Mit Managed Security Services in die Zukunft

Die zunehmende Komplexität der Angriffe und die ungenügende Security-­Kompetenz in Unternehmen verleiht den Managed Security Services Aufwind. Dies haben sowohl Hersteller als auch Dienstleister erkannt. Doch was muss ein Reseller mitbringen, um als Managed ­Security Service Provider (MSSP) erfolgreich zu sein und wie unterstützen Hersteller ihre Partner beim Wandel zum MSSP? «Swiss IT ­Reseller» ist diesen Fragen nachgegangen.

Artikel erschienen in Swiss IT Reseller 2021/05

     

Knapp mehr als die Hälfte der Schweizer Unternehmen wollen angesichts der Coronakrise mehr in IT-Security investieren, wie eine Untersuchung des Schaffhauser ICT-Marktforschungs- und Beratungsunternehmens MSM Research im Herbst 2020 zeigte. Dabei steht unter anderem auch der Bereich Managed Security Services (MSS) im Fokus, der kräftig zulegen soll. Als Treiber für die Inanspruchnahme von MSS wird unter anderem die nicht adäquate oder nicht vorhandene ­Security-Kompetenz in Unternehmen genannt. Ein weiterer Faktor, der für MSS spricht, ist der Mangel an genügend Security-Fachkräften. Zudem sind viele Unternehmen mit der zunehmenden Komplexität der Angriffe überfordert. Und so erklärt MSM Research zum Thema Managed Security Services und externe Security-Dienstleister: «Die steigende Nutzung von Services externer Dienstleister hat einen entscheidenden Einfluss auf die Ausgaben der Unternehmen und das Wachstum des Security-Marktes. Dieses wird primär nicht mehr durch Ausgaben und Investitionen in Lösungen, Appliances und Infrastrukturen für den reinen Eigenbetrieb (On Premise) generiert. Die Zunahme an Geldern, welche nach aussen hin zu Dienstleistern und Managed-Security-Service-Providern (MSSP) fliessen, liegt deutlich höher als die Aufwendungen für den Eigenbetrieb. Der Big Shift (von intern zu extern) ist auch im Security-Markt angekommen.» Diese Meinung teilen auch die Security-Lösungsanbieter, die «Swiss IT Reseller» befragt hat. So erklärt etwa Cornelia Lehle, Sales Director bei G Data Schweiz: «Der Bedarf nach Managed Security Services ist in der letzten Zeit deutlich gewachsen. Das liegt einerseits an der latent hohen Cyber-­Gefahr, andererseits hat sich das Sicherheitsbedürfnis vieler Unternehmen im Zuge der Coronapandemie verändert.»

Bei Fortinet in der Schweiz bietet bereits etwa ein Viertel der Partner den Kunden aktiv Managed Security Services an. «Für die kommenden Monate erwarten wir einen stetigen ­Anstieg der MSSP auf dem Markt», prognostiziert Marco Grzybeck, Director Channel Accounts Switzerland bei Fortinet Schweiz. Auch bei Eset agieren bereits viele Partner als MSSP – Tendenz weiter steigend. «Die variablen Herausforderungen von Schweizer Kunden sind mit herkömmlichen ­Angeboten kaum noch zu erfüllen. Flexible ­Lösungen, individuell in Technik und Kosten, sind das Gebot nicht nur in diesen Tagen», so ­Rainer Schwegler, Manager Territory Switzerland bei Eset.


Von einem zweistelligen Wachstum bei der MSSP-­Partnerzahl geht man bei Kaspersky aus. Aktuell sind bereits über 25 Prozent der Partner als MSSP tätig, so Walter Jäger, Country Manager Austria & Switzerland. Bei F-Secure beträgt dieser Anteil circa 20 Prozent. Klaus Jetter, Regional VP bei F-Secure, ist sich sicher: «Das Angebot bestimmt die Nachfrage – ein einfacher Satz mit viel Gewicht. Wir sehen steigende Nachfrage in der Endkundenlandschaft, was letzten Endes das Wachstum treiben wird.»

Sophos und G Data beziffern den Anteil Schweizer Partner, die als MSSP aktiv sind, mit rund 20 Prozent und erwarten beide ein Wachstum. ­«Dieser Anteil wird weiter deutlich steigen, da auch unser Angebot für MSP-­Lösungen und das Interesse an Managed Services ständig wächst», so ­Michael Kretschmann, Team Lead Channel Sales bei Sophos Schweiz. Und Cornelia Lehle von G Data ergänzt: «Wir gehen davon aus, dass der Bereich Managed Services sich in den kommenden Monaten und Jahren weiter deutlich verstärkt.»

Zukunftsmodell für den Channel

Dass der Schritt zum Managed Security Service Provider der logische ist, wenn man künftig als Partner ­bestehen will, steht für die Lösungsanbieter ausser Frage. IT-Security werde immer komplexer und dadurch sei es besonders für kleine und mittlere Unternehmen schwierig, Schritt zu halten, sagt Michael Kretschmann von Sophos stellvertretend für alle Anbieter. «Managed ­Services sind aus unserer Sicht das Zukunftsmodell für den Channel, da man als MSP sowohl durch effiziente Prozesse mehr Kunden bedienen kann als auch durch eine grössere Kundenbindung und fehlende preisliche Vergleichbarkeit profi­tabler ist», so der Team Lead Channel Sales bei ­Sophos Schweiz. Unterstützung erhält er dabei von Cornelia Lehle von G Data: «Fachhändler stärken mit diesem neuen Geschäftsfeld ihre Rolle als vertrauenswürdiger Dienstleister und können als strategischer Partner mit ihren Kunden eine langfristige Geschäftsbeziehung aufbauen beziehungsweise diese fortsetzen. Der Bedarf nach umfassenden IT-Sicherheitskonzepten inklusive Dienstleistung wird eher zu- als abnehmen. Hinzu kommt, dass Unternehmen angesichts der steigenden Komplexität immer mehr den Wunsch haben, alle Dienstleistungen aus einer Hand zu beziehen.»

Auch Marco Grzybeck von Fortinet Schweiz ist überzeugt, dass es sich für Partner lohnt, als MSSP aufzutreten, weil die Nachfrage von Schweizer Unternehmen nach Managed Security Services stark steigt. «Einerseits möchten Kunden komplexe IT- und Security-­Infrastrukturen von unseren zertifizierten Partnern betreiben lassen, also ihre Security Tasks zu Partner auslagern und dies in einem Pay-as-you-go-Monatsmodell abgerechnet bekommen. Andererseits kann ein Partner mit MSSP-­Angeboten lukrative Margen generieren, welche die anfänglichen Investitionen über eine definierte Laufzeit amortisieren», so ­Grzybeck.


Auch Thomas Hefner, Sales Director DACH und CEE bei Avast Deutschland, ist überzeugt, dass viele Kunden ein MSS-Angebot seitens der Partner erwarten. Und er ist überzeugt: «Über Managed Security Services bauen sich unsere Partner ein gesundes Geschäft mit wiederkehrenden Einnahmen zu einem guten Preis-Leistungsverhältnis für die Kunden auf. Der Aufwand der Partner wird dadurch langfristig besser planbar, wodurch auch eine Überlastung der Personal­ressourcen gemindert werden kann.»

Zudem betont Walter Jäger von Kaspersky, dass Partner mit diesem Schritt ihre Expertise ausweiten können. «Um bei der aktuellen Bedrohungslage – weltweit, aber auch in der Schweiz – umfassend vor sämtlichen Gefahren geschützt zu sein, muss ein ganzheitlicher Sicherheitsansatz her, den Managed Security Service Provider mit einer breiten Vielfalt an Sicherheitslösungen – vom Endpoint bis hin zum Awareness-Training – abdecken können», so der Country Manager Austria & Switzerland.

Zudem lohnt es sich für Partner gemäss Rainer Schwegler von Eset, vermehrt auf den Verkauf umfassender und individueller Konzepte zu setzen, anstelle auf den einzelnen Lizenzverkauf. Ins selbe Horn bläst auch Klaus Jetter von F-Secure: «Ein reines Lizenzgeschäft wird es in unseren Augen in einigen Jahren in dieser Form nicht mehr geben. Warum? Unternehmen werden sich immer stärker auf ihre Kernkompetenzen ausrichten – Security insbesondere in KMU kann aufgrund der steigenden Komplexität nicht mehr intern geleistet werden, zumal entsprechendes Fachpersonal sehr stark nachgefragt wird.» Entsprechend hart ist er auch in seinem Urteil: «Harte Worte, aber wer nicht mit der Zeit geht, geht mit der Zeit. Managed Security ist das Geschäft der Zukunft und ohne Services wird es zukünftig schwer.»

Mitarbeiter und Prozesse richtig aufstellen

Auf Security spezialisierte Reseller tun also gut daran, sich für steigende Services-Nachfrage zu rüsten und das Anbieten von MSS in Betracht zu ziehen. Dass sie dabei auf die Hilfe der Security-­Unternehmen angewiesen sind, steht ausser Frage, denn die Herausforderungen beim Wandel zum Managed Security Services Provider (MSSP) sind zahlreich.

Gemäss Klaus Jetter von F-Secure ist die grösste Herausforderung für die Partner, sich eine gewisse Expertise mit den richtigen Fachleuten aufzubauen. «Das ist nicht ganz so einfach, da der Markt an qualifizierten Sicherheitsleuten wie leer gefegt scheint. Und nachdem Cyber-Kriminelle keine Geschäftszeiten kennen, ist es wichtig, Security Services auch rund um die Uhr anbieten zu können.» Auch bei Kaspersky identifiziert man ein riesiges Marktpotenzial für Managed Service Provider im IT-Sicherheitsbereich, das gehoben werden will. «Managed Security Service Provider müssen ihren Kunden ein hohes Serviceniveau bieten und gleichzeitig der wachsenden Marktnachfrage nach ausgelagerten Sicherheitsdienstleistungen gerecht werden. Es gilt also, sich bei den Kunden als IT-Sicherheitsexperte, als Partner und Berater auf Augenhöhe zu positionieren», so Walter Jäger. Dabei sei eine hohe Reputation der Schlüssel, um neue Kunden gewinnen und bestehende Partnerschaften festigen zu können.


Michael Kretschmann von Sophos Schweiz sieht als Herausforderung beim Wandel zum Managed Security Service Provider, dass dieser Schritt eine strategische Entscheidung ist, auf die Mitarbeiter, Tools und Prozesse eingestellt werden müssen. «Dazu gehören zum Beispiel die Schulung oder Bezahlung der Vertriebsmitarbeiter wie auch die richtige Wahl des Technologiepartners, um möglichst standardisiert und automatisiert Dienste erbringen zu können.» Zudem stellen gemäss Kretschmann oftmals auch rechtliche Aspekte eine grosse Hürde für Systemhäuser dar: «So müssen Managed-Service-Verträge und -Leistungsscheine erstellt werden, um klar abzugrenzen, welche Arbeiten erbracht werden und wofür der MSP beziehungsweise Kunde haftet. Fehler hierbei können das Systemhaus im Zweifelsfall viel Geld kosten.» Wer erfolgreich sein wolle, müsse sich auf Managed Services als Geschäftsmodell festlegen. «Aus meiner Sicht fehlt es den Systemhäusern manchmal an Konsequenz in der strategischen Neuausrichtung, und man versucht das klassische Reselling nun mit monatlich abgerechneten Lizenzen weiter zu betreiben.»

Kosten als Stolperstein

Und auch wenn die Transformation zum Managed Security Service Provider unumgänglich scheint, so dürfte es trotzdem auch Partner geben, für welche es nicht ratsam ist, als MSSP aktiv zu werden. Denn der Schritt in Richtung MSSP bedeutet, dass viele Geschäftsprozesse neu definiert, automatisiert und zwischen den einzelnen Teams wie Presales, Operations und Service Delivery in Zusammenarbeit mit dem Vertriebsteam überarbeitet, optimiert und vereinfacht werden müssen, so Marco Grzybeck von Fortinet. «Diese Transformation kann für einen Partner sehr kosten- und schulungsintensiv werden.»

Auch Michael Kretschmann von Sophos sieht mangelnde finanzielle Möglichkeiten des Partners als einen möglichen Stolperstein, ebenso wie falsche Anreize in der Bezahlung der Vertriebsmitarbeiter oder auch fehlendes Wissen rund um die MSP-Vertragsgestaltung. Zudem betont er die Wichtigkeit der Spezialisierung: «Security as a Service kann kein ‹Hobby› sein, das heisst man muss beide Geschäftsbereiche ernsthaft betreiben. Wenn man das nicht leisten kann, sollte man sich auf ein Geschäftsmodell festlegen.» Entscheidend für den Erfolg des MSS-Geschäfts ist bei Partnern also die strategische Ausrichtung auf ebendieses. Kretschmann ergänzt: «Unsere erfolgreichsten MSPs haben sich zu 100 Prozent auf dieses Geschäftsmodell festgelegt.»


Und auch Cornelia Lehle von G Data weiss: «Grundsätzlich braucht es auf Seiten der Partner Fachpersonal mit dem notwenigen Know-how und auch organisatorische Grundlagen im Unternehmen selbst.» Sie betont aber auch, dass die Partnerschaft weiterhin bestehen bleibe, wenn ein Partner nicht in den MSS-Bereich einsteigen wolle, «denn das klassische On-Premise-Geschäft läuft ja auch weiter». Ähnlich klingt es bei Rainer Schwegler von Eset, der überzeugt ist, dass grundsätzlich jeder Fachhändler in der Lage ist, Managed Services anzubieten. «Die Frage ist nur, auf welchem Niveau und mit welcher Intensität. Wem die Manpower fehlt, könnte beispielsweise den Lizenzverkauf als MSP-Dienst anbieten und ansonsten so weiterarbeiten wie gewohnt. Insofern ist die Entwicklung zu mehr Managed Services ein individueller Vorgang.»

Skeptischer zeigt sich hier Klaus Jetter von F-Secure. Er ist sich zwar im Klaren darüber, dass der Schritt zum MSSP kein kleiner ist und nicht jeder Partner diesen machen wolle, aber er weiss auch, dass es schwer werde, weiterhin nur Lizenzen zu verkaufen. «Dieses Geschäftsmodell wird mittelfristig mehr und mehr an Bedeutung verlieren.»

Thomas Hefner von Avast rät derweil denjenigen Partnern ab, als MSSP aktiv zu werden, die nicht die notwendigen internen Ressourcen für regelmässige Wartungen haben. Und Walter Jäger von Kaspersky lenkt den Blick auf die Bedeutung des partnerschaftlich-professionellen Austauschs zwischen MSSP und Kunden. «Wenn ein Partner diesen besonders engen, vertrauensvollen Austausch nicht leisten kann oder will, sollte er von einer Tätigkeit als MSP Abstand nehmen.» Ins selbe Horn bläst Rainer Schwegler von Eset: «Ein MSP-Kunde bestellt nicht mehr wie früher ein Projekt. Der Kunde erwartet eine dauerhafte Betreuung, die im besten Fall kein Enddatum aufweist.»

Unterstützung der Hersteller ist gefragt

Die Anforderungen, die an einen Partner gestellt werden, der zum MSSP werden und als solcher erfolgreich geschäften will, sind also mannigfaltig. Doch wie sieht es mit der Unterstützung von Seiten der Hersteller aus? Diese umfasst bei F-Secure von der Entwicklung neuer Geschäftsmodelle über die Zertifizierung von Mitarbeitern bis zur Vermarktungsstrategie den gesamten Kreislauf. «Ist der erste Schritt zum MSSP einmal geschafft, gibt es unsere Service Design Workshops. Gemeinsam mit unseren Partnern erstellen wir ein Konzept, in dem jeder Schritt auf die spezifischen Bedürfnisse unserer Partner abgestimmt und definiert ist. Wir simulieren deren weiteren Werdegang als MSSP und die erwarteten Ergebnisse auf kurze und lange Sicht», wird Klaus Jetter noch etwas konkreter.

Auch bei Fortinet steht am Anfang die Standortbestimmung mit Hilfe einer Checkliste. «Dabei geht es um Fragen wie: Wie sieht das aktuelle MSSP-Portfolio aus? Was möchten Sie mit Ihrem Managed-Security-Service-Angebot bei Ihren Kunden erzielen? Wie wollen Sie sich gegenüber anderen MSSP differenzieren?», so Marco Grzybeck. Basierend auf den ersten Erkenntnissen plane man anschliessend mit den Partnern die nächsten Schritte, welche Managed Security Services herstellerseitig abgedeckt werden können und wo noch weitere Service-Komponenten gemeinsam entwickelt werden müssen.


Grundsätzlich bieten die Hersteller durchs Band Trainings, Webinare, Veranstaltungen, Marketing­unterstützung, Zertifizierungen und Schulungen an. Cornelia Lehle von G Data führt dazu aus: «Für Einsteiger haben wir ein modulares Ausbildungskonzept entwickelt, angefangen bei der Analyse von Angriffsvektoren über die Security Awareness bei den Mitarbeitern und Informationen zu Produkten und Konditionen für die Partner bis hin zur gemeinsamen Verwaltung von Gruppen und Modulen wie Anti-Ransomware, Mobile Device Management, Patch Management und Mail Security.» Daneben bietet G Data nebst Unterstützung vor Ort bei Kundenprojekten und technischen Analysen von Penetration Tests bis hin zu Forensik auch einen speziellen Premium-­Support an, der rund um die Uhr erreichbar ist, und auch bei Avast gibt es einen 24-Stunden-Tech-Support.

Kaspersky unterteilt die MSSP derweil in die drei Stufen Security Foundations, Advanced ­Security und Expert Security. Dies erlaube es den Partnern, ihr Angebot schrittweise nach Bedarf auf- und auszubauen. Und auch bezüglich Automatisierung bietet Kaspersky seinen MSSP Hand, so Jäger. «Ein weiterer Vorteil für MSPs liegt darin, dass das Kaspersky-Portfolio in Remote-Monitoring-and-Management- und Professional-Services-Automation-Plattformen integrierbar ist. Dadurch werden Service Provider bei der Automatisierung von Routineaufgaben unterstützt.»
Das Unterstützungsangebot von Sophos beinhaltet nebst den gängigen Tools auch Informationen zu Rechtsfragen rund um Managed Services, den Erfahrungsaustausch zwischen MSSPs, einen E-Mail-Newsletter und Hilfe von Seiten der Distributoren. Auch bei Eset setzt man auf die Unterstützung durch Distributoren. Nach der ersten Online-­Registrierung wird der ausgewählte MSP-Distributor aktiv und übernimmt die nächsten Onboarding-Schritte. Dazu gehören das Training auf dem MSP-Lizenzdashboard sowie ­Lizenzierungs- und Abrechnungsmodalitäten. «Wir stellen unseren Partnern beim Entwickeln und Ausbauen ihrer Managed Services erfahrene MSP-Distributionen zur Seite», so Rainer Schwegler.

MSS-Umsatz steigt stetig

Das steigende Interesse an und Bedürfnis nach Managed Security Services lässt auch die Kassen der Hersteller klingeln. So liegt bei G Data der Umsatzanteil an Managed Services jeden Monat bei circa 25 Prozent, soll sich in den kommenden Jahren aber deutlich nach oben verschieben, so die Prognose von Cornelia Lehle. Sophos konnte das Managed-Services-Geschäft in vier aufeinander folgenden Jahren um über 50 Prozent pro Jahr ausbauen und die MSP-Umsätze stiegen in dieser Zeit ebenfalls um 56 Prozent. «Das MSP-Wachstum in der EMEA-Region war mit einem Anstieg von 60 Prozent gegenüber dem Vorjahr in den ersten sechs Monaten unseres laufenden Geschäftsjahres, das im April 2020 begann, sogar noch höher», so Michael Kretschmann. Und Rainer Schwegler von Eset gibt zu Protokoll: «Über den Daumen gepeilt liegen wir bereits bei mehr als einem Viertel, das Managed Services am Gesamtgeschäft ausmachen. Auch hier ist die Tendenz steigend.» Die Hersteller und die Kunden haben also ein reges Interesse daran, dass die Partner als MSSP aktiv werden. Oder wie Thomas Hefner von Avast abschliessend sagt: «Viele Kunden erwarten ein MSS-Angebot seitens der Partner. Auf einen ­MSSP-Auftritt sollten diese daher nicht verzichten.» (abr)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER