Security: On Premise vs. Managed Services

5. Oktober 2019 - Angesichts der steigenden Flut an Cyberbedrohungen blüht Security-Resellern eine rosige Zukunft. Doch wie sieht es mit dem klassischen On-Premise-Modell aus? Müssen Reseller heute nicht bereits gewappnet sein für die Cloud- und Managed-Services-Anforderungen seitens Kunden? "Swiss IT Reseller" hat bei einigen der grössten Security-Hersteller am Markt nachgefragt, was sie konkret tun, um den Channel für sich zu gewinnen.

Immer komplexere Angriffsvektoren, die immer schwieriger vorhersehbar sind, sowie die Zunahme schützenswerter Daten, aus wirtschaftlicher oder rechtlicher Sicht, stellen Unternehmen vor grosse Herausforderungen. Wenn sie sich nicht mehr in der Lage sehen, selbst für die eigene Sicherheit zu sorgen, etwa weil schlicht das Know-how in den eigenen Reihen fehlt, sollen daher Managed Security Services (MSS) Abhilfe verschaffen. Die Nachfrage nach entsprechenden Dienstleistungen steigt denn auch, so sind sich Hersteller und Reseller einig. Doch wann macht es heute trotzdem noch Sinn, Sicherheits-Mechanismen vor Ort, also On-Prem, anzuwenden respektive einzusetzen. Ist vielleicht eine Mischform die richtige Antwort auf diese schwierige Frage? "Swiss IT Reseller" hat sieben Herstellern genau diese und weitere Fragen gestellt. Die Meinungen gehen zwar insgesamt auseinander, doch zeigt sich, dass besonders der Austausch zwischen den verschiedenen Akteuren, also Herstellern, Resellern und Distributoren, von grosser Bedeutung ist.

Fragt man Security-Hersteller nach den Vor- und Nachteilen dieser beiden grundlegenden Security-Modellen, erhält man fast immer dieselbe Antwort: Beide Strategien haben ihre Daseinsberechtigung. Und es stehen letztlich immer die Bedürfnisse der Partner und die Anforderungen deren Endkunden im Vordergrund. Mit einer Ausnahme: Die Firma F-Secure aus Deutschland, die in der Schweiz einen grösseren Partnerstamm pflegt, setzt voll und ganz auf Managed Security Services: "On-Prem hat heutzutage keine wirklichen Vorteile mehr", so Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure, und ergänzt: "Es ist teuer im Unterhalt, fehleranfällig und entsprechend meist nicht so sicher." Anbieter für Cloud Services würden sich auf diesen Service konzentrieren und hätten in der Regel mehr Know-how es abzusichern, als es ein Unternehmen je schaffen würde, da MSSPs darauf spezialisiert sind. Aus seiner Sicht sollten Unternehmen deshalb immer auf Managed Security Service Provider (MSSP) setzen. Wer sich nur auf das On-Prem-Geschäft konzentriere, werde es in Zukunft schwer haben, sich zu behaupten, da der Trend ganz klar in Richtung MSS gehe, meint der Cyber-­Security-Chef von F-Secure. "Daher ganz klar: Managed Security Services lohnen sich mehr." Und auch an anderer Stelle wählt der Hersteller einen eher unkonventionellen Weg. "Wir bekennen uns voll und ganz zum Channel, ohne zwischengeschaltete Distributoren, und unsere Partner schätzen es enorm, direkt mit uns sprechen zu ­können." (swe)


Vor- und Nachteile

Bei Avast Schweiz sieht man das Ganze derweil etwas anders. "Wir bedienen konsequent beide Ansätze", so Fran­çois Tschachtli, Sales Director Central Europe. Doch auch Avast gibt klar zu verstehen, dass der Trend eher in Richtung MSS zeige. "Unter anderem auch, da bedingt durch die DSGVO der Trend zu Cloud-basierten Lösungen geht", so Tschachtli weiter. "Beide Strategien können bei IT-Systemen gleichermassen von Vor- und Nachteil sei", erklärt derweil Cornelia Lehle, Sales Director Schweiz bei G Data. So bietet das Unternehmen sowohl MSS, aber auch On-Premise-Systeme, die im Rahmen eines Managed Service betrieben werden. Es gibt also nicht nur die beiden Modelle On-Prem oder Security-als-Service. Auch Hybridlösungen sind möglich und werden von immer mehr Herstellen angeboten. "Zeitgleich gibt es natürlich auch weiterhin Kunden, die ihre IT rundum selbst und bei sich im Haus betreuen und dies auch weiterhin so wünschen – aus Überzeugung und jahrelanger, persönlicher Erfahrung, oder eben aufgrund verschiedener externer Vorschriften", ergänzt Cornelia Lehle von G Data. (swe)

Ähnlich sieht das auch der Hersteller Sophos, der zwar beide Herangehensweise anbietet, im MSS-Ansatz aber deutlich mehr Vorteile sieht: "Ungemanagte On-Prem Security kann bei Kunden, bei denen Cloud-Lösungen aus Compliance Gründen eventuell ein No Go sind, wie etwa Banken oder öffentlichen Auftraggeber, eine sinnvolle Lösung sein", erklärt Michael Gutsch, Head of MSP CEEMEA bei Sophos. Auch bei Grosskunden könne es sich lohnen, etwa wenn der Betrieb von lokalen Lösungen aufgrund von vorhandenem IT-Personal wichtiger sei als Outsourcing. "Der Markt entwickelt sich aber schnell in Richtung MSS", erklärt Gutsch. Und auch Matrix42, so Andreas von Lowtzow, Sales Director Channel & Alliances, sieht den Trend ganz klar in Managed Services, Software-as-a-Service und Cloud­-­basierte Lösungen: "Viele Unternehmen sind heutzutage nicht mehr in der Lage, die rasanten Änderungen und gestiegenen Anforderungen – im Wesentlichen geprägt durch die Digitalisierung – mit den eigenen Strukturen oder Ressourcen komplett abbilden zu können." Hier seien MSS-Lösungsansätze perfekt geeignet, in Übergangsphasen, bei nicht planbaren Kapazitätsschwankungen, bei latenter Ressourcenknappheit oder in Transformations- oder IoT-Projekten zu unterstützen, Planungssicherheit zu schaffen und Ressourcenengpässe zu überwinden, so von Lowtzow. (swe)


Eine Frage des Budgets

Dabei stelle sich allerdings grundsätzlich die Frage nach der Eigen- beziehungsweise Fremdverantwortung der Sicherheit, so der Sales Director von Matrix42: "Der Vorteil von MSS ist, dass man eine deutlich höhere Kostentransparenz erhält". Ein Unternehmen erziele dadurch den Vorteil, dass es seine eigenen Ressourcen für andere Projekte einsetzen könne. "Man braucht keine Spezialisten, muss kein eigenes Know-how unterhalten", so von Lowtzow. Das eigne sich besonders für KMU mit nicht ausreichendem Budget. Einer der Nachteile, so von Lowtzow weiter, seien allerdings die Abgabe der Kontrolle über die eigene Unternehmenssicherheit. Die Rolle als Hersteller sehen Matrix42 und auch viele weitere Hersteller hauptsächlich darin, Reseller beratend und führend zu unterstützen. Um Reseller längerfristig an sich zu binden braucht es aber mehr, ist sich von Lowtzow bewusst: "In erster Linie versuchen wir, mit unseren Produkten zu überzeugen."

Gleicher Meinung ist auch Eset. "Vertriebskanäle erwarten die Unterstützung des Herstellers, verrät Channel Sales Manager Daniel Stephan. "Es geht also um lukrative Mehrwerte, Nutzen und Modelle, die den Unterschied machen." So zählen für den Security-­Hersteller insbesondere Flexibilität, erfolgreiche Vermarktungsstrategien und der Einsatz moderner IT-Technik für den Dienstleister zu den entscheidenden Faktoren, um Kunden langfristig zu binden." (swe)

Die meisten Partner der Hersteller kommen traditionell aus dem On-Premise-Geschäft, was für die Hersteller zu einer Ausgangsbasis führt, die nicht immer ganz einfach ist. Besonders wenn es darum geht, diese von neuen Geschäftsmodellen zu überzeugen. Mit dieser Situation sieht sich auch Check Point konfrontiert, wie Sonja Meindl, Country Manager Schweiz und Österreich, bestätigt. "Der Trend, speziell bei den KMU-Kunden, geht im Bereich Cybersecurity klar in Richtung MSS", so Meindl. Zwar sei das finanzielle Risiko beim MSS-Modell für Reseller mittel- bis langfristig und mit steigender Kundenzahl geringer. "Doch beim MSS-Modell ist der Zahlungsfluss ein anderer und klassische Reseller müssen bei der Umstellung auf ein reines Servicemodell aufpassen, dass sie in keinen Liquiditätsengpass geraten", erklärt die Country Managerin. Check Point und auch andere Hersteller versuchen deshalb, sich den Marktgegebenheiten anzupassen und Partner entsprechend dabei zu unterstützen. "Neben Pay-as-you-grow- und Pay-as-you-­go-Modellen führen wir intensive Diskussionen mit den MSS-Partnern, um genau zu verstehen, welche Anforderungen er, aber auch der Endkunde hat", erklärt Sonja Meindl.

Unternehmen, die es gewohnt seien, Projektgeschäfte zu betreiben, würden sich beim Wechsel in den Service-Provider-Markt oftmals schwer tun, meint Cornelia Lehle von G Data. "Weil die Herangehensweise sowohl vertrieblich als auch technisch völlig anders ist. Die Partner müssen sich vom Projektgeschäft auf den Lösungs- und Servicebetrieb umstellen, damit Kunden bedarfsgerecht versorgt werden können." Dabei versucht das Unternehmen Partner an sich zu binden, unabhängig davon, auf welches der Security-Modelle diese setzen. "Wir suchen beide Typen an Partnern – projektgetriebene und Service Provider", so Lehle. (swe)


Der Wind weht in Richtung MSS

Dabei stehen die Hersteller ihren Partnern, seien es nun Reseller oder Distributoren, durchs Band mit Rat und Tat zur Seite. "Wir möchten so viel Arbeitslast wie möglich abnehmen", meint etwa Rüdiger Trost von F-Secure. "Das fängt bei Vertriebs- und Marketing-unterstützenden Massnahmen an, bis hin zu Lead-Generierung, Schulungen und Zertifikationen, Beratungsdienstleitungen und vielem mehr."

Doch wie sieht es heute mit der Verteilung zwischen den beiden Modellen aus? Und wie wichtig sind Hardware und Lizenzen noch für den Channel? Nicht alle Hersteller wollen sich zu dieser Frage konkret äussern, doch es wird klar, dass sich der Markt den Bedürfnissen und Anforderungen der Partner und natürlich insbesondere den Wünschen der Endkunden anpasst.

"In der Schweiz liegt der On-Prem-Bereich in unserem Portfolio bei circa 70 Prozent", verrät Cornelia Lehle von G Data, ergänzt aber: "Aktuell sind beide Strategien zeitgemäss und nachgefragt. Wie der Markt aber in fünf Jahren aussieht, werden wir sehen." Dies hängt, so ist Cornelia Lehle überzeugt, zum einen von den grossen Herstellern wie Microsoft ab, zum anderen aber auch von gesetzlichen oder politischen Entwicklungen, die heute natürlich nur bedingt vorhergesehen werden können.

Auch bei Eset stammt ein Grossteil des Umsatzes noch aus dem Verkauf von On-Premise-Lizenzen, so Daniel Stephan: "Seit Einführung unseres MSP-Partnerprogramms verschieben sich die Anteile jedoch immer stärker Richtung MSP." Und auch Fran­çois Tschachtli von Avast bestätigt diese Ausgangslage: "Nach wie vor ist der On-Prem-Bereich ein grosser und wichtiger Bestandteil für uns und unseren Channel. Aus unserer Sicht sollte sich jeder Reseller durchaus Gedanken über Security Services machen." (swe)


Ein Modell kommt selten allein

Zusammenfassend kann man sagen, und hier sind sich fast alle befragten Hersteller einig: Es ist für Reseller und Distributoren nicht sinnvoll, nur auf On-Prem-Security-Angebote oder nur auf Managed Security Services zu setzen. Je nach Profil des Kunden gilt es herauszufinden, welches Modell am besten zu diesem passt. So kann unter Umständen für ein Unternehmen oder Partner auch ein Hybridmodell die beste Option sein.

"Jeder Reseller sollte sich über seine Value Proposition Gedanken machen, sonst könnte er gegebenenfalls in der Zukunft keine Existenzberechtigung mehr haben. Ob das Managed Security Services heisst oder das eine Expansion in andere Bereiche ist, muss jeder in seiner Strategie festlegen und sein Businessmodell entsprechend adaptieren", so Sonja Meindl von Check Point. "Noch sind aber beide Modelle wichtig und sollten auch angeboten werden", meint derweil Andreas von Lowtzow von Matrix42. Während F-Secures Rüdiger Trost gänzlich anderer Meinung ist: "Wer nicht mit der Zeit geht, geht mit der Zeit. Ohne Services wird es zukünftig schwer. Reseller müssen sich, um weiterhin erfolgreich zu sein, weiterentwickeln." (swe)


"Pauschale Argumente greifen kaum"

Das Portfolio von Boll Engineering deckt fast alle Bereiche der Security ab. Der stärkste Fokus liegt dabei traditionsgemäss auf Produkten wie Firewalls, E-Mail Security Gateways, Web Application Firewalls, Web-Gateway-Lösungen und Application Delivery. "Doch", so Patrick Michel, Principal Consultant bei Boll Engineering, "als richtiger Value Add Distributor haben wir auch auf der Dienstleistungsseite einiges im Angebot." So konzentriere man sich mehr und mehr auf die Endpoint Security, die, so Michel, in den letzten Jahren wieder wichtiger wurde.

So wächst das Dienstleistungsangebot stetig, wie der Distributor betont: "Hier haben wir uns gerade Flexibilität gross auf die Fahne geschrieben.Aus konkretem Bedarf von Partnern entstehen bei uns denn auch meist die Value Add Services", so Michel.

Eine schwarz-weisse Antwort, auf die Frage, wo man denn als Distributor in Bezug auf On-Prem vs. MSS die grösseren Vorteile sehe, gibt Boll, wie zu erwarten war, nicht. "Beide Bereiche haben ihre Vor- und Nachteile", meint Patrick Michel. "So schliesst das eine das andere auch nicht aus. Ein Managed Security Provider betreibt durchaus auch On-Prem-Security-­Systeme."

Etwas genauer will es "Swiss IT Reseller" dann aber doch wissen. Wo, wann und für wen lohnt sich der Einsatz von Security-Produkten vor Ort? "Eigentlich immer dann, wenn eine Firma selber die Security-Infrastruktur im Griff haben möchte – also auch eine gewisse Unabhängigkeit schaffen möchte", so Michel. Nur wer selber die Systeme vor Ort betreibe, könne sehr kurzfristig und schnell reagieren. Aber natürlich auch nur dann, wenn die nötigen Ressourcen vorhanden seien. "Da liegt meistens das Problem. Schlussendlich ist es auch eine Vertrauensfrage und ein Abwägen von Vor- und Nachteilen. Wer generell grossen Cloud-Betreibern nicht vertraut, lässt es sein", meint der Experte.

So gibt es Bereiche, die sich eher mehr oder eher weniger für die Cloud eignen, ist Michel überzeugt: "Ein gutes Beispiel ist die E-Mail Security. Da der Internet-Transit-Verkehr von E-Mails nicht wirklich unter Kontrolle gebracht werden kann, spielt es auch keine Rolle, wenn der E-Mail Security Gateway in der Cloud läuft." Bei der E-Mail-Verschlüsselung wird es dann schon etwas schwieriger. Möchte eine Firma ihre privaten Schlüssel wirklich in einer Shared-Cloud-Umgebung haben? Anhand dieses Beispiels werde klar, so Michel: Pauschale Argumente greifen kaum. Auch auf die Frage, wann Unternehmen denn grundsätzlich auf einen Service-Provider setzen sollten, gibt es keine eindeutige Antwort, aber immerhin eine Richtlinie: "Definitiv in Bereichen, wo die eigenen Ressourcen fehlen oder wo bewusst nicht investiert wird. Schlecht betriebene, vernachlässigte Security-Systeme haben kaum einen Nutzen", meint Michel dazu. Boll rät seinen Kunden also insbesondere dann zu On-Prem-Security-­Produkten, wenn es von der Architektur her keine massgebenden Nachteile gibt und Ressourcen respektive Know-how bereits vorhanden sind.

Der Markt bewege sich klar Richtung Cloud, so der Consultant. "Doch Cloud ist ein weiter Begriff. Hier muss zwingend differenziert werden. Handelt es sich um IaaS, SaaS oder PaaS? Beinhaltet es Managed Security Services?", so Michel, und verweist auch auf die Datenhaltung: "Es gibt Kunden, die können und wollen nicht alles in der Cloud haben."

Die Zusammenarbeit mit den Herstellern ist für Boll derweil sehr wichtig und reicht von gemeinsamen Business-Development-Aktionen bis hin zum Marketing. "Die Nähe zum Hersteller ist für einen Distributor eminent wichtig und auch Teil des Erfolgs", erklärt Michel. "So gesehen haben wir zwei verschiedene Kunden. Die Partner und die Hersteller. Letztere kaufen bei uns zwar nichts, müssen aber genauso gut betreut werden." (swe)

Copyright by Swiss IT Media 2024