"Wer versteht, welche Gefahren im weltweiten Datennetz lauern, der kann sehr viel schneller darauf reagieren und geeignete Schutzmaßnahmen ergreifen", so das Fazit von Raphael Labaca Castro, Eset Sicherheitsforscher und Redaktionsleiter vom hauseigenen Blog "WeLiveSecurity", zum kürzlich veröffentlichten Security Trend Report.
Auf dem Systemhauskongress "Chancen 2016" wird Security-Spezialist Eset gemeinsam mit seinem Referenzpartner Hartmut Holbein, geschäftsführender Gesellschafter des Systemhauses CDH computing, Projekte und Lösungen vorstellen, wie IT-Dienstleister ihre Kunden vor diesen Gefahren schützen können.
Im Interview gibt Maik Wetzel, Sales Director Channel bei Eset Deutschland, einen Ausblick, was Partner auf dem Kongress erwarten können.
Sie haben kürzlich den "Security Trend Report 2015" ausgewertet. Was sind die wesentlichen Erkenntnisse dieser Studie?
Maik Wetzel: Es zeigt sich ganz deutlich, dass Wirtschaftsspionage im Trend liegt. Während im vergangenen Jahr Privatsphäre im Internet und Android-Malware im Zentrum des Interesses standen, tun sich 2015 neue Gefahrenbereiche auf. Der jetzt veröffentlichte, frei erhältliche Eset Security Trend Report 2015 beleuchtet die fünf wichtigsten Bedrohungsszenarien, die Unternehmen auf ihrer Sicherheitsagenda haben sollten und erklärt wie auf diese Gefahren durch entsprechende Schutzmaßnahmen reagiert werden kann.
Was sind diese fünf wichtigsten Bedrohungsszenarien?
Wetzel: 1. Die rasante Zunahme von Advanced Persistent Threats, kurz APTs. Das sind übersetzt: fortgeschrittene, andauernde Bedrohungen
2. Point-of-Sales Malware, die gezielt Kassensysteme u.ä. angreift
3. Datenlecks allgemein
4. Schwachstellen in Hard- und Software
5. Internet der Dinge - hier vor allem wieder die Vermischung privater und beruflicher Szenarien unter anderem durch Wearables oder alle möglichen anderen angeblich "smarten" Geräte
Welche Vorgehensweise hat sich für Partner bewährt, um Kunden nicht nur für diese Gefahren zu sensibilisieren, sondern anschließend auch ein entsprechendes Projekt umzusetzen?
Wetzel: Sehr oft ist zu beobachten, dass selbst in Unternehmen mit hohem Innovationspotenzial kein ausreichendes Bewusstsein für IT-Security-relevante Themen existiert.
Gerade in kleinen und mittleren Unternehmen sind Entscheider oft nicht in der Lage, das eigene Gefahren- und Risikopotenzial richtig einzuschätzen und angemessene Konzepte zur Risikovermeidung zu entwickeln.
Auch ist zu verzeichnen, dass sehr oft keine Kenntnis zu entsprechenden Haftungsrisiken auf Entscheider-Ebene vorhanden ist. Hieraus ergibt sich ein Potenzial für Partner! Genau hier können Partner mit Beratung und folgend auch anderen Dienstleistungen aktiv werden.
Wie und wo können Partner hier konkret ansetzen, um beim Kunden das Bewusstsein für Sicherheitsrisiken zu schärfen und Aufmerksamkeit für Lösungen zu wecken?
Wetzel: Es gibt unterschiedliche Möglichkeiten diesem nicht ausreichenden Bewusstsein auf Kundenseite entgegenzutreten. In individuellen, aufklärenden Veranstaltungen können interessierte Anwender direkt informiert und angesprochen werden.
Die Bedarfsanalyse beim Kunden beginnt also vielfach nicht mit der Ermittlung von Mengengerüsten und dem Einsammeln von Systeminformationen, sondern startet bei einer fundierten Analyse der Bedrohungssituation, mündet in einer Lösungsberatung und -konzeption und setzt sich dann fort in der Umsetzung der konzipierten Maßnahmen.
Der kostenpflichtige und somit profitrelevante Anteil an Dienstleistungen in derartigen Projekten übersteigt nicht selten das Volumen an klassischen IT-Systemhausleistungen, also Hardware, Software und Infrastruktur. Zur Beratung des Kunden gehört auch die Information zu verschiedenen Betriebsmodellen. Nicht erst seit gestern spielen hierbei Themen wie Managed Services, SaaS oder Einbeziehung von Cloud Services eine wichtige Rolle.
Worüber stolpern Systemhäuser und Provider Ihrer Erfahrung nach immer wieder, speziell bei der Planung, Projektierung und Abrechnung von Projekten im Security-Bereich?
Wetzel: Zunächst ist es aufwendig das für eine fundierte Beratung eines Kunden zu IT-Security-Konzepten notwendige Know-how im eigenen Systemhaus aufzubauen und permanent auf aktuellstem Stand vorzuhalten. Dies setzt einen nicht unerheblichen Invest und eine nicht unerhebliche Vorleistung voraus.
Nur wer aber selbst kompetent und überzeugend auftreten kann, wird erfolgreich und überzeugend für ein höheres IT-Security-Bewusstsein und dementsprechende Investitionen bei den Entscheidern auf Kundenseite werben können.
Es gilt also eigene Wissenslücken zu schließen, entsprechende Ressourcen und Services aufzubauen und diese aktiv zu vermarkten. Auf Kundenseite gilt es die Mauer des fehlenden Bewusstseins zu durchbrechen um Entscheidungen zu IT-Security-Projekten überhaupt herbeizuführen. Eine große Herausforderung ist auch die Wahl der richtigen Anbieter und Produkte.
Wo liegen hier erfahrungsgemäß die Stolpersteine?
Wetzel: Hier ist unsere Erfahrung, dass eine echte ROI-Betrachtung, inklusive möglicher Folgekosten z.B. durch Fehlalarme, (dadurch) erhöhter Betreuungsaufwand etc., sowohl aus Anbieter-, als auch aus Kundensicht, sehr oft einfach vernachlässigt wird.
Nicht zuletzt ist es wichtig, Projektdienstleistungen dem realen Aufwand angemessen zu kalkulieren und zu dimensionieren. Projekte werden oft defizitär, weil kalkulierte Installations- oder Administrationsaufwände gnadenlos aus dem Ruder laufen, das bei sorgfältiger Planung aber gar nicht müssten.
Nicht selten kommt es auch vor, dass eine Schutzlösung die Performance auf den Kundensystemen so hemmt, dass die Produktivität der Kunden-IT erheblich eingeschränkt wird. Dies führt nicht selten zur (temporären) Deaktivierung der Schutzlösung oder zu einer konfigurationsbedingten Verringerung der Schutzleistung. Bei großen Projekten bietet es sich an geplante Lösungen im Vorfeld zur Abschätzung der Aufwände in repräsentativen Testumgebungen aufzusetzen, Evaluierungen verschiedener Produkte und Lösungen durchzuführen, um einen repräsentativen Benchmark zu erhalten.
Wie unterstützt Eset die Partner dabei, diese Herausforderungen zu meistern?
Wetzel: Als Hersteller bieten wir in allen angesprochenen Bereichen Unterstützung für unsere Partner. Für den gesamten Prozess, von der Leadgenerierung bis zur Lösungsimplementierung stellen wir unseren Partnern bei Bedarf Ressourcen und Know-how zur Verfügung. Generell stehen wir in engem Kontakt zu unseren Partnern, kennen deren Bedarf und können so individuell eventuelle Defizite ausgleichen um Projekte erfolgreich zu gewinnen und umzusetzen.
Großer Bedarf existiert bei der Analyse und Lösungskonzeption bzw. bei allen Pre-Sales-Themen. Hier bieten wir u.a. gemeinsame Websessions oder auch gemeinsame Vor-Ort-Besuche beim Kunden des Partners an. In verschiedenen, komplexen Projekten erbrachten wir als Hersteller in der Vergangenheit auch direkte Installationsunterstützungsleistungen bei den Kunden unserer Partner. Wichtig ist uns aber, unsere Partner mehr und mehr in die Lage zu versetzen alle zu einem Projekt gehörenden Dienstleistungen in Eigenregie erbringen und natürlich auch als kostenpflichtige Leistung abrechnen zu können.
Welche Chancen bieten sich Systemhäusern und Resellern damit?
Wetzel: Zusammengefasst kann gesagt werden, dass Eset seine Partner aktiv mit Mitteln, Services und Ressourcen bei der Generierung von Geschäft unterstützt. Dies entlastet den Partner, sorgt für entsprechend überzeugende Angebote gegenüber den Entscheidern auf Kundenseite und erhöht so deutlich die Erfolgsquote. Entscheidend wird mehr und mehr sein, Produkte und Services so zu verknüpfen, dass daraus die optimale Kundenlösung entsteht. Neben dem eigentlichen Geschäft mit IT-Security-Lösungen entstehen zusätzlich Chancen ergänzende Produkte oder Services zu platzieren.
Zum Video: Die größten Sicherheitsrisiken – und wie sie sich vermeiden lassen