Managed E-Mail Security: Königsweg oder Sackgasse?

Von: Sascha Krieger

Mehr und mehr Unternehmen versuchen, Bedrohungen ihrer IT-Sicherheit abzuwehren, indem sie ihre E-Mail-Sicherheit an Anbieter von Managed Services auslagern.

Die E-Mail ist in den vergangenen Jahren nicht nur zum wichtigsten geschäftlichen Kommunikationsmittel geworden, sondern auch zum Haupteinfallstor unterschiedlichster Gefahren und Bedrohungen der IT-Sicherheit von Unternehmen. Vor diesem Hintergrund versuchen Unternehmen zunehmen, diese Gefahren abzuwehren, bevor sie die eigene Infrastruktur erreichen. Die Auslagerung der E-Mail-Sicherheit im Rahmen von Managed Services ist daher das am stärksten wachsende Marktsegment im Bereich der E-Mail-Sicherheit. Welche Chancen bietet sie Unternehmen – und welche möglichen Risiken?

Ungebremstes Spam-Wachstum, Denial-of-Service-Angriffe, riesige Spam-Wellen, perfekt getarnte Viren-E-Mails: Die Bedrohungen der E-Mail-Sicherheit werden immer zahlreicher und vielfältiger. Dies gilt auch für die Folgen: steigende Kosten durch immer neue Hardwareanschaffungen und Systemerweiterungen, Verzögerungen durch Überlastung der E-Mail-Infrastruktur, sinkende Produktivität der Mitarbeiter, die in ihrem überfüllten Posteingang nach wichtigen Nachrichten suchen müssen und, last but not least, der Verlust wichtiger E-Mails, die im Spam-Filter hängen bleiben oder in der Spam-Flut übersehen werden.

Managed E-Mail Security ist auf dem Vormarsch: Während die Marktanteile von Appliances und reinen Softwarelösungen sinken oder zumindest stagnieren, steigen immer mehr Unternehmen auf Managed Services um. Längst sind es nicht mehr nur kleine und mittelständische Unternehmen, die ihre E-Mail-Sicherheit in die Hände spezialisierter Dienstleister wie zum Beispiel dem deutschen Anbieter Eleven mit Sitz in Berlin legen – zunehmend gehen auch international agierende Großunternehmen diesen Schritt.

Der hauptsächliche Grund dafür liegt auf der Hand. Gefahren, die das Unternehmen nicht erreichen, können dort auch keinen Schaden anrichten. Dies gilt für Viren und Würmer ebenso wie für Spam, der heute im Durchschnitt mehr als 95 Prozent aller eingehenden E-Mails ausmacht. Vorgelagerte Anti-Spam-Lösungen können dafür sorgen, dass diese Spam-Flut bereits vor Eintritt in das Unternehmen abgefangen wird.

Entlastete IT sichert Business Continuity

Im Effekt sinkt die Belastung der Unternehmens-IT deutlich und eine Überlastung durch Spam-Wellen ist praktisch ausgeschlossen. Durch die Spam-Abwehr außerhalb der Unternehmens-IT können Managed Services dazu beitragen, die geschäftliche E-Mail-Kommunikation zu jedem Zeitpunkt sicherzustellen – ein wichtiger Beitrag zur Business Continuity von Unternehmen.

Darüber hinaus bieten Managed Services auch Kostenvorteile, denn Systemressourcen und Hardware müssen nicht mehr ständig an das fortgesetzte Spam-Wachstum angepasst werden und Investition in Spam-bedingten Ressourcenausbau entfallen. Da die Lösungen beim Dienstleister betrieben werden, wird keine eigene Rechenkapazität für den Betrieb der Lösung benötigt. Gleiches gilt für Wartung und Pflege der Lösung, die dem Dienstleister obliegen. Managed Services ermöglichen Kosteneinsparungen ebenso wie dauerhafte Kostensicherheit.

Bei allen Vorteilen ausgelagerter E-Mail-Sicherheit gibt es aber auch kritische Stimmen. So zögern viele Unternehmen, eine so wichtige und sensible Aufgabe wie die E-Mail-Sicherheit aus der Hand zu geben. In einer Zeit, in der ein Großteil der geschäftskritischen Kommunikation, etwa Rechnungen, Angebote oder Aufträge, über elektronische Post abgewickelt wird, wird E-Mail-Sicherheit für Unternehmen zu einem existenziellen Thema, das man in der Hand von Spezialisten wissen will, denen man hundertprozentig vertrauen kann.

Zudem wirft die Herausgabe geschäftskritischer und potenziell vertraulicher Nachrichten auch Fragen hinsichtlich des Datenschutzes auf. Wichtige E-Mails in der Hand eines Dritten und nicht ausreichend geschützte Kommunikationswege können zu einer Kompromittierung unternehmenskritischer Daten führen, so die Befürchtung. Des Weiteren spielt auch der Standort des Dienstleisters eine Rolle. Der Kunde weiß nicht, wo der Dienstleister seine Infrastruktur betreibt und wohin damit seine Daten geleitet werden. Oft befinden sich diese Standorte außerhalb Deutschlands, in Ländern mit weniger strenger Datenschutzgesetzgebung.

Schließlich wünschen sich viele Unternehmen eine Lösung, die sich harmonisch und individuell in die eigene E-Mail-Infrastruktur integrieren lässt. Da Managed Services außerhalb der Unternehmens-IT stehen, bieten sie eine sehr geringe Flexibilität. Zudem befürchten viele IT-Verantwortliche, dass Lösungen, die sie nicht selbst betreiben und an die eigene IT anpassen können, mit dieser nur unzureichend harmonieren.

Wer also eine Managed-Service-Lösung in Betracht zieht, sollte darauf achten, wie er die Risiken beseitigen oder zumindest minimieren kann. Wer etwa eine Lösung sucht, die er an einer anderen Stelle als am Gateway zwischen Internet und internem Netzwerk integrieren möchte, ist bei einer Inhouse-Lösung besser aufgehoben. Für alle anderen empfiehlt sich die bequeme Integration von Managed E-Mail Security, die in der Regel nur die Umstellung des MX Records erfordert und keinerlei Eingriffe in die eigene Infrastruktur nötig macht.


Vertrauen ist gut, Kontrolle ist besser

Bei der Wahl des Dienstleisters gibt es einige Punkte, die beachtet werden sollten. Ist er dazu in der Lage, die folgenden Fragen zufriedenstellend zu beantworten, steht einer Auslagerung der E-Mail-Sicherheit nichts mehr im Wege.

• Welche Werte bezüglich Spam- oder Malware-Erkennung kann er garantieren? Wie hoch ist die Wahrscheinlichkeit, dass eine geschäftsrelevante E-Mail fälschlich als Spam aussortiert wird (False-Positive-Rate)? Wie erreicht er dies?
• Was macht der Dienstleister mit den ihm überlassenen Daten? Welche Verfahren und Technologien wendet er an und welche Auswirkungen haben diese a) auf die Integrität möglicherweise geschäftskritischer E-Mail-Inhalte und b) auf den Datenschutz?
• Wie verhindert der Dienstleister den Zugriff auf und damit die potenzielle Kompromittierung von geschäftskritischen Daten?
• Wo betreibt der Dienstleister seine Infrastruktur? Kann er garantieren, dass die Daten des Kunden nicht an andere als die angegebenen Standorte gelangen?