Channel Fokus: Managed Security Services Eine Raupe ist kein Schmetterling

Autor: Melanie Staudacher

Die Distribution ist aus dem Managed-Services-Geschäft nicht mehr wegzudenken. Hilfe können Systemhäuser vor allem bei der Transformation vom Reseller zum Managed Security Service Provider gut gebrauchen. Denn dazu gehört mehr als ein neues Lizenzmodell.

Firmen zum Thema

Um ein Managed Security Service Provider zu sein, benötigt es das passende Mindset.
Um ein Managed Security Service Provider zu sein, benötigt es das passende Mindset.
(Bild: freshidea - stock.adobe.com)

Manche Entwicklungen gehen schneller als andere. Zum Beispiel benötigt die Verwandlung einer Raupe in einen Distelfalter je nach Temperatur nur circa vier Wochen. Im Gegensatz dazu ist die Transformation vom klassischen Reseller zum Managed Security Service Provider (MSSP) eine längerfristige Angelegenheit. Um die Entwicklung der Partner zum MSSP zu unterstützen, müssen sich Distributoren folgende Fragen stellen: Vor welchen Herausforderungen stehen die Partner? Welche Hersteller und Lösungen gibt es, und passen sie zu den Aufgaben der Systemhäuser? Wie kann der Aufbau eines MSS-Modells möglichst einfach gestaltet werden?

Mike Cramer, Senior Manager Cyber Security bei Ingram Micro
„Zum einen steigern MSS die Security Awareness. Zum anderen öffnen sie ganz neue Kundensegmente und den Zugang zu neuen, zum Teil noch unbekannten Herstellern.
Wir profitieren als Distributor von einer höheren Kundenbindung durch die Stärkung unserer Partner. Es ist ein sehr skalierbares Geschäftsmodell.“

„Von der Idee bis zur ersten Abrechnung“ lautet das Motto von Tech Data. Der Distributor möchte die Partner beim Aufbau eines MSS-Geschäftsmodells umfassend unterstützen. Als Teamlead Sales DACH der Next Gen Business Unit bei Tech Data beschäftigt sich Maximilian Wieser intensiv mit der Transformation vom Reseller zum Service Provider. Für ihn sind Flexibilität und Agilität entscheidend, um am MSS-Markt erfolgreich zu sein. Um den Partnern genau das zu ermöglichen, bietet Tech Data fertige MSS als Bausteine an, auch von Herstellern, die der Distributor noch nicht im Portfolio hat.

Maximilian Wieser, Teamlead Sales DACH der Next Gen Business Unit bei Tech Data
„Unsere IT-Security Manager sind zusätzlich für übergreifende Themen ausgebildet, um auch bei rechtlichen Rahmenbedingungen und aktuellen Angriffsszenarien zu beraten.“

Die Distribution macht ihre Hausaufgaben

Henning Meyer, Senior Vice President für MSP und Cloud bei der Infinigate-Gruppe
Henning Meyer, Senior Vice President für MSP und Cloud bei der Infinigate-Gruppe
(Bild: Acmeo)

Für Henning Meyer, Senior Vice President für MSP und Cloud bei der Infinigate-Gruppe, stehen bei der Auswahl geeigneter Hersteller für das Security-Portfolio ebenfalls die Channel-Bedürfnisse an erster Stelle. Produkteigenschaften kämen erst danach. „Uns geht es darum, herauszufinden, wer die Menschen im Markt und beim Hersteller sind. Wen kann der Partner auch mal mit zum Kunden nehmen? Das Vertrauen ist sehr wichtig.“ Relevant sei zudem, dass der Hersteller in Marketing und Sichtbarkeit investiert, was einem Systemhaus ungemein hilft. Multimandantenfähigkeit, stabile Sicherheitskonzepte und Einhaltung der DSGVO sind entscheidende Kriterien, nach denen die Gruppe neue Lösungen prüft. „Unsere Partner können sich darauf verlassen, dass wenn wir ein Produkt im Portfolio haben, wir unsere Hausaufgaben gemacht haben“, sagt Meyer.

Seine Hausaufgaben gemacht hat auch der Broadliner Also. Eine eigene Einheit für Security Services, die die Partner vertreiben, hat der Distributor bereits seit 2010. In dem Lösungs- und Services-Portfolio, das kontinuierlich ausgebaut wird, bietet Also flexible Finanzierungsmodelle. Aus dem Online-Shop heraus können Partner den kompletten Warenkorb in ein Finanzierungstool übertragen und je nach Wunsch Leasing-, Miet- oder Mietkaufangebote für ihre Kunden erstellen. Dort haben sie außerdem die Möglichkeit, Angebote mit monatlichen Dienstleistungen zu ergänzen. Die Mietmodelle ermöglichen jederzeit einen Austausch der Geräte während der Laufzeit.

Der Security Escape Room von Also
Der Security Escape Room von Also
(Bild: Also)

Und eine besonders originelle Idee, um das bisher eher stiefmütterlich behandelte Sicherheitsbewusstsein in Unternehmen zu verbessern, hatte der Distributor ebenfalls: Im Security Escape Room sind die Endanwender Mitglieder einer White-Hat Hacker-Gruppe, die beauftragt wurde, einen Penetrationstest in einem Unternehmen durchzuführen. Ihre Aufgabe ist es, eine Zielperson für einen Social-Engineering-Angriff zu identifizieren, sich Zugang zum Netzwerk zu verschaffen und geheime Unterlagen zu entwenden. So erleben die Teilnehmer, wie einfach es sein kann, Hacking-Angriffe auf ausgewählte User auszuüben und wie einfach es Kriminelle aufgrund unvorsichtigen Verhaltens der Anwender oft haben. Also bietet dieses Konzept den MSSPs an und führt es gemeinsam mit ihnen beim Endkunden durch. Vor der Pandemie sei der Escape Room Service drei Monate im Voraus ausgebucht gewesen. Eine virtuelle Variante steht aktuell nicht zur Verfügung.

Marc Hövelmann, Regional Lead CoC Cybersecurity DACH bei Also
„Technische Lösungen bringen immer nur ein gewisses Maß an Sicherheit. Eine Kette ist immer nur so stark wie das schwächste Glied, und das ist in der IT-Sicherheit in vielen Fällen der Anwender. Genau hier setzen wir beim Escape Room an, zeigen die Fallen auf und schulen intensiv.“

Cloud Security muss nachziehen

Je beliebter die Cloud wird, desto höher sollte auch ihre Sicherheit priorisiert werden. „Viele Organisationen stehen noch vor der Hürde ‚Weg von der On-Prem-Lösung und hin zur Cloud‘“, weiß Sabrina Eder, Business Development Manager Networking & Security bei ADN. „Gerade in der DACH-Region wird noch nicht vollständig auf die Sicherheit in der Cloud vertraut.“ Verständlich, denn für Unternehmen bedeutet eine Migration in die Cloud, Anwendungen aus der gewohnten On-Premises-Umgebung zu entreißen, für die sie meist über Jahre hinweg ein Sicherheitskonzept etabliert haben. Dem Marktforschungsinstitut IDC zufolge müssen sich Unternehmen deutlich stärker als bisher auf die Cloud Security konzentrieren. Denn mit hybriden Clouds und Multi Clouds steigen sowohl die Zahl der potenziellen Angriffspunkte als auch die Anzahl der Personen und Identitäten, die gemeinsam an einer Aufgabe arbeiten oder in einem Ökosystem miteinander agieren. Zwar bieten Cloud Provider Skalierbarkeit und Flexibilität, ein Rundum-Sorglos-Security-Paket gehört allerdings nicht zu ihren Aufgaben. Wer könnte hier also besser helfen als ein MSSP?

Sabrina Eder, Business Development Manager Networking & Security bei ADN
„Reseller können sich über Managed Security Services sehr gut als Knowhow-Träger im Security-Markt positionieren. Anknüpfungspunkte für die Entwicklung eigener Security Services können zum Beispiel Healthchecks sein, der schnelle, direkte Support bei Problemfällen oder auch fehlende, personelle Ressourcen bei Kunden. Großes Potenzial bietet Service Providern auch die Möglichkeit, Produkte zu Service-Paketen zu kombinieren. Besonders interessant sind hier natürlich Bundle mit Microsoft-Lösungen, da diese in Unternehmen nicht mehr wegzudenken sind.“

Also kommt der Nachfrage nach Sicherheitsservices für die Cloud auf dem Also Cloud Market Place (ACMP) nach. Jeder Partner hat die Möglichkeit eigene Lösungen und Services auf dem Market Place anzubieten und profitiert dadurch von einer großen Reichweite. Es werden allerdings nur Produkte aufgenommen, die technische und kaufmännische Sicht Mehrwerte bieten. Außerdem können die Partner sich einen eigenen Marktplatz auf dem ACMP in ihrem Unternehmensdesign einrichten und die Services von dort ihren Endkunden anbieten. Auch das Erstellen von Angeboten, der Verkauf und die Abrechnung erfolgen über den ACMP automatisch.

Das richtige Mindset

Obwohl die Distribution viel Kreativität beweist, um es den Resellern möglichst einfach zu machen, ins MSS-Geschäft einzusteigen, reicht das oft nicht. Die Angst, sich an MSS die Finger zu verbrennen, rührt bei Systemhäusern oft aus fehlenden Kenntnissen hinsichtlich der Rechtsgrundlagen und der Vertragsgestaltung. Welche Ansprüche hat der Endkunde gegenüber dem Service Provider? Welche Betriebszeit kann das Systemhaus dem Kunden garantieren? Und was, wenn diese Uptime nicht eingehalten werden kann? Bis zu welchem Grad haftet der Provider? „Unsere Erfahrung ist: Je weiter ein Systemhaus in dieses Thema einsteigt, um ein solches Modell aufzubauen, umso mehr erkennt es, dass es sehr viel noch nicht weiß. Dann braucht das Systemhaus die Expertise der Distribution“, erklärt Meyer. Einige Distributoren und Hersteller bieten bereits vorgefertigte Konzepte sowie Vertrags- und Kalkulationsvorlagen an, wie die Infinigate-Gruppe, ADN oder Veritas und Acronis.

Zurück zur Einfachheit

„Wenn sich alles in Richtung Service bewegt, muss sich das Bereitstellungsmodell ändern“, ist sich Anas Handous sicher. Er ist CEO beim Distributor Cyber Monks, der von sich behauptet, ein „wahrer“ Managed Security Services Distributor (MSSD) zu sein. Den Frankfurtern zufolge erfordern Sicherheitslösungen meist zu hohe Investitionen, insbesondere in Form von Lizenzgebühren, die die Reseller und Systemintegratoren nicht selbst leisten können. Deshalb übernimmt der MSSD diese Investments für die Reseller und stattet sie mit allem aus, was sie brauchen, um sich ganz auf das konzentrieren zu können, was laut Handous ihr eigentlicher Job ist: Produkte und Lösungen weiterverkaufen. Zu den Herstellern im Portfolio gehören Agari, Authlogics, AVA, Build38, Dataguise, Deep Instinct, RiskRecon und SecureAuth. Die bisher eher unbekannten Firmen haben dem Distributor zufolge das Potenzial, die nächste Generation von IT-Security-Lösungen mitzuprägen. Davon profitieren auch die Partner, die sich so mit fortschrittlichen Technologien bei ihren Endkunden als Vorreiter positionieren können.
Der CEO ist sich sicher, mit dieser Strategie alles richtig zu machen: „Es ist nicht optional, es ist ein Muss, dass sich der MSSP-Markt verändert. Wir können die Angebote nicht zu einem Privileg für die wohlhabenden Organisationen machen.“ MSS sollen ihm zufolge für jeden verfügbar und für alles einsetzbar sein. Jede Cybersicherheitslösung soll inklusive Appliances sowie technischen und Vertriebsschulungen als Service bereitstehen, damit die Partner nichts weiter hinzukaufen müssen, um eine passende Dienstleistung beim Endkunden anbieten zu können. „Wenn wir das MSS-Geschäft wieder einfach machen, dann ist alles, was der Partner tun muss, weiterzuverkaufen.“

Das Gebot der Stunde lautet Einfachheit. Je einfacher ein MSS-Konzept umzusetzen ist, Security-Lösungen implementiert werden können und je einfacher die Kommunikation zwischen Distributor und Partner ist, desto mehr profitieren beide Seiten von MSS. Meyer blickt jedoch nüchtern auf das Thema: „Wir sehen, die Sicherheitslage wird immer brisanter. Trotzdem haben viele Kunden die Wahrnehmung, dass sie nicht von einem Hackerangriff getroffen werden können.“ Oft gebe es auch Kunden, an denen die Aufklärungsarbeit der Partner abprallt. „Selbst wenn Kunden bereits einen Angriff erlebt haben, sind sie manchmal trotzdem nicht bereit, in Security zu investieren.“ Obwohl für Meyer die Security Awareness einen hohen Stellenwert hat, rät er den MSSP, sich im Vorfeld zu fragen: Wer ist der richtige Kunde für mich? „Wir wollen nicht, dass unsere Partner auf ein totes Pferd satteln. Wenn der Kunde nicht zusammenarbeiten will, soll der Partner seine Energie in andere Projekte und Kunden investieren.“ Dieser Appell gilt allerdings auch für die Provider selbst.

Lediglich halbherzig Security Services anzubieten, macht aus einem Reseller noch keinen MSSP. Wieser zufolge brauchen die Partner nicht nur genug eigene Ressourcen, sondern auch Mut und das passende Mindset, um das neue Geschäftsmodell anzugehen. Und die Entscheidung sollte gut überlegt sein. Denn die Transformation vom Reseller zum Service Provider bedeutet nicht nur eine Änderung des Lizenzmodells, sondern eine gesamtunternehmerische Entscheidung. Im Practice-Builder-Programm von Tech Data, in dem Partner in Workshops praxistaugliche Informationen zu Vertrieb, Marketing, Preisgestaltung und rechtlichen Rahmenbedingungen erhalten, soll genau das vermittelt werden. „Den Partnern muss klar sein, dass die Transformation ein sehr langwieriger Prozess sein kann und sie erstmal klein anfangen werden“, sagt Wieser. Recht hat er damit. Denn eine Raupe ist schließlich auch nicht von heute auf morgen ein Schmetterling.

Das Practice-Builder-Programm

Letztes Jahr hat Tech Data das Programm Practice Builder entwickelt. Es umfasst Workshops, in denen Reseller lernen, ein Managed-Services-Geschäftsmodell aufzubauen. Sie erhalten praxistaugliche Informationen zu Vertrieb, Marketing, Preisgestaltung und rechtlichen Rahmenbedingungen. Die Basis bildet dabei, neben Technologien aus den Bereichen Cloud oder IoT, vor allem die IT-Security. Die Reseller lernen, welche Hersteller, Technologien und Lizenzmodelle, aber auch welche Endkunden für sie geeignet sind. Unterteilt ist das Programm in drei Phasen. Zuerst bewerten Tech Data und der Partner gemeinsam das vorhandene Verständnis der Transformationsbereitschaft des Resellers. Denn je nach Vorkenntnissen werden die Partner in die Level Starter, Transformer und Accelerator eingestuft. Die Dauer der Transformation zum MSSP hängt laut Wieser neben den Vorkenntnissen auch von der Anzahl der Services ab, die später angeboten werden sollen. „Das Practice-Builder-Modell soll ein Grundgerüst für die Partner dienen, auf dem sie ihr Geschäftsmodell weiter aufbauen können. Deswegen benötigt jeder Partner eine individuelle Beratung“, sagt Wieser. Dazu gehören auch die Potenzialeinschätzungen hinsichtlich Wachstum und Entwicklung. Steht dieses erste Grundgerüst, erweitern die Partner ihre Security-Kenntnisse durch eine Reihe von Trainingsmodulen zu den möglichen Technologien. Weil Tech Data die Partner auch über die Dauer der Workshops hinaus begleiten möchte, müssen diese im dritten Schritt nicht nur einmalig Zertifizierungen ablegen, um die Lösungen angemessen vermarkten zu können, sondern regelmäßig.

(ID:47131535)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH