Sicherheitslösungen im systematischen Vergleich
Von Henrik Groß, techconsult
Professionelle IT-Anwender suchen im Rahmen der Auswahl ihrer IT-Anbieter und -Lösungen verlässliche Orientierungs- und Entscheidungshilfen. Dabei legen sie größten Wert auf Empfehlungen und Bewertungen, die erstens technisch kompetent sind, zweitens absolut unabhängig und drittens tatsächlich belastbare und vertrauenswürdige Anwenderbewertungen ergeben.
Das Kasseler Analystenhaus techconsult hat die bestehenden Ranking-Modelle analysiert und dabei auch eine Mängelliste berücksichtigt. Die häufigsten Kritikpunkte sind:
- eine zu grobe Themenwahl (es werden „Äpfel mit Birnen verglichen“),
- die reine Analysteneinschätzung („oft ohne eigenen Erfahrungshintergrund“),
- die Ausblendung kleiner und mittlerer Anbieter („als Shortlist ungeeignet“) sowie
- eine US-amerikanische Sichtweise (Gartner, Forrester, Ovum).
Vor diesem Hintergrund sieht techconsult Handlungsbedarf: Es gilt, die Anforderungen an ein modernes Ranking-System zu erfüllen und ein neues Modell aufzusetzen.
Dieser Beitrag ist die bearbeitete Fassung des Bluepapers zum Audit: „Security Solution Vendors 2014 – Anbieter und Lösungen in der Experten- und Anwenderbewertung“, das es bei techconsult kostenfrei als PDF zum Herunterladen gibt.
Audit in Experten- und Anwenderbefragung
Das techconsult-Audit vergleicht und bewertet daher IT-Anbieter und Lösungen im Rahmen eines umfangreichen Research-Projektes in einer Kombination aus Experten- und Anwenderbefragung hinsichtlich ihrer tatsächlichen und wahrgenommenen Leistungsfähigkeit. Darüber hinaus unterscheidet die Erhebung bei anwendernahen Lösungen die Anforderungen von IT und Fachbereich (LoB).
Geplant ist die Durchführung des techconsult-Audits zu allen relevanten IT-Themen in einem jährlichen Rhythmus. Neben der Fachkompetenz des Expertenbeirats und dem Erfahrungshintergrund der Anwender nutzt techconsult dazu auch die gesamte Expertise seiner Analysten sowie des Heise Zeitschriften Verlags, zu dessen Gruppe techconsult gehört. Die Betrachtungen beziehen sich auf die jeweiligen Anwendungsfälle in deutschen Unternehmen, um deren Spezifika abbilden zu können und somit das Angebot auf dem deutschen Markt zu erfassen. Besonderes Augenmerk liegt dabei auf den Anforderungen des Mittelstands.
Entscheidungspfad und Untersuchungsdesign
In Zusammenarbeit mit Heise Security bietet techconsult bereits den Heise Security Consulter an, ein Selfcheck-Tool für mittelständische Unternehmen, das Unternehmen dazu dient, die Lage hinsichtlich IT- und Informationssicherheit einzuschätzen. Datenbasis ist dort die Security Bilanz Deutschland, die die Vergleichsdaten aus einer Befragung von über 500 mittelständischen Unternehmen mit 20 bis 1999 Mitarbeitern liefert. Mit der Security Bilanz erhalten IT-Manager einen aktuellen Überblick zum Status quo der IT-Sicherheit in deutschen Unternehmen und können mit dem Selfcheck-Tool (dem Heise Security Consulter) ihre individuellen Problemfelder im Vergleich zu ihrer Größenklasse oder Branche ermitteln.
Begleitung des CIO im Informations- und Entscheidungsprozess (Bild: techconsult)
Bewertungskriterien und Gewichtung (Datei: techconsult)
In der logischen Abfolge der Informations- und Entscheidungsprozesse bietet techconsult nun mit dem Audit eine weiterführende Orientierungshilfe bei der Anbieter- und Lösungsauswahl (Abb. 1). Damit Unternehmen die Lösungen sinnvoll einordnen können, wird das Thema grundsätzlich in anwendungsspezifische Lösungssegmente und diese wiederum in ihre relevanten Subthemen unterteilt. Die relevanten Anbieter/Lösungen werden dann anhand gewichteter Bewertungskriterien verglichen. Kriterien und Gewichtung werden in Zusammenarbeit mit dem Expertenbeirat definiert – sowohl für die Experten- als auch für die Anwenderbewertung. Grundsätzlich erfolgt die Bewertung anhand fester Kriterien (Abb. 2).
Handreichung für IT-Entscheider
Im Ergebnis bietet das Audit zu den Security Solution Vendors dem CIO vertrauenswürdige Orientierung durch
- neutrale und kompetente Anbieter-/Lösungsbewertungen, bezogen auf die individuellen Anwendungssegmente in deutschen Unternehmen,
- eine getrennte Sicht auf die Anforderungen von IT und Fachbereich,
- eine Übersicht zu anbieter-/lösungsbezogenem Image, Zufriedenheit sowie Stärken-Schwächen-Analyse sowie durch
- anwendungsspezifische Shortlists (Abb. 3) mit Einzeldarstellung der Bewertungskriterien (Lösungs-Scorecards).
Scorecards als zielführende Kurzübersichten (Bild: techconsult)
Vorteile für Lösungsanbieter
Das Audit ermöglicht es IT-Anbietern, für den CIO und Fachentscheider (LoB) entlang des gesamten Entscheidungsprozesses sichtbar zu sein – von der Informationsbeschaffung bis zur Shortlist, die direkt zur finalen Kaufentscheidung führt. Zur Sicherstellung von Transparenz und Neutralität erfolgt die Vermarktung der Ergebnisse erst nach Fertigstellung des Audits und nach der Freigabe durch den Expertenbeirat.
IT-Anbieter können von den Ergebnissen in Form von Nutzungs- und Veröffentlichungsrechten profitieren. Die Palette der Optionen reicht vom Erwerb der kompletten Studie über Customized-Branding-Pakete, Lösungs-/GK-/rollenbezogene Audits (Grafiken) und Research Notes der techconsult-Analysten bis hin zu Nutzungsrechten für Auszeichnungen („Champion“, „Hidden Champion“ und „Rising Star“) und Media- und Awareness-Leistungen (gemeinsam mit der Heise Medien Gruppe).
Fazit: Erste Ergebnisse im Herbst 2014
Das Projekt befindet sich seit Frühjahr 2014 in der Startphase. Die Zusammensetzung des Beirats sowie die umfangreiche Erarbeitung aller thematischen Inhalte und Fragekataloge stehen bis in den Frühsommer auf dem Programm.
Die Anbieterbefragungen sollen dann den Sommer über durchgeführt werden. Alle infrage kommenden Anbieter werden dazu von techconsult kontaktiert und erhalten die notwendigen Unterlagen. Anschließend erfolgt die Konsolidierung und Auswertung durch techconsult und den Beirat.
Die Anwenderbefragung ist für den Spätsommer 2014 angesetzt, zeitlich etwas versetzt zur Anbieterbefragung. Die Erhebung, Konsolidierung der Daten und Auswertung erfolgt bis in den frühen Herbst.
Erste Ergebnisse und Charts werden voraussichtlich ab Oktober 2014 vorliegen.