Sicherheitsbedenken sind des wichtigste Argument, wenn Unternehmen noch beim Cloud Computing zögern. Auf der anderen Seite verstärkt der Trend zu Cloud Computing zunehmend auch die Art und Weise, wie Unternehmen ihre IT- und Internet-Sicherheit verbessern. Bereits jedes sechste Unternehmen bezieht Sicherheitsdienste im SaaS-Modell (Software as a Service) aus der Cloud.
Günstiger Zugang zu neuesten Sicherheitstechnologien
Das ergab die Umfrage der Universität Regensburg und des Branchenverbands Bitkom mit dem Titel „Akzeptanz von Security-as-a-Service-Lösungen“. Danach sind es vor allem Services zur Virenbekämpfung und Benutzer-Authentifizierung, die als Cloud-Dienst genutzt werden. Mittelfristig will sogar ein Viertel der befragten Unternehmen „Security as a Service“ (SECaaS) einführen. Der Vorteil läge für Unternehmen auf der Hand, sagt Bitkom-Präsident Professor Dieter Kempf: „Security-as-a-Service eröffnet allen Unternehmen den günstigen, einfachen und maßgeschneiderten Zugang zu Sicherheitstechnologien.“
Vor dem Hintergrund, dass sich deutsche Unternehmen im internationalen Vergleich bislang als eher zurückhaltend erwiesen hätten, sei die verhältnismäßig hohe Akzeptanz von Security as a Service in Deutschland durchaus bemerkenswert. Vorreiter sind nach den Ergebnissen der Umfrage die Finanz- und IT-Dienstleister, die traditionell eine hohe Affinität zu IT-Innovationen aufwiesen. Fast jedes dritte Unternehmen aus diesen Branchen nutzt schon Sicherheitsservices aus der Cloud.
Dabei sind es bisher vor allem sehr kleine oder sehr große Unternehmen, die sich für SECaaS entscheiden – während das Angebot eigentlich besonders für die Ansprüche mittelständischer Unternehmen geeignet erscheint: „Sicherheitstechnologien aus der Cloud versprechen kostengünstige und maßgeschneiderte Lösungen, was insbesondere für Mittelständler enorme Potenziale eröffnet. Gerade diese verhalten sich diesbezüglich allerdings noch erstaunlich zögerlich“, schreibt Studienautor Christian Senk von der Universität Regensburg.
Bezogen auf konkrete Anwendungsfelder innerhalb der IT-Sicherheit treffen insbesondere Lösungen für E-Mail-Sicherheit sowie die Überwachung und Filterung von Inhalten (Content Security) auf hohe Akzeptanz. So setzen über 40 Prozent der Befragten derartige Lösungen entweder bereits ein oder planen deren Einsatz. Weiterhin sind Produkte für Anwender attraktiv, welche unmittelbar die Sicherheit von Serversystemen oder Desktop-PCs betreffen (35 Prozent). Dies umfasst die Abwehr von Schadsoftware, Intrusion Detection, Datenverschlüsselung und Datenverfügbarkeit sowie das Konfigurationsmanagement.
Ebenso werden Services für Vulnerability- und Threat-Management, Application Security sowie Identity- und Access-Management positiv bewertet. Jeweils etwa ein Viertel der befragten Organisationen nutzt bereits solche Cloud-Services oder plant deren Einsatz.
Angst vor Abhängigkeit
Die weitaus größte Mehrheit der Befragten schätzte den Nutzen von Security-as-a-Service-Lösungen generell als positiv ein. Die wichtigsten Argumente sind dabei Kostenvorteile, der einfachere Zugriff auf Sicherheits-Ressourcen und die Konzentration auf das Kerngeschäft. Mögliche Vorteile in Hinblick auf Qualität und Flexibilität wurden dagegen deutlich niedriger bewertet. Die Gruppe der kategorischen Verweigerer ist relativ klein: Nur jedes fünfte befragte Unternehmen schließt den Bezug von Sicherheitsdienstleistungen aus der Cloud auch langfristig aus.
Dabei ist eine befürchtete Abhängigkeit das wichtigste Argument gegen Security-Services aus der Cloud. „Das deutlich am stärksten wahrgenommene Einsatzrisiko ist eine mögliche Abhängigkeit zum Anbieter entsprechender Sicherheitsdienste, obwohl dies dem unterstellten Software-as-a-Service-Gedanken grundlegend widerspricht“, schreibt Studienautor Senk. Mögliche Ursachen für diese Einschätzung könnten die bisher mangelnde Standardisierung von Service- und Datenschnittstellen oder auch die als starr wahrgenommenen Lizenzmodelle sein.
Als zweites Argument wird die Verwundbarkeit des Services gegen Angreifer aus dem Netzwerk beziehungsweise dem Internet gefürchtet. Zudem erwarteten die Teilnehmer der Umfrage interne Widerstände und weitere sicherheitsbezogene Risiken. Führungskräfte schätzen die Gefahr interner Widerstände dabei vergleichsweise geringer ein als operative Mitarbeiter, die an einer möglichen Investitionsentscheidung beteiligt wären. Als mögliche Sicherheitsrisiken nannten die Befragten mangelnde Datentrennung und -sicherheit, die Nichtverfügbarkeit des Dienstes im Katastrophenfall sowie eine ineffektive Zugriffskontrolle.
Für Privatnutzer stellt sich die Problematik etwas anders dar: Hier gibt es kaum Vorbehalte, und schon jetzt setzt jeder dritte Nutzer auf IT- und Internet-Sicherheit als Service aus dem Netz und verlässt sich dabei auf die Sicherheitspakete seines Internet-Dienstleisters. Die Service-Provider bieten solche Dienste - je nach Produkt und Leistungsumfang – üblicherweise gegen einen geringen Aufpreis an. Zudem integrieren IT-Anbieter Sicherheits-Features zunehmend direkt in bestehende Produkte. So werden Virenschutz und Firewall bei neuen Betriebssystemen meist kostenlos mit angeboten. „Cloud-Services machen bislang selten genutzte Sicherheitstechnologien wie Datenverschlüsselung massenmarkttauglich“, sagte Kempf. Allerdings verschlüsselt bisher nur jeder siebte Privatanwender seine Daten.
Kaum Vorbehalte bei Privatnutzern
Die Online-Befragung lief von Mitte Februar bis Mitte April. Befragt wurden 202 Unternehmen unter anderem aus den Branchen IT, Industrie, Finanzdienstleistungen, Handel, Öffentliche Verwaltung und Öffentliche Dienstleister. Die repräsentative Umfrage unter Privatnutzern wurde im Januar 2011 durchgeführt; dabei befragte das Institut Aris im Auftrag des Branchenverbandes Bitkom 1000 Personen zu Internet- und IT-Sicherheit.
Die vollständige Studie steht kostenlos zum Download bereit.