noris Halle 7, Stand 7 – 212 : SECaaS oder Insellösungen? : Experten diskutieren auf der it-sa, ob KI die Sicherheitslandschaft revolutioniert oder nur ein weiteres Werkzeug ist

Security-as-a-Service (SECaaS) bedeutet, IT-Sicherheitsfunktionen an spezialisierte Anbieter auszulagern. Die Dienste kommen aus der Cloud, ähnlich wie bei SaaS-Angeboten. Unternehmen mieten Sicherheitstechnologien, die von Experten betreut und regelmäßig aktualisiert werden. Häufig ist das Zero-Trust-Prinzip integraler Bestandteil.

Im Gegensatz zur traditionellen IT-Sicherheit, bei der Unternehmen Hardware und Software selbst verwalten, basiert SECaaS auf Cloud-Technologie. Das spart Ressourcen und erhöht die Flexibilität. Gleichzeitig ersetzen Zero-Trust-Strategien das „Vertrauen durch Standort“: Sie verifizieren jeden Zugriff, bevor sie ihn gewähren.

Modulare Bausteine

Security-as-a-Service-Angebote bestehen typischerweise aus verschiedenen Komponenten, die Unternehmen bedarfsgerecht kombinieren können:

• Identity and Access Management (IAM): Steuerung des Datenzugriffs
• Netzwerkschutz: Firewalls und Intrusion Detection
• Endpunktschutz: Schutz für Geräte wie Laptops oder Smartphones
• Cloud-Sicherheit: Schutz für Plattformen wie Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS)
• Data Loss Prevention (DLP): Verhinderung unbeabsichtigter Datenverluste
• Zero-Trust-Architekturen: Verhindern unautorisierter Zugriffe durch strikte Zugriffskontrollen

Vorteile und Risiken

Das SECaaS-Modell bietet mehrere Vorteile: Es ermöglicht hohe Flexibilität und Skalierbarkeit, da Unternehmen neue Nutzer oder Funktionen unkompliziert hinzufügen können. Statt hoher Anfangsinvestitionen fallen planbare monatliche Gebühren an. Zudem profitieren Kunden vom Fachwissen der Anbieter, die eine Rundum-die-Uhr-Überwachung, schnelle Reaktionszeiten und kontinuierliche Weiterentwicklung der Sicherheitslösungen gewährleisten. Die automatische Aktualisierung der Systeme und die konsequente Umsetzung von Zero-Trust Prinzipien stellen weitere Pluspunkte dar.

Diesen Vorteilen stehen jedoch auch Risiken gegenüber: Die Abhängigkeit vom Anbieter (Vendor-Lockin) kann problematisch werden, besonders wenn ein Wechsel erforderlich wird. Datenschutzrechtliche Bedenken müssen sorgfältig geprüft werden, und Unternehmen müssen der Cloud-Infrastruktur von Drittanbietern ein gewisses Vertrauen entgegenbringen.

Einfache Integration

Die Einführung von SECaaS gestaltet sich meist unkompliziert, sofern die technischen Grundvoraussetzungen erfüllt sind. Die meisten Anbieter unterstützen ihre Kunden beim Setup, bei Schulungen und der fortlaufenden Betreuung. Zero-Trust-Konzepte lassen sich schrittweise integrieren und an bestehende Systeme anpassen. Bei der Auswahl eines Dienstleisters sollte man auf transparente Preismodelle, auf einen zuverlässigen Support, auf DSGVO-Konformität und auf Zertifizierungen (z.B. ISO 27001) achten.

Neben technischen Aspekten spielen rechtliche Vorgaben und Compliance-Anforderungen eine zentrale Rolle bei der Entscheidung für SECaaS. Entscheidend ist, dass die Datenverarbeitung in europäischen Rechenzentren oder unter gleichwertigen Datenschutzstandards erfolgt. Zertifizierungen schaffen zusätzliche Sicherheit und Nachvollziehbarkeit.

Unternehmen müssen zudem das Prinzip der geteilten Verantwortung (Shared-Responsibility-Model) berücksichtigen: Bestimmte Aufgaben übernimmt der Anbieter, während andere eindeutig beim Kunden verbleiben. Diese Verantwortlichkeiten sollten vertraglich klar geregelt sein.