Thought Leadership
Wolfram Funk, Experton Group. über den Weg von traditionellen Managed Services zum Cloud Modell.
Während Sicherheit für die Cloud derzeit ein kontrovers diskutiertes Thema ist, das nicht wenige Unternehmen bei Investitionen in eine Cloud-Infrastruktur zögern lässt, hat sich Sicherheit aus der Cloud in einzelnen Bereichen bereits gut etabliert. Die Experton Group greift in einer Studie zu Cloud-basierten Security Services diese Thematik auf und betrachtet dabei insbesondere auch die verschiedenen Nuancen zwischen traditionellen Managed Security Services und Cloud-Modellen.
Auf Cloud basierende Sicherheitsdienste und Security für die Cloud gehören zu den Top 10-Themen, die deutsche Sicherheitsverantwortliche im Jahr 2010 anpacken und prüfen müssen. Zugleich stehen weitere Aufgaben an: unter anderem muss das Kosten-Nutzen-Verhältnis von Sicherheitsinvestitionen optimiert und kommuniziert werden, Mitarbeiter und Partner sollen sicheren Fernzugriff auf Unternehmensressourcen erhalten, und Maßnahmen gegen Wirtschaftskriminalität sind zu ergreifen.
Grundsätzlich ermöglichen es externe Security Services aus der Cloud der Mehrzahl der Unternehmen die IT-Sicherheit auf ein höheres Niveau als bislang zu heben. Externe Dienstleister bieten ihre Leistungen für eine Vielzahl von Kunden an und verfügen über die Skaleneffekte, die hohe Investitionen in eine hochsichere Infrastruktur und entsprechendes Know-how erlauben.
Andererseits ist aber nicht zu erwarten, dass künftig alle IT-Sicherheits-Funktionalitäten komplett in die Wolke verlagert werden. Der Cloud-Anteil wird aber in den kommenden 3-5 Jahren für einzelne Sicherheitsthemen stark zulegen.
Bild 1: Zehn Aufgaben für Informationssicherheits-Verantwortliche in 2010.
In einzelnen Segmenten, wie etwa E-Mail-Sicherheit und Spam-Schutz, sind Cloud Services bereits heute recht ausgereift und treffen auf hohe Akzeptanz bei deutschen Unternehmen. Durch die wachsende Verbreitung von Cloud Services werden auch manche hierfür notwendige Sicherheitsfunktionalitäten in die Wolke wandern – also Sicherheit aus der Cloud für die Cloud. Besonders deutlich wird dies bei der Verwaltung und Bereitstellung von Identitäten für Cloud Services, etwa über Web Single Sign-On. Im Jahr 2009 nutzte etwa jedes dritte deutsche Unternehmen mit mindestens 100 Mitarbeitern Managed Security Services (MSS) in irgendeiner Form. Dabei sind vier Modelle mit fließenden Übergängen zu unterscheiden (siehe Abbildungen):
1. Betrieb des Sicherheitssystems im eigenen Unternehmen (Rechenzentrum), Fernüberwachung (Monitoring) durch einen externen Dienstleister.
2. Betrieb des Sicherheitssystems im eigenen Rechenzentrum, Remote Management (Konfigurationsänderungen oder Response) durch einen externen Dienstleister.
Pressemitteilung 3 von 5 3. Hosting und Management eines dedizierten Sicherheitssystems durch den externen Dienstleister in seinem Rechenzentrum / Security Operations Center.
3. Hosting und Management eines dedizierten Sicherheitssystems durch den externen Dienstleister in seinem Rechenzentrum / Security Operations Center.
3. Hosting und Management eines dedizierten Sicherheitssystems durch den externen Dienstleister in seinem Rechenzentrum / Security Operations Center.
4. Shared Managed Security Service ohne dediziertes Sicherheitssystem (Cloud-basiert): Security Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS).
Bild 2: Cloud-basierte Security Services und andere Security-Service-Modelle.
Eine neue Experton Group Studie „Security Services in der zweiten Generation – Auf dem Weg von traditionellen Managed Services zum Cloud Modell“ wird das Thema von verschiedenen Seiten beleuchten: aus der Sicht der potenziellen Kunden (Anwenderunternehmen), aus der Perspektive der Security-Technologie- und SaaS-Anbieter sowie aus dem Blickwinkel der ICT-Dienstleister.
Da einzelne der zu betrachtenden Segmente in diesem Markt noch in einem frühen Stadium stecken und daher sehr „erklärungsbedürftig“ sind, wählt die Experton Group einen hybriden Research-Ansatz. Eine Anwenderbefragung wird die Marktforschungsergebnisse zunächst auf eine solide statistische Basis stellen. Parallel dazu führen Advisors der Experton Group mit einzelnen Unternehmen Expertengespräche durch, um die Plausibilität der Primärforschung zu prüfen und zu validieren. Außerdem kann auf umfassende Erfahrungen aus laufenden und vergangenen Projekten im Anwenderumfeld zurückgegriffen werden – beispielsweise aus der Begleitung von Ausschreibungen und dem Erstellen von Security Policies.
Durch den hybriden Marktforschungsansatz kann die Experton Group beispielsweise zwischen den Wünschen der Befragten auf der einen Seite und den Sach- und Budgetzwängen in der Realität unterscheiden – eine Aufgabe, die ein ausschließlich Call Center gestützter Ansatz selbst bei gutem Fragebogendesign nicht bewältigen kann.
Ein wichtiges Element des Experton Group Research-Ansatzes ist außerdem der enge Kontakt mit den relevanten Anbietern von Sicherheitslösungen und Dienstleistungen. „Dies hat eine angenehme Nebenwirkung: so können wir beurteilen, welcher Anbieter zu den konkreten Anforderungen unserer Kunden passt“, fügt Wolfram Funk hinzu.
Erste Ergebnisse der Studie „Security Services in der zweiten Generation – Auf dem Weg von traditionellen Managed Services zum Cloud Modell“ sind im Herbst 2010 zu erwarten. Interessenten erhalten nähere Informationen unter folgendem Link: http://www.experton-group.de/research/studien/studien-index.html
