Über Managed Security Services (MSS) spricht der Markt schon seit über zehn Jahren. In der Zeit haben sich die Zahl der Anbieter und der Charakter der Angebote deutlich gewandelt. Nicht geändert hat sich jedoch, dass der Begriff immer noch genauso schwammig ist wie damals.
Gehören Dienste schon dazu, mit denen lediglich die Firewall aus der Ferne verwaltet wird? Oder sollte ein Managed Security Services Provider (MSSP), der sich mit Fug und Recht als solcher bezeichnen will, zumindest Kompetenzen in mehreren IT-Security-Bereichen vorweisen können - beziehungsweise sich seinen Kunden gegenüber sogar als ganzheitlicher Risikomanagement-Spezialist präsentieren? Sollte er ihnen helfen, beim Thema IT-Sicherheit jeweils vorne mit dabei zu sein, neue Technologien für sich zu evaluieren und Anforderungen aus regulatorischen Vorgaben - etwa der DSGVO - mit der IT-Security-Strategie in Einklang zu bringen?
Managed Security Services werden wichtiger
Beim ChannelPartner-Roundtable zum Thema Managed Security Services waren sich die Teilnehmer grundsätzlich einig, dass das Marktsegment für den Channel in der Zukunft immer wichtiger wird. Die aktuelle Bedeutung für das eigene Geschäft hängt dagegen bei den Herstellern jeweils von mehreren Faktoren ab. Einige der IT-Security-Anbieter setzen schon seit Jahren darauf, den Anteil der Service-Komponente am Geschäft zu erhöhen, andere haben erst kürzlich damit angefangen.
Klar wurde in der Diskussionsrunde auch, dass der Prozess langwierig ist. Schließlich müssen nicht nur die Produkte technisch vorbereitet, sondern auch die Preis- und Lizenzmodelle angepasst und die richtigen Partner gefunden werden. Denn nicht jeder IT-Dienstleister ist willens oder überhaupt in der Lage, die erforderlichen Ressourcen bei sich aufzubauen.
Herangehensweisen an Managed Security Services
Damit geht es den Herstellern teilweise so, wie ihren gewerblichen Endkunden: Für die ist es nicht nur eine Frage der Kosten und der Effizienz, wenn sie im Bereich Security nach Service-Angeboten Ausschau halten. Sie versuchen damit auch, dem Mangel an Fachkräften in dem Bereich zu begegnen.
Hagen Renner, Head of Channel Sales DACH bei Link11, kann das bestätigen: "Auch bei uns fragen die Endkunden: Wer kann mir da helfen? Denn sie können kein eigenes Know-how aufbauen, es gibt gar nicht das Personal dafür. Der Markt für IT-Spezialisten ist leergefegt. Also brauchen sie einen Trusted Advisor bei ihrem Systemhaus, der sie berät. Sie brauchen eine Lösung für ihre individuelle Umgebung, die einfach passt."
"Wichtig ist, dass man beides gut anbieten kann: Ein Produkt, dass sich für Managed Security Services eignet, und ein Programm, das dabei hilft, dass das Produkt auch kaufmännisch umgesetzt werden kann", erklärt Michael Haas, Area Sales Director Central Europe bei Watchguard.
"Dazu gehört, dass der Dienstleister nicht in Vorleistung gehen muss und sein Portfolio optimal bei den Kunden anbringen kann. Für uns war es eine strategische Ausrichtung, Managed Security Services anzubieten", so Haas weiter. Der Schritt habe sich gelohnt: "Weltweit und auch in Zentraleuropa sieht das derzeit sehr, sehr positiv aus."
SonicWall ist mit seiner zentralen Management-Konsole GMS bereits im zwölften Produktjahr. Das Komplettangebot heißt bei SonicWall "Security-as-a-Service". Dabei geht es nicht mehr um den Produktverkauf mit jährlichen Lizenzen. Vielmehr ermöglicht der Hersteller Partnern, das Angebot auf monatlicher Abrechnungsbasis zu unterbreiten.
Lesetipp: Was bedeutet eigentlich Cyber Security? - Experten klären auf
Neue Partnerprogramme für Managed Security Service Provider
Der Wunsch, das Thema MSP anzugehen, wurde aus dem Channel an Eset herangetragen, berichtet Maik Wetzel, Channel Sales Director DACH bei dem Anbieter. "Wir haben dazu nicht einfach unser Volumenlizenzmodell zur Verfügung gestellt und zur scheibchenweisen Vermarktung angeboten, sondern ein spezielles Lizenzierungsmodell entwickelt. Der Partner wählt den Abrechnungszeitraum - monatlich, quartalsweise oder jährlich - wobei jeweils taggenau kalkuliert wird." Inzwischen seien nahezu alle klassischen Eset-Produkte auch in diesem MSP-Modell verfügbar.
Zusätzlich gibt es von Eset mehrere Tools, die Service Providern "einen sehr, sehr hohen Automationsgrad ermöglichen", so Wetzel. Neben diversen Management-Tools zählen dazu auch Werkzeuge für die Lizenzüberwachung. Zudem biete Eset diverse Integrationen mit Tools, die heute im Service-Provider-Umfeld Standard sind. "Dadurch können wir in dem Umfeld automatisiert mit ausgerollt und verwaltet werden", erklärt Wetzel.
Bei Avast spielen Managed Security Services seit der Zusammenführung mit AVG im Jahr 2017 eine größere Rolle. "Beide Firmen stammen aus dem Antivirus-Bereich. AVG hat aber zwei Tools mitgebracht, die wir Systemhäusern oder Managed Service Providern anbieten, die sich in diese Richtung bewegen wollen", sagt David Beier, Partner Account Manager bei Avast.
"Zum einen ist das unsere Managed-Security-Lösung CloudCare, zum anderen unser Remote-Monitoring- und -Management-Tool Managed Workplace, aus dem heraus man ganzheitlich alle Kundennetzwerke betreuen kann." Partner unterstützt Avast mit Online-Schulungen und Webinaren dabei, sich vom klassischen Reseller zum Managed Service Provider zu entwickeln.
Umdenken bei Partnern gefragt
Nach Ansicht von Thomas Huber, Channel Director bei Trend Micro, muss ein auf MSP-Bedürfnisse ausgelegtes Lizenzmodell heute jeder Anbieter haben. Wichtiger sei es, "darüber nachzudenken, was der MSP beim Betrieb einer solchen Umgebung eigentlich tut. Da braucht man zum einen ein vernünftiges Programm, vor allem braucht man aber auch das Verständnis dafür, dass ein 600.000-Euro-Deal auf einmal kein 600.000-Euro-Deal mehr ist, sondern ein Zwölfmal-50.000-Euro-Deal."
Unabhängig von der Größe der Deals sei diese Umstellung aber nicht einfach, berichtet Tim Berghoff, Security Evangelist bei . "Einige Partner und Kunden tun sich mit dem Übergang zwischen dem einmaligen Kauf eines Produktes, das man für ein, zwei oder drei Jahre nutzen kann, und einer Art Leasing-Modell noch schwer. Beim Auto ist das Vorgehen akzeptiert. Da haben die wenigsten ein Problem damit. Was man beim MSP-Modell macht ist - technisch gesehen - dem Leasing sehr ähnlich." Dennoch ziehe das Interesse im Bereich Security erst jetzt langsam an.
Die eigentliche Security-Lösung sei ein wichtiger Bestandteil. Zusätzlich müsse das Gesamtpaket aber auch aus Partnersicht stimmig sein. "Die Reseller verkaufen ja nicht nur eine Managed-Service-Lizenz für einen bestimmten Zeitraum, die dann erst einmal läuft, sondern da hängen ja - unabhängig vom reinen Security-Paket - auch Wartungsverträge und so weiter dran", gibt Berghoff zu bedenken.
Vom Reseller zum Managed Service Provider
Auch Eset-Manager Wetzel hat festgestellt, dass der Schritt vom Reseller zum Managed Service Provider nicht einfach ist. "Wenn ich mir anschaue, wer auf unser Managed-Service-Provider-Programm zurückgreift und dort tätig ist, sehe ich da überwiegend neue Partner, die wir dafür gewinnen können. Natürlich versucht sich auch das eine oder andere Systemhaus aus unserem klassischen Channel diesbezüglich zu positionieren. Aber der überwiegende Teil sind spezialisierte Unternehmen, die ausschließlich in dieses Geschäftsfeld gehen." Die Zuwächse in dem Bereich seien um ein Vielfaches größer als im klassischen Business, berichtet Wetzel.
Konkrete Zahlen zur Entwicklung und dem Volumen des Geschäfts im Bereich Managed Security Services in Deutschland wollte keiner der beim ChannelPartner Roundtable vertretenen Hersteller nennen. Das liegt nicht nur an der jeweiligen Firmenpolitik.
Sie sind auch gar nicht so einfach zu ermitteln, wie man meinen könnte, erklärt Watchguard-Manager Haas: "Es ist leicht, über einen Report herauszufinden, wieviele 'echte' Produkte und wieviele MSS-basierte SKUs (Stock Keeping Units, Anm. d. Red.) verkauft wurden. Aber das würde der Realität nicht gerecht. Wir haben sehr viele Partner, die über Jahre nach außen zum Kunden hin schon längst das MSS-Modell treiben, aber die Lizenzen bisher in vollem Umfang kaufen mussten."
Die Zwischenfinanzierung sei bisher also Sache der Partner gewesen. Das ändere sich nun. Und damit werde das Thema auch im Mittelstand interessant. Trend-Micro-Manager Huber sieht das ähnlich. Ihm zufolge verwischen sich derzeit die Grenzen zwischen den in der Cloud groß gewordenen Service Provider und den MSPs. Aber für Anbieter, die finanziell weniger stark sind, sei jetzt "eine super Gelegenheit, den Einstieg zu wagen."
Lesetipp: ChannelPartner Roundtable - IoT-Security steht erst am Anfang
Managed Security Services kommen im Mittelstand an
"An die Enterprise-Kunden haben die großen Systemhäuser in der Außenwirkung immer schon Services verkauft. Als Dax- Unternehmen kauft man immer schon nicht einfach Lizenzen, sondern immer in irgendeiner Form auch einen Managed Service drumherum", erinnert sich Huber. Er warnt aber auch davor, das MSP-Geschäft mit der reinen Bereitstellung eines Subskriptions-basierenden Lizenzmodells zu verwechseln.
Huber weiter: "Was die großen Dienstleister schon seit vielen Jahren für die großen Firmen machen, wird aufgrund von immer neuen Anforderung bei Compliance, Messbarkeit, Reporting und so weiter, zunehmend auch für den Mittelstand interessant. Der hat das in der Form bisher vielleicht noch nicht betrieben, sondern sich immer darauf verlassen, dass der IT-Admin beim Endkunden das schon irgendwie in seine Prozesse einbaut. Inzwischen ist der IT-Admin beim Endkunden damit aber überfordert. Er braucht neue Prozesse und er braucht Antworten von den Resellern."
Das Lizenzmodell habe damit zunächst einmal überhaupt nichts zu tun. Viel stärker stehe im Fokus, wie Partner im Mittelstand mehr Managed Services anbieten können. Das erfordere auch eine andere Herangehensweise an die Partnerschaft und vielleicht auch eine gemeinsame Verzahnung der Services.
"Denn auch die MSPs werden vor immer wieder neue Herausforderungen gestellt und mit der Frage konfrontiert, welche Services sie für den Kunden erbringen, welche Services der Kunde nach wie vor selber erbringen muss und welche Services der Hersteller unterstützend bereitstellen kann", führt Huber aus. "Ich denke, es gibt sehr viele Cloud-Security-Services, die sowohl von Managed Security Providern als auch den Herstellern bereit gestellt werden oder in der Entwicklung sind. Ganz wichtig ist, dass sie miteinander verzahnt sind", fordert der Trend-Micro-Manager.
Lesetipp: Kunden fahren auf Managed Security ab
Zum Video: Managed Security Services - nicht einfach, aber unumgänglich