Sicherheit aus der Cloud: Pro und kontra Security-as-a-Service Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


13.10.2010 Iryna Tsvihun, Philipp Stephanow*

Sicherheit aus der Cloud: Pro und kontra Security-as-a-Service

Security-as-a-Service bietet viele Kostenvorteile. Doch Vorsicht! Die Sicherheit aus der Cloud birgt auch Risiken.

Cloud Computing verspricht einen technischen Paradigmenwechsel, der die Nutzung von IT-Diensten revolutioniert. Software-as-a-Service (SaaS) ist dabei ein Dienstleistungs- und Bereitstellungsmodell, das Kunden ermöglicht, Standardsoftware über das Internet zu nutzen, ohne sie auf eigenen Rechnern zu installieren. Eine konkrete Ausprägung von SaaS stellt Security-as-a-Service (SecS) dar. SecS-Produkte liefern Sicherheitsfunktionen, die von einem oder mehreren Anbietern verwaltet und bereitgestellt werden. Ein Provider hält dabei die benötigte Sicherheitstechnik als Service zentral zur Verfügung, die mehrere Konsumenten je nach Bedarf beziehen und bezahlen können (Pay as you go).

Ausgehend vom Vergleich zwischen IT-Miet- und Servicelösungen und traditionellen IT-Lösungen sollen in diesem Beitrag die Chancen und Risiken von SecS für kleine und mittelständische Unternehmen näher beleuchtet werden. Unter traditionellen Sicherheitslösungen werden hier unternehmensintern realisierte Anwendungen verstanden. Klassisches Outsourcing von IT-Sicherheitslösungen durch Managed Security Service Provider (MSSP) fällt nicht darunter. Daran anknüpfend werden konkrete SecS-Lösungen samt Anbietern in ein Schichtenmodell eingeordnet und deren Sicherheitsfunktionen näher beschrieben (siehe Marktübersicht Security-as-a-Service-Anbieter zum Download). Abschließend skizziert der Beitrag Handlungsempfehlungen für Konsumenten, die sich auf den Status quo anwenden lassen.

CHANCEN UND RISIKEN VON SECS Wenn man Chancen und Risiken von SecS beleuchtet, muss das Augenmerk unter anderem auf folgende Aspekte gerichtet werden, die aus Konsumentensicht potenzielle Vorteile bergen:

• Implementierung marktüblicher Technikstandards, • Sicherheit als Kernkompetenz von SecS-Anbietern, • Erhöhung der Kostenflexibilität sowie • Application-Rollout, Business Alignment und kürzere Time-to-Market.

Zum anderen gilt es aber auch, einen Blick auf die Risiken zu werfen, die dem Konsumenten beim Einsatz von SecS drohen:

• Kompatibilität von SecS mit proprietären IT-Lösungen, • Verwaltung und Speicherung von Anwendungsdaten durch SecS-Anbieter, • Verfügbarkeit und Performance sowie • SecS-Anbieter als Single-Point-of-Attack.

SICHERHEIT TROTZ KNAPPEM IT-BUDGET Je nach Größe haben Unternehmen unterschiedliche Anforderungen an SecS und ziehen verschiedene Vorteile aus SaaS-Lösungen. Insbesondere kleine und mittelständische Firmen profitieren von SaaS im Vergleich zum Einsatz traditioneller IT-Produkte, weil sie über weniger Mittel für IT-Investitionen verfügen. Außerdem besitzen sie oft nicht genug Personal und Kompetenz, um den auf dem Markt herrschenden Standard zu erreichen.

Übertragen auf SecS, also Sicherheitsdienste aus der Cloud, begründet sich der Vorteil konkret dadurch, dass der marktübliche Technologiestandard implementiert wird. Dies gewinnt speziell vor dem Hintergrund an Bedeutung, dass mittelständische Unternehmen oftmals Marktnischen besetzen und - nicht selten als Weltmarkführer - besonders vor Wirtschaftsspionage und Industriespionage schützenswerte Konzepte entwickeln und verwenden.

Mehr Sicherheitswissen durch Gefahren-Know-how Die Kernkompetenz von SecS-Anbietern ist natürlich Sicherheit, während Anwenderunternehmen das Thema Security häufig nur als Kostenfaktor ansehen. Ein Vorteil der Kunden ist, dass Anbieter von SecS-Lösungen nur dann langfristig profitabel und überlebensfähig sein können, wenn sie den Sicherheitsanforderungen der Kunden genügen. Da die SecS-Provider aber die Sicherheitsbedrohungen vieler unterschiedlicher Kunden aufzeichnen und diese auch abwehren können müssen, besitzen sie in der Regel ein umfassendes Sicherheits-Know-how. Hier können einzelne Unternehmen, insbesondere kleine und mittelständische, nicht mit vertretbarem Aufwand mithalten.

HOHER SICHERHEITSSTANDARD DURCH SECURITY-AS-A-SERVICE Der Bezug von SaaS-Produkten an Stelle von Investitionen in traditionelle IT-Systeme erhöht also die Kostenflexibilität. Anstatt langfristig gebundene Mittel (Capital Expenditure = Capex) in klassische Sicherheitslösungen wie zum Beispiel Lizenzen für Sicherheitssoftware zu investieren, fallen beim Einsatz von SecS ausschließlich variable Kosten, also Opex (Operating Expenditure), für die genutzten Sicherheitsfunktionen an. Vor allem für kleine und mittelständische Betriebe wären die Kosten für die Gewährleistung eines hohen Sicherheitsstandards unverhältnismäßig groß. Kapazitäten, die für diese Bereiche aufgewendet werden müssen, können beim Bezug von SecS anderweitig investiert werden.

Schneller Rollout und Sicherheit on Demand Neben Kosten spielen auch Zeitaspekte eine wichtige Rolle im Vergleich von traditionellen IT-Lösungen und SaaS-Anwendungen. Der Application-Rollout von SaaS ist gegenüber traditionellen On-Premise-Lösungen deutlich schneller. Im speziellen Fall von SecS werden einem Unternehmen die benötigten Sicherheitsfunktionen via Internet umgehend bereitgestellt. Dies ermöglicht Konsumenten, zusätzliche Ressourcen nicht nur sofort, sondern auch zeitlich beschränkt und projektbezogen (Business Alignment) zu beziehen.

Sicherheitsfunktionen können zum Beispiel flexibel zu- oder abgeschaltet werden. Die Time-to-Market gewinnt im Hinblick auf Sicherheitsanwendungen zusätzlich an Bedeutung, wenn neue Anwendungs-Releases mit innovativen Weiterentwicklungen von Sicherheitsfunktionen erscheinen oder wenn Veränderungen der Bedrohungslage wie zum Beispiel Malware, DoS-Angriffe und Spoofing bekannt werden.

Automatische SecS-Updates sparen Personal Dabei nehmen SecS-Anbieter notwendige Änderungen wie Patches, Updates und Upgrades umgehend vor, und ein Konsument nutzt zwangsläufig die aktuelle und stabilste Fortentwicklung einer Sicherheitsanwendung. Insofern wird immer der höchstmögliche Sicherheitsstandard des Konsumenten gesichert, ohne dass dieser Aktualisierungen selbst ausführen muss. Im Hinblick auf kleine und mittelständische Firmen ist dies besonders relevant, da diese wie erwähnt in der Regel nicht über ausreichend Personal und Kenntnisse zur Erfüllung dieser Aktivitäten verfügen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr

Hosted by:    Security Monitoring by: