"Kunden wollen sich auf ihre Kernkompetenzen konzentrieren"
Thomas Kretzschmar, Verkaufsleiter, Infinigate (Schweiz), beantwortet Fragen zum Markt sowie zu den Zukunftsaussichten rund um IT-Sicherheit.
Wie muss sich der Channel aufstellen, um in Verkauf und Implementierung von IT-Security-Lösungen erfolgreich zu sein?
Thomas Kretzschmar: Da hat sich an den Grundlagen eigentlich nichts geändert: Man muss seine Kunden und deren Bedürfnisse kennen. Man muss wissen, womit die Kunden ihr Geld verdienen und welche Bedrohungen und Entwicklungen es gibt. Kunden wollen dann mit fundiertem Fachwissen beraten werden anstelle das Datenblatt eines Produkts vorgelesen zu bekommen. Bei Verkauf und Implementierung von IT-Security-Lösungen ist daher das Fachwissen entscheidend. Deswegen sind die Partnerprogramme der Hersteller mittlerweile auch fordernder, und wir als Distributor können und müssen mehr Zertifizierungstrainings und kostenlose technische Workshops anbieten. Ein weiterer wichtiger Erfolgsfaktor für den Channel ist Fokussierung – aber auch das ist nicht neu.
Wohin entwickelt sich der Markt im Zusammenhang mit IT-Security?
Kunden wollen sich schon seit Jahrzehnten mehr auf ihre Kernkompetenzen konzentrieren, anstelle sich immer um die eigene interne IT kümmern zu müssen. Was vor Jahrzehnten noch Mainframes mit Terminals, später dann Server-based Computing und Outsourcing genannt wurde, nennt man seit einigen Jahren Cloud Computing. Allerdings ist daran nicht alles "alter Wein in neuen Schläuchen": Die Kunden haben sich verändert und lassen diese Entwicklung je nach Philosophie schneller oder weniger schnell zu. Dabei entwickelt sich das Thema Cloud in der Schweiz wesentlich anders als in anderen Ländern: Man lagert hierzulande Services nicht einfach an einen billigen Unbekannten aus, sondern spricht darüber mit seinem IT-Dienstleister. Viele IT-Dienstleister bieten dann die Services aus dem eigenen oder gemieteten Rechenzentrum an. Hier ist das Wort Cloud-Service vielleicht besser durch Managed-Services zu ersetzen. Diese Entwicklung hin zu Managed-Services ist eine grosse Chance des Schweizer Channels, nicht von grossen anonymen Cloud-Service-Providern unter Druck zu geraten: Auch in 20 Jahren wird die persönliche Kundenbeziehung wichtig sein. IT-Security selbst reagiert auf die Bedrohungen. So wie es bei Managed-Services häufig eine Arbeitsteilung zwischen Bereitstellung von Software, Plattform, Infrastruktur und Rackspace gibt, so gibt es auch aufseiten der Bedrohungen eine höhere Arbeitsteilung: als Laie (=Kunde) kann man einen Virenbaukasten kaufen. Dazu gibt es einen 24x7-Support inklusive Geld-zurück-Garantie bei Erkennung durch einen Virenscanner. Der Baukasten generiert dann einen Trojaner, für den es noch kein Antivirenpattern gibt. Virenscanner können diesen dann bestenfalls durch Analysen erkennen, die nicht auf Pattern basieren. Mit diesen Möglichkeiten werden die Angriffe gezielter: Von globalen Virenausbrüchen hört man nur noch selten – aber gezielte Angriffe nehmen stark zu. Auch vor kleinen Unternehmen wird nicht Halt gemacht. Es wird immer schwieriger, diese gezielten Angriffe, häufig Advanced Persistent Threats genannt, zu erkennen. Im IT-Security-Markt hat das zuerst Auswirkungen auf die Hersteller: AV-Hersteller, deren Erkennungsmechanismen rein auf Pattern basieren, werden in den nächsten Jahren vom Markt verschwinden. Es bleiben die übrig, die zusätzlich andere Methoden anbieten.
Welche Mittel gibt es gegen Advanced Persistent Threats?
Momentan ist es eher Schadensbegrenzung: Man findet sich damit ab, dass irgendwann Systeme eines Unternehmens kompromittiert werden und mildert die Auswirkungen: 1. Wirklich wichtige Daten sollte man verschlüsseln, dann muss ein Angreifer zumindest noch die Hürde nehmen, an einen Schlüssel zur Entschlüsselung zu gelangen. Hat man diesen mit einer starken Authentisierung geschützt, z. B. Smartcard/Token, dann ist ein Angriff auf verschlüsselte Daten schon sehr schwierig. 2. Man versucht, den Schadcode anhand seines Verhaltens, z. B. seiner Kommunikation nach aussen, zu erkennen und danach zu isolieren. 3. Der gute alte Sandbox-Ansatz bekommt seine Wiederauferstehung: Früher wurden unbekannte Programme direkt auf dem PC in einer Sandbox ausgeführt, um zu prüfen, ob das Programm Veränderungen am System vornimmt oder Daten versendet. Das wird bereits seit Jahren von Virenautoren beachtet (if OS = Sandbox then exit). Hersteller von Lösungen gegen APTs nutzen mittlerweile Virtualisierung und Sandboxing wieder als Teil einer Gesamtlösung.
Welchen Status haben IT-Security-Lösungen heutzutage bei der Bereitstellung von IT-Dienstleistungen in Unternehmen?
Vielen Unternehmen ist nicht bewusst, dass heute Firewalls mit IPS und Virenscanner einfach nicht mehr ausreichen. Firewall und Virenscanner sind heute wie Knautschzone und Sicherheitsgurt im Auto: niemand sollte darauf verzichten, sich anzuschnallen. Allerdings genügt anschnallen nicht mehr: Autofahrer haben erkannt, dass ABS und Airbag auch dazugehören, und niemand würde heute ein Auto ohne Airbag kaufen. Im Strassenverkehr ist es wie in der IT: Man weiss, dass man auf der Strasse in einen Unfall verwickelt werden kann und schützt sich entsprechend. In der IT ist das noch nicht bei allen angekommen: es ist einerseits bekannt, dass IT und Internet Gefahren mit sich bringen, aber aus vielen Unternehmen hört man noch Aussagen wie: "Der Virenscanner fängt das schon ab", oder: "Wir haben doch nichts zu verbergen." Auch wenn ein KMU mit zehn Mitarbeitern nichts zu verbergen hat, sollte sich die Unternehmensleitung doch einmal Gedanken machen: Woher kommt das Geld, wie wird der Geldstrom im Unternehmen ausgelöst. Diese Kernprozesse kann man auch ohne BWL-Kenntnisse aufschreiben. Mit dem IT-Dienstleister oder der internen IT – sofern vorhanden – kann man dann notieren, auf welchen IT-Systemen diese Prozesse aufsetzen, welche Bedrohungen es für diese gibt und wie man diese schützen kann. Das klingt kompliziert, aber pauschale Aussagen wie: "Jeder ab 100 User benötigt ein SIEM" oder "für Remote Authentication genügt OTP nicht mehr" sind Zeit- und Geldverschwendung.
Wo sehen Sie Probleme/Herausforderungen im Geschäft mit IT-Security-Lösungen?
Aufseiten der Kunden fehlt es an Awareness. Im Channel sind nach wie vor Herausforderungen bei den Themen: Komplexität von Systemen, Ausbildung aller Mitarbeiter und Know-how-Vermittlung. Für diese Herausforderungen gibt es theoretisch Schulungen. Allerdings fehlt es hier einfach an Zeit: Ein durchschnittlicher IT-Dienstleister müsste 35 Prozent seiner Mannstunden in Zertifizierungen investieren. Das ist für Unternehmen nicht tragbar. Unsere halbtägigen Workshops helfen dort. Aber ohne weitere Fokussierung des Channels wird diese Herausforderung bestehen bleiben.
Wie sind die Zukunftsaussichten im Geschäft mit IT-Security-Lösungen?
Nach wie vor wächst der Markt für IT-Security schneller als viele andere Teilbereiche der IT. "Rosig" wäre übertrieben, denn einfacher wird das Geschäft mit IT-Security nicht. Aber für fokussierte Firmen mit engagierten Mitarbeitern wird es immer genügend Wachstumspotenzial haben.