in der Regel mehr als nur eine dedizierte Aufgabe. In vielen Fällen reicht das Spektrum von der Netzwerkverkabelung bis hin zum Office-Helpdesk und dem Management stetig wachsenden Zahl von Geräten – Sicherheit verkommt dabei oft zur Randnotiz.

Gerade in diesem Kontext ist die Qualität der als Service gelieferten Sicherheitsleistung meist höher. Zudem bieten viele Anbieter inzwischen auch Service-Level-Agreements für ihre Dienstleistungen an. Das gibt es beim hausinternen Betrieb im KMU-Segment nur in den seltensten Fällen.

Fachkräftemangel erschwert die Lage

Hinzu kommt, dass es für Unternehmen immer schwieriger wird, geeignete IT-Fachkräfte zu gewinnen. Der Branchenverband Bitkom zählte im November 2017 etwa 55.000 offene Stellen für IT-Experten. [3] Zu den meistgesuchten Mitarbeitern zählten dabei Spezialisten für IT-Sicherheit, bei denen die Zahl der unbesetzten Stellen von 2016 auf 2017 um acht Prozent zunahm. Unternehmen können dieser Problematik zumindest teilweise entgehen, indem sie ihre IT-Sicherheit an externe Spezialisten auslagern.

Auch das Analystenhaus IDC identifiziert diese Herausforderungen als wichtige Trends im Bereich Security. Die Experten von IDC erwarten deshalb, dass sich in den kommenden Jahren immer mehr Unternehmen für Cloud-basierte Security-Services entscheiden werden, um diesen Entwicklungen zu begegnen [4].

Cloud-Trends und Anwendungsgebiete

Entscheiden sich Unternehmen für einen Umstieg auf Security as a Service, haben sie die Auswahl aus einer breiten Reihe von Angeboten, die sich je nach Unternehmen, Größe der IT-Security und vor allem hinsichtlich der Anforderungen unterscheiden. Beispielsweise können Unternehmen einzelne IT-Security-Lösungen als Service einsetzen, also beispielsweise eine Endpoint-Lösung. Hier geht es oft darum, das IT-Betriebspersonal dadurch zu entlasten, dass ein externer Betreiber Helpdesk-Anfragen, Aufräumarbeiten und regelmäßig anfallende, einfache Aufgaben übernimmt. Viele größere Unternehmen, bei denen derartige Aufgaben regelmäßig auftreten, holen sich Hilfe von außen. Da immer mehr Mobilgeräte zum Einsatz kommen, bilden sie Verwaltungs- und Service-Konzepte immer häufiger als Cloud-Service ab. Nimmt man noch E-Mail- und Web-Schutz hinzu, sind Cloud-basierte Lösungen inzwischen weitgehend die Regel.

Kleinere Unternehmen, aber auch immer mehr Mittelständler entscheiden sich oft für ein „Rundum-Sorglos-Paket“: Sie lagern ihre IT-Security oder sogar die gesamte IT an Service-Provider aus. Regularien wie die DSGVO (Datenschutz-Grundverordnung) begünstigen die Entwicklung. Diese hängt aber auch damit zusammen, dass Mitarbeiter eine hohe Investition darstellen, wenn sie sich nicht um das eigentliche Kerngeschäft kümmern. Gerade im KMU-Bereich kann die Verwaltung solcher Klein(st)umgebungen über die Cloud durch Service-Provider wesentlich effizienter gestaltet werden als durch die Unternehmen selbst.

Fünf grundlegende Security-Trends beeinflussen die IT-Sicherheit. Bild: „IDC Market Analysis Perspective, Worldwide Security Products“, September 2017

Mittelständische Unternehmen, die kritische Infrastrukturen (Kritis) betreiben, oder solche, die sehr viel geistiges Eigentum besitzen, wiederum suchen nach Möglichkeiten, eine IT-Sicherheitsleitstelle (Security Operations Center, SOC) zu besetzen. Das notwendige Know-how aufzubauen und im Ernstfall parat zu haben, ist allerdings sehr kostenintensiv, weshalb auch diese Unternehmen gern externe Dienstleister einbinden.

Sicherheitsleistungen aus und in der Cloud

Die Entscheidung für ein SecaaS-Modell und der Wechsel in die Cloud gehen oftmals Hand in Hand. Anders als bei der „klassischen“ IT fehlt es internen IT-Abteilungen oft an den nötigen Ressourcen, um Sicherheitsstrategien für die Cloud zu entwickeln oder umzusetzen. Dies kann zu erheblichen Verzögerungen oder sogar zum Stopp von Cloud-Projekten führen. Zudem legt das Konzept der „geteilten Verantwortung“ (Shared Responsibility) fest, dass beide Seiten – Cloud-Provider wie Unternehmen – für den Schutz der Daten in der Cloud zuständig sind. Letztere suchen deshalb oft Partner, die sie nicht nur bei der Gestaltung von Cloud-Projekten unterstützen, sondern ihnen auch beim Thema Sicherheit mit Rat und Tat zur Seite stehen. Hier kann der bereits zuvor erfolgte Wechsel auf Security aus der Cloud möglicherweise vorhandene Sicherheitsbedenken vor allem gegenüber Public-Cloud-Infrastrukturen abbauen.

Zugleich laufen immer mehr sicherheitsrelevante oder -sensitive Anwendungen ausschließlich in der Cloud, beispielsweise Big-Data-Applikationen, die oft im großen Maße personenbezogene Daten verarbeiten. Auch den Bereich Applikationsentwicklung (DevOps) bilden IT-Organisationen zunehmend mittels Containerlösungen in der Cloud ab.

Hier kann man Anwendungen durch Security-Dienstleistungen noch während der Entwicklung auf Sicherheitslücken oder bösartigen Code untersuchen. Je früher man eine Lücke erkennt, desto leichter lässt sie sich schließen. Indem Security-Services entsprechende Projekte frühzeitig mit Sicherheitsanforderungen in Einklang bringen, können sie Unternehmen dabei helfen, Geld zu sparen.

Den passenden Dienst finden

Um den passenden Anbieter zu finden, sollten sich Unternehmen besonders an folgenden Kriterien orientieren:

Qualität: Die Qualität eines Dienstes ist eines der wichtigsten Entscheidungskriterien überhaupt. Anbieter sollten von ihrem Dienst so überzeugt sein, dass sie dafür bestimmte Qualitätslevel garantieren. Das können „einfache“ Dinge sein wie die Verfügbarkeit, Geschwindigkeit und Reaktionsgeschwindigkeit der Server, aber auch die (messbare) Support-Qualität sollte hier nicht zu kurz kommen.

Datenschutz: Insbesondere bei Security-Services kommen Anbieter häufig mit persönlichen und personenbezogenen Daten in Kontakt. Hier empfiehlt sich über die eigentlich selbstverständliche Einhaltung gesetzlicher Bestimmungen hinaus ein offener Umgang mit Fragen und Anforderungen von Kundenseite. Das „Einmauern“ hinter Floskeln wie einer langen Liste von Compliance-Richtlinien und Verweisen auf gesetzliche Bestimmungen ersetzt nicht den offenen Umgang mit Fragen nach Vorgehensweisen, geografischen Lokationen oder Prozessen.

Transparenz: Die Nutzung externer Sicherheitsangebote ist in erster Linie ein Vertrauensbeweis des Unternehmens an den Dienstleister. Ob das Unternehmen sich mit dem Dienst wohlfühlt, hängt in der Regel maßgeblich von der Transparenz des Dienstleisters ab.

Flexibilität: Der wohl wichtigste Vorteil der Cloud-Nutzung ist, dass sie Unternehmen größere Flexibilität erlaubt. Egal ob höhere Rechenleistung oder mehr Speicherplatz – alles ist auf Zuruf verfügbar. Aber auch die Nutzung unterschiedlicher Angebote verschiedener Cloud-Provider sowie das Einbeziehen eigener Ressourcen komplettiert das Angebot. Ein Security-as-a-Service-Angebot sollte diese Optionen beinhalten, damit Unternehmen die Flexibilität einer Cloud-Lösung voll ausnutzen können.

Abrechnungsmodell: Die Abrechnung von Cloud-Diensten erfolgt in der Regel nach Bedarf. Damit kann die Cloud ökonomische Vorteile bieten, besonders im Gegensatz zu Investitionen in das eigene Rechenzentrum. Folgerichtig sollten Provider alle Dienste, die aus oder für die Cloud erfolgen, nach dem „Pay per Use“-Modell abrechnen und somit nach Bedarf skalieren.

Zuerst eine Risikoanalyse

Unternehmen sollten sich vom IT-Partner ihres Vertrauens beraten und bei der Suche nach den richtigen Services unterstützen lassen. Kommen sie nach einer Risikoanalyse zu der Entscheidung, dass ein Security-Angebot aus der Cloud in der Kombination aus Dienstqualität, Preis, Haftung etc. vorteilhaft ist, können sie guten Gewissens und ohne Angst davon profitieren.

Richard Werner ist Business Consultant bei Trend Micro, www.trendmicro.com.