Interview mit einem Managed Security Service Provider

"Der Kunde versteht zu wenig von Security!"

10.05.2010
Controlware ist bereits im Managed Security Service-Geschäft tätig. Mit dem dafür zuständigem Director Business Development Marc Niederberghaus sprach ChannelPartner-Redakteur Dr. Ronald Wiltscheck.

Controlware ist bereits im Managed Security Service-Geschäft tätig. Mit dem dafür zuständigem Director Business Development Marc Niederberghaus sprach ChannelPartner-Redakteur Dr. Ronald Wiltscheck.

Herr Niederberghaus, in welchen Security-Segmenten bieten Sie Managed Services an?

Marc Niederberghaus, Director Business Development bei Controlware: "Kunden tendieren dazu, die Verantwortung für immer mehr Security-Bereiche uns zu übertragen"
Foto: xyz xyz

Marc Niederberghaus: Beim Netzzugang, im gesamten Bereich Content-Security, am Gateway und bei der Schwachstellenanalyse.

Warum sollten Kunden ihre eigene IT-Security anderen überlassen?

Niederberghaus: Weil das Thema IT-Security mittlerweile so komplex und vielfältig geworden ist, dass kaum eine IT-Abteilung tatsächlich in der Lage ist, ohne fremde Hilfe für die Sicherheit im eigenen Unternehmen zu sorgen. Viele Kunden sehen sich außer Stande, die eigenen Sicherheitssysteme stets auf dem aktuellsten Level zu halten. Die ständige Überwachung der Firewall und der VPN-Tunneln überfordert schlicht und ergreifend viele fest angestellte Systemadministratoren.

Welche Managed Services offerieren Sie denn speziell für die Firewall?

Niederberghaus: Etwa die Änderungen der Filterregeln. Oft schlagen wir unseren Kunden vor, wann so etwas sinnvoll ist. Manchmal führt auch der Kunde selbst neue Sicherheitsrichtlinien ein, und wir führen danach für ihn die Änderungen an der Firewall durch.

Nicht nur die Firewall

Bleibt es "nur" bei der Überwachung der Firewall?

Niederberghaus: Nein, Kunden tendieren dazu, die Verantwortung für immer mehr Security-Bereiche uns zu übertragen. Oft gehört die Security-Appliance gar nicht mehr dem Kunden, sondern er mietet sich diese von uns. Und dann sichern wir für den Kunden auch noch die Log-Files der Firewall. Wir spielen dort permanent die aktuellsten Patches ein, rund um die Uhr, sieben Tage die Woche. So etwas können die wenigsten Kunden selbst tun.

Welche Managed Security Services bieten sie sonst noch an?

Niederberghaus:Wir aktualisieren zum Beispiel auch die Datenbanken mit den "verbotenen" URLs, als die Listen dieser Websites, die Anwender nicht besuchen dürfen. Denn nur noch ganz wenige unserer Kunden gewähren ihren Mitarbeitern einen unbegrenzten Zugang ins Web. Und da gilt es stets sicher zu stellen, dass die beim Kunden nicht erwünschten Websites von Usern nicht angesteuert werden dürfen. Hier müssen wir auch die Filterregeln immer wieder anpassen.

Natürlich spielen wir auch täglich die neuesten Virenpatterns ein und schützen damit alle Server und Clients unserer Kunden vor neuen Angriffen aus dem Internet.

Sie haben auch die Schwachstellen-Analyse als Managed Security Service erwähnt.

Niederberghaus: Ja, punktuell setzen wir auch derartige Vulnerability Scanner als Dienst von Qualys ein. Meist analysieren wir damit das Netzwerk des Kunden, liefern ihm einen aussagekräftigen Bericht über die bei ihm vorhandenen Schwachstellen und empfehlen ihm Gegenmaßnahmen.

Worin könnten denn diese bestehen?

Niederberghaus: Etwa in der Anschaffung eines Intrusion Detection oder Prevention Systems (IDS/IPS).

Abrechnung von Managed Services

Wie rechnen Sie die von Ihnen bei Ihren Kunden geleistete Managed Security Services ab?

Niederberghaus: Meist über eine feste Pauschale. Die Höhe dieser Flatrate hängt von den mit dem Kunden vereinbarten Service Level Agreements (SLAs) ab, also ob wir 1st oder 2nd-Level Support leisten, oder ob wir auch nachts und am Wochenende eingreifen müssen. Manche Kunden schließen mit uns auch einen Vertrag, der eine bestimmte Anzahl von Eingriffen und Änderungen an seiner IT-Security-Infrastruktur mit einschließt. Alles was darüber hinausgeht, rechnen mit dem Kunden einzeln ab. Das ist ähnlich wie bei einem Girokonto: Die monatliche Pauschale deckt eine feste Zahl an Kontobewegungen ab, wird diese Menge überschritten, muss jede Überweisung extra bezahlt werden.

Auf wie lange beläuft sich die Vertragslaufzeit mit Ihren Kunden?

Niederberghaus: Auf mindestens ein Jahr, darunter macht es keinen Sinn, denn die vorbereitenden Arbeiten können sich auch schon mal über mehrere Monate hinziehen. Die meisten Kunden, auch Neukunden, schließen mit uns einen Dreijahresvertrag.

Welche Kunden sind das?

Niederberghaus: Behörden, Industrieunternehmen, Banken, im Prinzip alle Branchen. Meist sind es Unternehmen mit über 10.000 Mitarbeitern, aber auch kleinere Mittelständler nehmen unsere Managed Security Services in Anspruch. Mindestens 100 IT-Arbeitsplätze sollten es aber schon sein, darunter lohnen sich Managed Security Services nicht.

Warum sollten Unternehmen Managed Security Services von externen Dienstleistern nutzen?

Niederberghaus: Weil es sich für sie lohnt. Sie erhalten fundierte Security-Dienstleistungen zu überschaubaren Kosten. Nur die entsprechend spezialisierten Systemhäuser verfügen über das nötige Security-Know-how, welches bei den meisten Kunden nicht mehr vorhanden ist. Wir können Updates auch nachts und am Wochenende einspielen. Der Kunde muss sich nicht um eine Urlaubsvertretung kümmern. Außerdem führen wir Routine-Aufgaben wie Patches installieren, URL-Listen für Webfilter aktualisieren und ähnlichen gleich bei mehreren Kunden gleichzeitig durch, was zu niedrigeren Betriebskosten führt. Für den Kunden ist es also unter dem Strich günstiger, wenn sich ein externer Dienstleister um seine IT-Security kümmert.