Die Botschaft von Microsoft ist klar und deutlich: Bei der Nutzung von Microsoft 365 (einst Office 365) kümmert sich der Konzern um Betrieb, Sicherheit und Verfügbarkeit von Anwendungen, dem darunterliegenden Betriebssystem sowie der physischen Infrastruktur. Damit nimmt er seinen Kunden im Vergleich zum Betrieb der Software auf deren eigenen Servern viel Arbeit ab. Allerdings weist er die Verantwortung für Sicherheit, Archivierung, Datenschutz, Compliance und Backup der Daten ausdrücklich von sich. Dafür müssen Nutzer selbst sorgen. Geregelt ist das im Modell der "Shared Responsibility". Mit dieser Einteilung steht Microsoft keineswegs allein da. Andere große SaaS-Anbieter - etwa Salesforce - gehen ähnlich vor.
Bei Microsoft 365 ist diese Tatsache aber bei vielen Unternehmen noch nicht angekommen. "Viele Unternehmen haben versucht, schnell auf Microsoft Teams umzustellen. Da war es erst einmal wichtig, dass die Produktivität hochgehalten wird, und der Fokus lag nicht so sehr auf der Sicherheit", berichtet etwa Mischa Rohleder, Cloud Security Consultant bei Controlware im Rahmen des ChannelPartner-Workshops zum Thema Microsoft 365. "Aber wenn die Sicherheit niedrig ist, wissen das natürlich auch die Angreifer. Für sie ist es dann einfacher beziehungsweise die Hemmschwelle niedriger - und das Gewinnpotenzial steigt. Deshalb war auch eine gewisse Zeit deutlich erkennbar, dass die Zahl der Angriffe zugenommen hat. Inzwischen steigt aber allmählich die Awareness bei den Kunden, dass sie bei der Sicherheit nachbessern müssen." Genau hier können Systemhäuser und IT-Dienstleister ansetzen. Zahlen dazu liefert Michael Watzl, Director Channel Sales DACH bei Mimecast.
"Unabhängig davon, welche Lizenz von Microsoft Exchange Online Protection ein Unternehmen einsetzt, sind Zusatzlösungen immer noch wichtig: Wir haben mit dem umfangreichsten Lizenzmodell E5 getestet und selbst damit kommen immer noch 22 Prozent Spam und Malware durch - und das ist schon ein sehr hoher Anteil. Wir sind mit unserer Qualität und mit dem Kunden-Feedback so weit, dass wir jedem Kunden standardmäßig ein SLA anbieten können, das 100 Prozent Antiviren-Leistung und eine Erkennungsleistung von 98 Prozent bei Spam bei einer False-Positive-Rate von weniger als 0,0001 Prozent zusichert."
"Es gibt sowohl Unternehmen, die sich darauf verlassen, mit einem Vertrag für E3 oder E5 alle Sorgen ausgeräumt zu haben, und solche, die von vornherein wissen, was Microsoft kann und was es nicht kann und entsprechend planen", berichtet Mimecast-Sprecher Watzl aus seiner Erfahrung.
Der richtige Einstieg
"Wir versuchen jedem Kunden seinen individuellen Mehrwert auszurechnen", erklärt Channel-Manager Steven Kugler den Ansatz von Avepoint. "Das machen wir gemeinsam mit den Partnern, indem wir Partner so ausgiebig wie möglich die Optionen und die Möglichkeiten unserer Lösungen erklären und die Schmerzen und die Problembereiche aufzeigen, die wir damit beheben." Allerdings räumt Kugler ein: "Das alles ist jedoch nicht anwendbar, wenn der Kunde diese Schmerzen nicht hat oder sie nicht verspürt oder schlicht gar kein Budget dafür vorgesehen hat." Diese Aspekte müssten vor einer umfangreichen Analyse natürlich beachtet und mit den Kunden zuerst durchgegangen werden.
Auch Controlware setzt vor Projekt- oder Vertragsbeginn auf einen initialen Check-up der Sicherheitskonfigurationen in Microsoft 365. "Daraus ergeben sich in der Regel rund 80 Empfehlungen", erklärt Patrick Benesch. Außerdem würden "viele Sachverhalte aufgedeckt, bei denen die Kunden vor Schreck vom Hocker fallen." Ein Beispiel dafür ist, wenn Kunden sehen, dass ihre Mitarbeiter, die seit eineinhalb Jahren Microsoft Teams nutzen, Dutzenden Drittapplikationen Zugriffsrechte gewährt haben - also Diensten von Dritten Zugriff auf E-Mails und Unternehmensdaten gewährt werden. Solche Schocks sind heilsam - und schärfen das Bewusstsein bei den Unternehmen, dass sich jemand damit befassen sollte, der sich mit Sicherheit und Compliance in diesem Umfeld auskennt.
Barracuda MSP setzt ebenfalls darauf, dass Einsicht von Einblick kommt: "Als Basis-Produkt bieten wir ein Remote Monitoring Management Tool an, das eine komplette Visibilität über alle Devices im Unternehmen ermöglicht. Es erlaubt, Schwachstellen zu erkennen, Patch-Management durchzuführen und Service-Pläne zu erstellen", fasst Kay-Uwe Wirtz, Regional Account Director (DACH) bei Barracuda MSP zusammen.
"Da sich alles in Richtung Software-defined und Automatisierung entwickelt, stellen wir natürlich auch hier die Schnittstellen zu bekannten Größen wie ServiceNow zur Verfügung, womit sich alles automatisieren und ein Ticketing-System hinzufügen lässt. Über unser Angebot für E-Mail-Security sind wiederum viele weitere Verbindungen möglich, nicht nur zu Microsoft-365-Kunden, sondern auch in alle anderen Bereiche - letztendlich bis hin zu SASE oder Zero Trust Network Access", zeigt Wirtz für Partner Perspektiven zum Ausbau des Geschäfts mit Bestandkunden auf.
Backup und Security als Business-Treiber im Channel
Als Einstieg in das Geschäft mit Zusatzlösungen scheinen - wiederum nach Aussage der Workshop-Teilnehmer - die Themen Backup und Security am geeignetsten zu sein. Bei deutlich über der Hälfte der Workshop-Teilnehmer fragten Kunden von sich aus schon nach Backup-Konzepten, bei einem Viertel nach Security-Angeboten.
Aus Herstellersicht fasst Mimecast-Manager Watzl das so zusammen: "Dadurch, dass Microsoft 365 so stark gewachsen ist, ist es natürlich auch Target Nummer eins mit völlig neuen Angriffs-Vektoren. Und Microsoft wird es niemals allein zu 100 Prozent so lösen können, dass Kunden sich in Sicherheit wiegen können. Genau da kommen dann Features aus den Bereichen Archiving und Backup dazu oder Features, die das Thema Security abdecken."
"Service-Quengeltheke" für Kunden
Auch wenn Unternehmen Managed Services zur Absicherung von Microsoft 365 beauftragen, um einen akuten Notstand zu beheben, streben sie doch grundsätzlich immer stärker danach, nicht nur Aufgaben abzugeben, sondern neu entstehende Aufgaben gar nicht erst anzunehmen. Das ist schließlich der Grundgedanke hinter der Nutzung von SaaS-Angeboten: Sich nicht mehr darum kümmern zu müssen. Sich dann doch mit Sicherheit, Backup, Compliance und Identitity beschäftigen zu müssen, widerspricht diesem Grundgedanken. Wenn jemand ein Auto mietet, will er sich schließlich auch nicht um TÜV, Reifenwechsel und Ölstand sorgen müssen.
"Viele Endanwender kommen heute gar nicht mehr so richtig mit dem klar, was alles angeboten wird", führt Wirtz die Diskussion auf die IT zurück. "Ständig kommt jemand auf sie zu, der etwas anbietet, was noch zusätzlich gebraucht werde, oder der Lizenzen anbietet, die zusätzlich gekauft werden müssen. Deshalb wird der MSP-oder CSP-Bereich immer wichtiger. Der Endkunde bespricht mit einem solchen Dienstleister seine IT-Security-Strategie und setzt sie mit ihm auch um - und das im ständigen Dialog. Aus Sicht des Dienstleisters stärkt das im Wesentlichen die Kundenbindung langfristig."
Dienstleister, die Services, über die Unternehmen erst noch nachdenken, schon anbieten können, haben dann gute Argumente. Und oft ist der Einstieg die Umstellung auf Microsoft 365: Wenn der schon gut geklappt hat, ist das erforderliche Vertrauensverhältnis für einen Ausbau der Geschäftsbeziehung zum Service Provider gelegt.
Das funktioniert auch bei Controlware so. "Wir unterstützen unsere Kunden im gesamten Projektablauf bei Einführung von Microsoft 365 und auch im Betrieb der Lösungen", berichtet Benesch. Da immer mehr Kunden gefragt hätten, ob Controlware dafür auch Dienstleistungen anbieten kann, seien diese entwickelt worden. Sie sind inzwischen unter dem Namen Controlware Cloud Services verfügbar. "Ein Beispiel dafür ist das Controlware Cloud Backup: Hier haben wir mitAcronis eine White-Label-Lösung gebaut, mit der wir Office-365-Dienste in unserer eigenen Cloud sichern, also in einem separaten S3-Storage", fasst Benesch zusammen. "Auf diese Weise können wir garantieren, dass sich die Daten in einem deutschen Rechenzentrum befinden und unseren Kunden, die immer auch Governance- und Compliance-Anforderungen haben, einen Mehrwert bieten."
Dabei hat Benesch festgestellt: "Unternehmen wollen die Dienste der immer größer werdenden Welt von SaaS-Angeboten nutzen. Sie wollen sich aber selbst nicht mehr um den IT-Betrieb kümmern, sondern im Shared-Responsibility-Modell mit möglichst geringem eigenem Aufwand weiter in Richtung Saas gehen. Deshalb besteht bei den Kunden auf jeden Fall Bedarf, für diesen immer größer werdenden Blumenstrauß an SaaS-Lösungen quasi einen Floristen an der Seite zu haben, der sich um alles kümmern kann." Die Teilnehmer am ChannelPartner-Workshop Ende April 2021 bestätigten das grundsätzlich: Zwei Drittel von ihnen boten ihren Kunden schon ein oder zwei ergänzende Lösungen zu Microsoft 365 an, ein weiteres Drittel sogar mehr als zwei. Die Werte mögen auch deshalb hoch gelegen haben und sich nicht verallgemeinern lassen, weil genau das das Thema des Workshops war - als Indikatoren für den Trend taugen sie allemal.
Integration von SaaS-Lösungen
Den von Benesch bemühten Vergleich mit dem Floristen kann man gar nicht wörtlich genug verstehen: Es geht wirklich um einen bunten und großen Strauß an Services. Denn, so erklärt Wirtz: "Als Hersteller kann man heute keine Insellösung mehr verkaufen. Im Markt brechen alle Silos auf, OT beziehungsweise IoT und IT wachsen zusammen. Die digitale Transformation erfasst sämtliche Bereiche. Das Silo-Denken ist vorbei. Daher müssen sich auch die Hersteller öffnen und mit vielen anderen Anbietern zusammenarbeiten, um eine vernünftige Endkunden-Lösung bereitzustellen, so der Manager von Barracuda MSP.
"Es ist kein Geheimnis: Wir stellen eine SaaS-Lösung zur Verfügung - und eine SaaS-Lösung ist natürlich für jeden Kunden erst einmal gleich", stellt Kugler von Avepoint stellvertretend für alle Anbieter fest. "Natürlich lässt diese Lösung sich individuell konfigurieren, aber wir können in der SaaS-Welt nur bedingt Zugriff erlauben. Das handhabt Microsoft mit 365 auch nicht anders, denn jede einzelne Änderung würde sich ja auf alle Kunden auswirken." Kunden und Partner hätten das aber relativ schnell erkannt und auch akzeptiert, dass sie sich bei SaaS an gewisse Standards halten müssen - und dafür die Möglichkeit haben, durch Integration oder APIs zusätzliche Dienste einzubinden oder zusammenzuführen.
Für Mimecast erklärt das Watzl so: "Durch die bestehenden Standard-Integrationen bieten wir einen sehr schnellen Einstieg. Das ermöglicht es Partnern, mit Mimecast - zusammen mit von ihnen schon länger vertriebenen Angeboten anderer Hersteller - ein Gesamtangebot mit zusätzlichen Services zu schnüren. Daneben bieten wir eine offene API an. Man muss also nicht mit dem leben, was bereits vorhanden ist, sondern kann es selbst erweitern." Im Bereich der kleineren Kunden ginge es häufiger um Lizenzthemen, bei den größeren Kunden eher um die Integration in Konzepte für Cyber Defense Services. Watzl: "Grundsätzlich ist die Integration aber auch für die kleinen Kunden spannend, um hier ein integriertes Service Management anzubieten. Da sind der Kreativität keine Grenzen gesetzt."
Wie Bücker IT-Security mit Mimecast cloudbasierte E-Mail-Security und Cyber Resilience anbietet
Systemhaus testet E-Mail-Sicherheitsdienste von Mimecast
Philipp Geßner wird Partner Development Manager bei Barracuda MSP
Barracuda MSP aktualisiert Cloud-Backup-Plattform
Barracuda MSP baut Vertrieb in DACH aus
Juliane Kunath leitet DACH-Channel bei AvePoint
So ermöglicht AvePoint Governance für Microsoft Teams
Barracuda Networks übeernimm SKout Security
AvePoint will Channel-Engagement intensivieren