Acht Grundregeln für Sicherheit beim Managed Hosting

Der Trend ist klar: In Krisenzeiten wollen Unternehmen mehr IT-Aufgaben auslagern. Doch Kosteneinsparungen sind nicht alles. Erfolgreiche Projekte zeichnen sich dadurch aus, dass Auftraggeber und Managed-Hosting-Provider Grundregeln zur IT-Sicherheit einhalten.

NTT Europe Online gibt Sicherheitstipps

In der aktuellen Wirtschaftslage stehen die Unternehmen immer öfter vor der Frage, ob alle
IT-Aufgaben intern erledigt werden müssen oder ob es nicht effektiver ist, bestimmte Funktionen an
einen Managed-Hosting-Provider auszulagern – etwa den Betrieb des E-Mail-Systems, einer CRM-Lösung
oder ausgewählter betriebswirtschaftlicher Standardanwendungen. Eine gewichtiges Argument: Statt
selbst beträchtliche Investitionen in den Aufbau einer neuen Applikation tätigen zu müssen, können
Unternehmen mit den Angeboten eines Managed-Hosting-Providers sofort produktiv arbeiten – und dies
zu transparenten monatlichen Kosten.

Gab es vor Jahren noch Bedenken von Unternehmen hinsichtlich Verfügbarkeit und Performance einer
Outsourcing-Lösung, sind diese mittlerweile ausgeräumt. Über Sicherheitsfragen wird dagegen immer
wieder diskutiert. „Richtig ist, dass die Anforderungen an die IT-Sicherheit ständig steigen. Daher
muss sich jedes Unternehmen fragen, ob der dafür notwendige Aufwand mit dem engen IT-Budget und dem
vorhandenen Personalbestand bewältigt werden kann“, sagt Oliver Harmel, Sales und Marketing
Direktor Central Europe bei NTT Europe Online in Frankfurt/Main. „Wer klar strukturierte
Sicherheitsprozesse implementiert, erreicht bei der Auslagerung von Applikationen ein höheres Maß
an Security, als dies mit internen Mitteln möglich ist.“

Die acht wichtigsten Grundregeln auf einen Blick:

1. Schlüssiger IT-Sicherheitsplan von A bis Z. Sowohl der Auftraggeber als auch der
Managed-Hosting-Provider müssen für ihre jeweiligen Bereiche ein IT-Sicherheitskonzept formulieren
und umsetzen. Bei dem Unternehmen, das IT-Aufgaben auslagert, muss es klare Sicherheitsvorschriften
dafür geben, wer intern welche Daten lesen, sie ändern und nach außen verschicken darf. Komplett
wird IT-Security erst durch einen Plan, der die Konzepte von Auftraggeber und
Managed-Hosting-Provider zusammenführt.

2. Lückenlose Sicherheit in der Prozesskette. Die gesamte Prozesskette des Datenaustausches vom
Kunden bis zum Managed-Hosting-Provider muss klar strukturiert und perfekt organisiert sein, weil
auch kleinste Schwachstellen in den komplexen Abläufen zum GAU führen können.

3. Verschlüsselung der Daten. Auf technischer Ebene müssen die Daten auf dem gesamten Weg
verschlüsselt sein. Nur der Absender beim Auftraggeber und der berechtigte Empfänger (der Kunde
oder Lieferant des Unternehmens) dürfen Daten im Klartext zu Gesicht bekommen.

4. Sicherheit der Prozessorganisation. Es muss sichergestellt sein, dass auch mit den
verschlüsselten Daten nur autorisiertes Personal in Kontakt kommt – unabhängig davon, auf welchem
Wege der Datentransport erfolgt. Auch innerhalb des Rechenzentrums und auf den Servern des
Managed-Hosting-Providers müssen die Daten immer verschlüsselt sein.

5. Zugriffsrechte auf Daten und Systeme. Der Auftraggeber muss festlegen, welche Zugriffsrechte
auf die Daten er einem Managed-Hosting-Provider einräumt. Dazu gehört beispielsweise, dass die
Mitarbeiter im Rechenzentrum des Managed-Hosting-Providers die Daten auf keinen Fall unbefugt an
Dritte weiterleiten können. Um dies zu verhindern, muss der Managed-Hosting-Provider entsprechende
Sicherheitsmaßnahmen implementieren.

6. Physische Datensicherheit. Der Managed-Hosting-Provider ist für die physische Sicherheit der
Daten seiner Kunden im Rechenzentrum verantwortlich. Er muss leistungsstarke Security- und
Versorgungssysteme aufbauen, um die Daten der Kunden gegen physische Einflüsse wie Feuer oder
Wasser zu schützen. Erforderlich sind neben einer regelmäßigen Datensicherung auch strenge
Zugangskontrollen und diverse Alarmeinrichtungen.

7. Sicherheitszertifikate. Der Managed-Hosting-Provider muss für alle Sicherheitsanforderungen
qualifiziert sein und diese auch mit einem Zertifikat wie ISO 27001 für
Informationssicherheitsmanagement nachweisen (www.ntteuropeonline.de/iso_27001.html).
Werden gar vertrauliche Kreditkartendaten verarbeitet, wird auch die Unterstützung des
Payment-Card-Industry-(PCI-)Sicherheitsstandards zunehmend wichtiger. PCI ist für alle
Handelsunternehmen und Dienstleister relevant, die Kreditkartentransaktionen übermitteln, abwickeln
und speichern. Was Sicherheitszertifikate angeht, muss der Managed-Hosting-Provider ein
überprüfbares Qualitäts- und Sicherheitsmanagement eingeführt haben und sich jährlich
rezertifizieren lassen.

8. Kontinuierliche Überprüfung der Security-Maßnahmen. Die Erstellung von
IT-Sicherheitsanforderungen ist ein iterativer Prozess, dessen Wirksamkeit in regelmäßigen
Abständen – mindestens ein bis zwei Mal pro Jahr – überprüft werden muss. Strukturierte Prozesse,
klare Verantwortlichkeiten und die Fähigkeit, sich rasch an neue Sicherheitsanforderungen anpassen
zu können, sind für Managed-Hosting-Provider ein absolutes Muss.

Mehr zum Thema finden Sie auch in der Dezemberausgabe der LANline, die am 14.12. erscheint.

LANline/jos

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice