Kleine Unternehmen lagern die Informationssicherheit oft aus und stehen somit vor einer Vielzahl von Entscheidungen, beginnend bei der Art des Infosec-Unternehmens, das engagiert werden soll. Hier reichen die Möglichkeiten vom simplen Wiederverkäufer bishin zum Systemintegrator. Die gängigste Art bei SMB´s sind Value-added Reseller (Wiederverkäufer) und Managed Service Provider (MSPs). Wie finden Unternehmen den richtigen Sicherheitsanbieter?
VAR und MSP aus der Sicht des Kunden
Als es sich bei MSP in der Vergangenheit noch um einen Entwicklungsmarkt handelte, fiel die Wahl ganz klar auf VAR. Value-added Reseller bieten nicht nur Software (und in einigen Fällen auch Hardware), sondern helfen bei der Bereitstellung, bieten Produktbetreuung und beantworten mögliche Fragen zum Produkt. Ihr Hauptziel war es allerdings dem Kunden eine neue Lizenz zur Verfügung zu stellen, wenn die vorherige abgelaufen war. In diesem Szenario verfügte der Kunde über eine Softwarelizenz. Genau deshalb wurden VAR´s meist nur als Wiederverkäufer betrachtet.
Wenn sich ein Unternehmen dazu entscheidet mit einem VAR zu arbeiten, ist es unumgänglich ein IT-Team vor Ort zu haben. Selbst wenn das Unternehmen nur über ein Dutzend Laptops verfügt, sollte eine IT-Fachkraft im Hause sein (oder – als nächstbeste Alternative – jemand, der halbtags eine IT-Stelle übernimmt). Value-added Reseller sind bereit, dem IT-Angestellten mit dem Produkt zu helfen: Sie können bei der Installation zur Seite stehen und den Mitarbeiter mit der Funktionsweise des Produktes vertraut machen, aber sie werden nicht die IT für das Unternehmen verwalten. Darüber hinaus kümmert sich der IT-Angestellte um das Management der Sicherheitslösungen. In anderen Worten: es sollte sich hierbei um einen IT-Sicherheitsexperten handeln. Und das ist der große Nachteil: IT-Sicherheitsexperten sind relativ teuer und sehr gefragt. Wenn es sich um kleine oder mittelständige Unternehmen handelt, kann es sehr kostenspielig sein eine solche Person einzustellen.
MSPs wählen einen anderen Ansatz: sie verkaufen nicht nur Lizenzen, sondern bieten vollwertigen IT-Service. Wenn ein Unternehmen seine IT-Veranwortung, einschließlich der Sicherheit, an einen MSP delegiert, kümmert sich der MSP darum Entscheidungen zu treffen, die am besten für das Unternehmen sind. Ein Managed Service Provider wird zu einem vertraulichen Berater, der sich um die gesamte IT für den Kunden kümmert. Ein MSP lernt die genauen Berdürfnisse eines Kunden kennen, macht Vorschläge für die besten Praktiken, trifft eine gemeinsame Entscheidung mit dem Kunden und richtet dann alles ein.
Was das für den Kunden bedeutet? Ihm steht rund um die Uhr ein qualifizierter Support zur Verfügung : Die gesamte IT wird eingerichtet und ist funktionstüchtig, einschließlich der Sicherheit. Eine qualifizierte Person wird beauftragt das Unternehmen zu schützen. Das bedeutet, dass der Kunde keine Sicherheitsspezialisten oder IT-Angestellte einstellen muss.
Von VAR zu MSP
Es scheint, als würde ein MSP zum selben Ziel wie ein VAR gelangen, aber im Vergleich viel mehr ausgeben. Das ist nicht unbedingt richtig. Beiden Anbietern stehen ihre eigenen Sicherheitsexperten zur Verfügung. Der hauptsächliche Unterscheid ist allerdings ihr Maß an Engagement. Viele VAR´s erweiteren sogar ihren Einsatzbereich und werden zu MSP´s.
Was sie damit erreichen? Hauptsächlich eine stärkere Kundenbindung. Ein vertrauter IT-Berater, jemand der die Bedürfnisse eines Unternehmens erkennt, bei IT-Sicherheitsproblemen hilft, die Infrastruktur der Firma kennt und Probleme, die auftreten könnten bereits prognostizieren kann, ist eine unschätzbare Bereicherung.
Die potenzielle Schwierigkeit beim Übergang von VAR zu MSP ist die Notwendigkeit Lösungen der Infrastrukturen vieler Kunden zu verwalten. Dieses Problem kann allerdings durch die Automatisierung und den Gebrauch von speziell für MSP´s entworfenen Sicherheitslösungen umgangen werden. Eine dieser Lösungen ist Kaspersky Endpoint Security Cloud: Es ermöglicht die Remote-Sicherheitverwaltung für mehrere Endpoints, mobile Geräte und File-Server ohne jegliche Infrastrukturinvestition.