Die Zahlen sind weitgehend konstant, aber das auf hohem Niveau: So sind etwa mehr als neun von zehn E-Mails (91,9 Prozent), hat die Symantec-Tochter MessageLabs in ihrem Monatsreport für September 2010 herausgefunden, Werbemüll, vulgo "Spam". Eine von statistisch gesehenen 218,7 E-Mails enthält Malware. Eine von 382 elektronisch versendeter Mails ist ein Phishing-Versuch mit dem Ziel, vertrauliche Zugangsdaten zu Konten oder Webseiten abzuschöpfen. Diese Zahlen sind bis auf Hinterkommastellen konstant zum Vormonat und mögen relativ gering erscheinen.
Angesichts von mindestens 220 Milliarden versendeten E-Mails pro Tag, wie Cisco schon 2009 ausgerechnet hat, bieten die absoluten Zahlen aber Anlass genug, sich um die Sicherheit des E-Mail-Verkehrs zu sorgen. Von den 220 Milliarden sind demnach mehr als 200 Milliarden Werbemüll. Gut eine Milliarde E-Mails enthalten also Viren und immerhin 572 Millionen sind Phishing-Versuche - pro Tag, wohlgemerkt. Legt man eine konservative Erfolgsquote von einem Zehntelprozent über diese Zahlen, gibt es Tag für Tag mehr als 15 Millionen erfolgreiche Betrugsversuche per E-Mail.
Angesichts dieser Quoten ist es einfach zu verstehen, dass das Management von E-Mails für Unternehmen zu wesentlichen Teilen in der Abwehr von unerwünschtem Spam einerseits und gefährlichen Attacken andererseits besteht. Es bedeutet, dass der größte Teil der für den E-Mail-Verkehr und die rechtssichere Speicherung der Mails vorgehaltenen Infrastruktur von Dreck & Crime belegt wird und demnach im eigentlichen Sinne vollkommen überflüssig ist.
Aber auch für die Mitarbeiter des eigenen Unternehmens ist die Beschäftigung mit Spam oder Malware-Mails eine unproduktive Angelegenheit: So hat das britische Kommunikationsberatungsunternehmen Expert Messaging schon 2008 ermessen, dass pro Tag und Mitarbeiter mit E-Mail-Zugang eine Stunde für das Schreiben, Lesen und Verwalten von E-Mails draufgeht. Vier von zehn Mitarbeitern verwenden gar zwei Stunden pro Tag darauf. Nahezu die Hälfte aller Mails (47 Prozent), so der Report, hätten "keinerlei Bezug zur tatsächlichen Arbeitstätigkeit des Betroffenen", können also wenigstens zum Teil in den Spam-Ordner gelegt werden.
Einer BSI-Erhebung in Bundesbehörden zufolge sind von 100 empfangenen Mails im Schnitt gerade einmal 1,5 elektronische Briefe gewollt. Die 98,5 unerwünschten Mails, gibt die Behörde außerdem zu bedenken, sind dabei nicht nur lästig, sondern können bei unzureichenden Filtermethoden auch gefährlich werden.
Unterm Strich kostet die Verwaltung einer eigenen E-Mail-Infrastruktur eine Menge Geld. "Betriebswirtschaftlich gibt es kein Argument dafür, eine eigene Lösung zu betreiben", meint denn auch zum Beispiel Ralf Eger, Geschäftsführer des österreichischen Lösungsanbieters Eger IT.
Auslagern hat Vor-, aber keine Nachteile
Dagegen hat das Auslagern der eigenen Mail-Infrastruktur an einen externen Dienstleister nur Vor- und keine Nachteile, wie die Experten meinen. So erläutert etwa Walter Schumann vom Mail-Security-Spezialisten Eleven in einem Interview die Vorzüge von Managed E-Mail-Services. "Der größte Vorteil von Managed E-Mail Security liegt tatsächlich darin, dass die unerwünschte und gefährliche E-Mail bereits außerhalb des Unternehmens abgewehrt wird." Das habe mehrere positive Effekte: Zum einen könne Malware, die ein Unternehmen nicht erreicht, keinen Schaden anrichten. Zum anderen werde die Infrastruktur des Unternehmens nicht weiter belastet. Schließlich gebe es fürderhin keine Notwendigkeit mehr, in zusätzliche Hardware zu investieren, um steigendes E-Mail-Aufkommen bewältigen zu können. "Managed E-Mail Security kann Unternehmen damit zweierlei bringen: erhöhte Sicherheit und niedrigere Kosten."
Für das Auslagern von E-Mail-Services sprechen weitere Aspekte: Es gibt keinerlei Aufwand für die Wartung eigener oder das Aufsetzen zusätzlicher Systeme. Dafür bieten die Dienstleister eine unbegrenzte Skalierbarkeit bei flexibler Kostengestaltung, so dass Unternehmenswachstum dort ebenso abgebildet werden kann wie kurzfristige Kommunikationsspitzen.
Schließlich bieten externe Mail-Provider mit ihrer auf Wachstum ausgerichteten Infrastruktur eine insgesamt höhere Verfügbarkeit als firmeninterne Netzwerke. Dieses Plus mag sich zwar nur im Zehntelprozentbereich dokumentieren lassen; wer aber schon einmal auch nur eine Stunde pro Monat auf geschäftskritische E-Mail-Kontakte verzichten musste, weiß, dass schon solch kurze Zeiträume mindestens ärgerlich, wenn nicht geschäftsschädigend sind.
So ist es kein Wunder, dass auch die Analysten Hosting-Modellen ein rasantes Wachstum vorhersagen. Laut IDC etwa soll der weltweite Markt für Hosted-E-Mail-Security bis zum Jahr 2012 um satte 32 Prozent wachsen.
Standardisierung vor Auslagerung diskutieren
Aber Managed E-Mail-Services taugen trotzdem nicht für jedes Unternehmen zu jeder Zeit. So weist zum Beispiel der Experton-Analyst Steve Janata im Gespräch mit CIO.de darauf hin, dass es wenig Sinn mache, eine bestehende E-Mail-Infrastruktur eins zu eins an einen Dienstleister zu übergeben. Normalerweise gebe es in jedem Unternehmen eine über mehrere Jahre gewachsene Struktur, die neben den Kernbereichen auch zahlreiche Befind- und Bequemlichkeiten bediene. Da sei vor einer sinnvollen Auslagerung zunächst einmal eine Diskussion um eine Standardisierung angesagt, denn Managed E-Mail-Services machten nur in standardisierten Umgebungen einen Sinn, in der nicht alle Spezialwünsche der Mitarbeiter berücksichtigt werden können. Gerade die Standardisierung sei ein wichtiger Grund dafür, dass die Kosten durch die Auslagerung sinken könnten.
Zudem wäre ein Unternehmen, das gerade ein (neues) Mail-System aufgesetzt hat, schlecht beraten, nun direkt Mail-Services in die Cloud auszulagern. Das sei erst dann sinnvoll, so Janata, wenn man zum Beispiel auf ein neues Serverbetriebssystem migrieren möchte oder wenn neue Software-Lizenzen infolge von Updates anfallen. "Solche Migrationen ziehen immer größere Investitionen nach sich. Daher ist das der richtige Punkt, um über Auslagerungen nachzudenken."
Schwierig seien aber konkrete ROI-Rechnungen, da es vor der Auslagerung in der Regel keine standardisierten Umgebungen gibt, die eins zu eins mit der Infrastruktur beim Dienstleister verglichen werden könnten. Zudem gebe es keine pauschalen Größen für Mailboxen und Ablagespeicher, die für einen Vergleich herangezogen werden könnten.
Dennoch ist Janata mit seinen Analystenkollegen einig: Das Auslagern von Mail-Services bietet auch rechnerisch nur Vorteile: So sei zum Beispiel die Qualität der Spam-Abwehr der spezialisierten Dienstleister durchweg besser als im internen Netz. Zudem sei auch die Downtime, also die Ausfallzeit der Mailserver, deutlich geringer - gerade in Zeiten der geschäftskritischen Bedeutung performanter E-Mail-Systeme ein wichtiger Aspekt. So garantieren Service-Dienstleister mittlerweile eine Verfügbarkeit von 99,9 Prozent auch per SLA, wodurch das einer Mindestangabe gleich kommt - ein Wert, den Firmennetze in aller Regel nicht erreichen.
Zudem gebe es mit ausgelagerten Systemen keine Probleme beim Skalieren - in beide Richtungen. Man muss keine zusätzlichen Lizenzen oder Speicherressourcen kaufen und beim Ausscheiden einzelner Mitarbeiter gibt es keine Lizenzgräber im Unternehmen.
Cloud mindestens so sicher wie Firmennetze
Bleibt die Frage nach der Sicherheit. Hier gibt es traditionell die größten Bedenken gegenüber der Auslagerung einzelner Services in die Cloud. Steve Janata plädiert für eine realistische Haltung. "Einen 100-prozentigen Schutz gibt es nicht, weder beim externen Provider noch im eigenen Netz. Aber es gibt keine zusätzliche Gefahr durch die Auslagerung zum Dienstleister." Mailsysteme seien so voneinander getrennt, dass niemand unbefugt mitlesen könne, was an geschäftskritischen E-Mails an die eigene Firmenadresse gehe. So garantiert zum Beispiel die Telekom, dass es bei ihren Managed E-Mail-Services "keine mit anderen Kunden gemeinsam genutzte Umgebung" gebe. Zudem gebe es automatisierte Back-ups mit 30 Tagen Vorhaltezeit und - je nach Vertrag - auch die revisionssichere Archivierung von E-Mails. "Die Cloud ist sicher", lautet angesichts dieser Funktionen das Resümee des Experton-Experten.