Gegenwärtig hört man wieder positive Signale aus dem Markt für Managed Security Services (MSS) – zumindest international. In Europa könnte sich in den nächsten Jahren der Umsatz mehr als verdreifachen. Diese optimistische Einschätzung wagten jedenfalls die Analysten der Unternehmensberatung Frost & Sullivan, die einen Anstieg von 73 Millionen US-Dollar (2001) auf 250 Millionen US-Dollar (2008) prognostizieren, in einer kürzlich erschienenen Studie.
Beinahe euphorisch über den anziehenden Markt äusserten sich auch einige Managed-Security-Service-Provider (MSSPs) aus Grossbritannien und Irland, mit denen sich IT Reseller kürzlich unterhalten konnte.
Silberstreifen am Horizont
Die Einschätzungen von Schweizer Spezialisten sind da schon wesentlich zurückhaltender – zusammenfassend kann man sagen, dass sich ihr Markt keineswegs der allgemeinen IT-Flaute entziehen kann, dass es aber Zeichen einer positiven Entwicklung gibt.
Am positivsten tönt es beim kleinsten und jüngsten Unternehmen, das wir befragten, der Berner Netbeat. General Manager Martin Trachsel: «Für 2002 rechnen wir mit einer Verdoppelung unseres Umsatzes mit MSS.»
«Es ist hart», sagt hingegen Martin Altdorfer, CEO der Hinwiler Celeris, fügt dann aber an, dass es jetzt schon wieder etwas besser laufe als im Q1. Urs Rufer, VP of Engineering bei Terreactive, erklärt: «Vor einem halben Jahr gab es gar keine Projekte mehr, jetzt sind aber immerhin die Projekte wieder da.» Eine «grundsätzlich gute Entwicklung» sieht Florian Gutzwiller, CEO von Open Systems, «aber viele Entscheide werden im Moment verschoben».
Er relativiert aber auch gleich die Marktsituation: «Eigentlich läuft es ja nicht schlechter als vor dem grossen Boom.»Gutzwiller hat auch eine Erklärung für die Diskrepanz zum angelsächsischen Markt: «Man ist dort grundsätzlich viel stärker an Outsourcing gewöhnt, bei uns dauern solche Entscheidungen länger.»
Kein Selbstläufer
Obwohl der Business Case Sinn macht (siehe Kasten) verkaufen sich MSS keineswegs von selbst. Gutzwiller berichtet von langen Verkaufszyklen. Das hat mehrere Gründe. «Security ist Vertrauenssache», diesen Satz äussern alle Spezialisten irgendwann im Gespräch, und dieses Vertrauen muss zuerst geschaffen werden, besonders wenn es darum geht, die IT-Security in fremde Hände zu legen.
Ein Teil des Erklärungsbedarfs liegt in der verwirrenden Vielzahl der Angebote und damit der Preise, meint Altorfer. Unter dem Stichwort «Managed Security Services» werden seiner Meinung nach von vielen Unternehmen Dienstleistungen angeboten, die nicht in diese Kategorie fallen.
Unübersichtliche Konkurrenzsituation
Die Situation ist tatsächlich unübersichtlich. «Der Markt ist verzettelt», so Rufer, «täglich tauchen neue Namen auf.» Hersteller wie Check Point,
Symantec,
Cisco und
Sonicwall propagieren heftig ihre Security-Management-Plattformen als Möglichkeit für Partner, neue Einkommensquellen zu erschliessen.
Symantec, um ein Beispiel zu nennen, «produziert» ausserdem selbst Managed Security und verkauft sie direkt an Grosskunden, möchte aber auch Reseller finden. Man habe auch schon einige Anfragen von interessierten Partnern, sagte uns Heike Faller, Sprecherin von Symantec Schweiz.
Indirekt verkaufen auch Spezialisten wie Celeris und Terreactive (vor allem im Hostinggeschäft) ihre Services, und Netbeat möchte bis Q3 ein entsprechendes Modell ausarbeiten. Das Ganze führt also dazu, dass letztendlich reine MSSPs und Softwareanbieter sowohl als Lieferanten als auch als Konkurrenten für Telcos, Netzbetreiber und Systemintegratoren auftreten, die ebenfalls Sicherheitsdienste anbieten.
Im Massengeschäft für Consumer und Kleinunternehmen, wo hoch standardisierte Lösungen angeboten werden können, dürften am ehesten Telcos und ISPs ihre Erfolge verbuchen.
Darüber beginnt das Jagdgebiet unserer Spezialisten.
Bei Celeris beginnt die Spanne bei Kunden mit vielleicht 50, 60 Angestellten (vor allem aus dem Finanzbereich) und reicht bis zu Bluechip-Firmen. Open Systems findet seine Kunden vor allem bei grösseren Unternehmen im Finanzbereich, wobei für Gutzwiller der Umsatz, nicht die Zahl der Angestellten für die «Grösse» entscheidend ist. Rufer nennt als Kriterium «speziell sicherheitssensible Kunden», von kleineren KMUs bis zu Grosskunden, aus den Bereichen Verwaltung, Industrie und Finanzen. Netbeat nennt Firmen von 300 bis 2000 Angestellten, «eher nicht aus dem Finanzbereich».
Die Konkurrenz ist hier noch nicht sehr dicht, zumindest unter den eigentlichen Spezialisten. «Nur Installation und Support sind noch keine Managed Services», so Rufer. Für ihn gehört die Fähigkeit zum proaktiven Handeln durch kontinuierliche Überwachung zur Definition. «Das können in der Schweiz nicht viele.» Rufer erwähnt zwar zunehmende Konkurrenz, aber nur selten von anderen Security-Spezialisten. Gutzwiller kommentiert, man habe das Feld eigentlich recht gut aufgeteilt. Dazu komme, dass Grosse wie
IBM und
Swisscom IT-Services nicht aggressiv auftreten und sich eher damit begnügen, ihren bestehenden Kunden Managed Security als Zusatzservice anzubieten, so dass keine Umschichtung stattfinde.
Hohe Einstiegshürde
Dieses vermeintlich freie Feld mag manchen zum Einstieg verlocken, aber «MSS zu leisten ist nicht trivial. Man kann nicht einfach einen Mann einstellen», so Altorfer. Es ist viel Know-how erforderlich, eingespielte Prozesse und eine Plattform, um die Services skalierend und kostengünstig anbieten zu können.
Alle vier betonen die Flexibilität ihrer Plattformen, die Produkte verschiedener Hersteller verwalten können und den Kunden transparenten Einblick in die Aktivitäten des Dienstleisters geben. «Unsere Kunden brauchen modulare und anpassbare Lösungen», so Trachsel stellvertretend. So etwas gibt es nicht von der Stange, die Plattformen der Hersteller sind jeweils nur für ihre eigenen Produkte ausgelegt.
Alle vier haben viel Entwicklungsarbeit und -zeit in ihre eigenen Plattformen gesteckt und müssen sie auch laufend weiterentwickeln.Interessierte sollten sich daher den Weg des Einstiegs gut überlegen. Zumindest zu Anfang als Service-Reseller aufzutreten ist sicher eine überdenkenswerte Alternative. (hjm)
Managed Security Services: was ist das?
Die Idee der Managed Security Services ist nicht neu, wurde aber vor allem im Zuge des Internetbooms gehyped. Inzwischen hat sich der Lärm wieder stark gelegt. Die Situation, die teilweises oder volles Security-Outsourcing für viele Unternehmen zu einer naheliegenden Idee macht, ist deswegen aber nicht verschwunden, sie hat sich eher noch verschärft. Der Aufwand und das nötige Know-how für Firmen, um ihre IT-Security aus eigener Kraft auf einem adäquaten Stand zu halten, wird dauernd grösser.
Bei Managed Services geht es darum, dem Kunden die anspruchsvollen, immer wiederkehrenden Arbeiten abzunehmen, die nötig sind, um einen hohen Sicherheitslevel zu erhalten. Das geht je nach Anbieter und Service Level Agreement vom Update des Virenschutzes über das Management und die Überwachung von Firewalls, VPNs und Intrusion-Detection-Systemen (inkl. Reaktion auf Alerts und Systemausfälle mit garantierten Reaktionszeiten) bis zur regelmässigen Identifizierung von Sicherheitslöchern bei Applikationen und der Installation der nötigen Patches.
