Managed-Security-Service-Provider
Besser auf der sicheren Seite
Wer in einem Unternehmen für die IT-Sicherheit verantwortlich ist, braucht heute tagesaktuelle Kenntnisse über ein sich ständig erweiterndes Spektrum an Bedrohungen, zudem umfassendes Know-how über komplexe Sicherheitsstrategien und nicht zuletzt eine Menge Manpower. Für Unternehmen wird es immer schwieriger, diesen Job wirtschaftlich sinnvoll zu bewältigen. Ein Outsourcing des Sicherheitsmanagements an einen kompetenten Dienstleister bietet sich förmlich an. Blind vertrauen muss dabei niemand.
Security gibt es von zahlreichen Anbietern als "Fertigpaket". Darüber hinaus offerieren TK- und
IT-Service-Provider sowie Systemintegratoren individuelle Security-Einrichtung und Management im
Rahmen meist umfangreicher IT-Projekte. Die Fertigpakete bieten sich als besonders wirtschaftliche
Lösung an, wenn es um ein klar umrissenes Anforderungsprofil mit exakt benennbaren
Security-Aufgaben geht. Der negative Beigeschmack, den manche aus der Assoziation mit "Fertigsuppe"
oder "Anzug von der Stange" gewinnen, kommt bei den dedizierten Managed-Security-Service-Providern
(MSSPs) zu unrecht auf, denn hier geht es weder um geschmäcklerische Feinheiten oder den
persönlichen Lifestyle, sondern um sehr nüchterne, technische und strategische Sachverhalte. Zudem
sagt "Fertigpaket" lediglich etwas darüber aus, welche Funktionen abgedeckt sind, nicht aber, wie
das im Unternehmen konkret realisiert wird.
Individuelle Anforderungen ermitteln
Bei der Umsetzung wird ein professioneller Dienstleister zunächst immer gründlich die
individuellen Anforderungen vor Ort eruieren, um seine "Fertigpakete" daraufhin maßzuschneidern. Zu
den wichtigsten Anbietern zählen Dienstleister wie zum Beispiel Blackspider, Cybertrust,
Integralis, Messagelabs, Scansafe und Verisign. Immer mehr mischen auch Anbieter von Security-Tools
mit, darunter ISS (jetzt unter IBM-Flagge), McAfee oder Symantec. Auch die deutschen
Security-Softwarehersteller wie Avira gehen verstärkt in Richtung Service. Im weiten Feld der
projektbezogenen Dienstleiter geht es meist um IT-Gesamtkonzepte, in welchen die Security lediglich
ein Baustein unter vielen ist. Wenngleich es in diesem Beitrag um die dedizierten
Security-Service-Provider geht, gelten viele Auswahlkriterien auch für andere IT-Dienstleister.
Dies betrifft auch schon die Vorbereitungen. Obwohl "Security" lediglich ein Teilaspekt der
IT-Installation ist, empfiehlt sich grundsätzlich die gleiche Vorgehensweise wie bei umfassenden
IT-Projekten. Das Fraunhofer-Institut für Arbeitswirtschaft und Organisation beispielsweise legt in
seiner gemeinsam mit Siemens herausgegebenen Broschüre "Servicequalität für höchste Ansprüche –
Optimierung von IT und TK durch Managed-Services" einen Prozess aus den fünf Schritten Definition
der Zielsetzungen, Analyse der Anforderungen, Auswahl geeigneter Anbieter, Implementierung und
Betrieb nahe.
Wichtig: Ziele klar und unmissverständlich definieren
Das Projekt sollte demnach mit einer klaren Definition der Zielsetzungen beginnen. Insbesondere
die Geschäftsführung sollte hier unmissverständlich ihre Erwartungen verdeutlichen. Ein weiterer
Schwerpunkt der ersten Projektphase ist die Identifizierung geeigneter Managed-Services. Dies kann
beispielsweise mithilfe einer Checkliste und einer damit verbundenen Potenzialabschätzung
geschehen. Die endgültige Entscheidung über die auszulagernden Services sollte erst nach einer
eingehenden Analyse der Anforderungen erfolgen. Fraunhofer empfiehlt hier die möglichst
detaillierte Ermittlung der technischen, organisatorischen und personellen Anforderungen, aus
welchen sich direkt die konkreten Zielvorgaben für den Managed-Services-Anbieter ableiten
lassen.
Zur Unterstützung ist bei diesem Vorhaben ein externer Berater oder bereits ein potenzieller
Managed-Services-Anbieter nicht fehlplatziert.
Entscheidend: Prozess- und Technologiekompetenz
Als generelle Kriterien für die Auswahl geeigneter Anbieter identifiziert Fraunhofer an erster
Stelle die Prozess- und Technologiekompetenz, die Erfahrung des Anbieters (die er durch
einschlägige Referenzen belegen können sollte), die Marktposition und Zukunftsfähigkeit, die
internationale Präsenz, ein stimmiges Preis-Leistungs-Verhältnis und ein transparentes Angebot.
Preismodelle, die sich nach der Zahl der Anwender richten, erlauben überschaubare Einstiegskosten
und bieten genügend Flexibilität für Wachstum. Noch nicht sehr verbreitet, aber eine für viele
sicher sinnvolle Gestaltungsform sind On-Demand-Services. Sie erlauben die punktgenaue Buchung ohne
lange Verpflichtungen. Die Freiheit von langfristigen Verträgen schlägt sich jedoch gerne im Preis
nieder. Das amerikanische Unternehmen Postini beispielsweise bietet einen On-Demand-Service für den
Bereich E-Mail-Archivierung, Spam-Filterung und Verschlüsselung an.
Aber auch übereinstimmende oder zumindest vergleichbare Unternehmensphilosophien sowie
persönliche Beziehungen und gegenseitiges Vertrauen sind für Fraunhofer zunehmend entscheidende
Punkte. Die Auswahl eines geeigneten Anbieters endet schließlich mit dem Abschluss eines Vertrags
mit detaillierten Service-Level-Agreements (SLAs). Diese regeln rechtsverbindlich, welchen Service
der Dienstleister bei welchem Vorfall liefern muss. Eine wichtige Voraussetzung dafür sind klar
definierte Portfolios und Serviceprozesse nach anerkannten Standards – beispielsweise gemäß der IT
Infrastructure Library (ITIL).
Portfolio eines Managed Security Service Providers
Das Portfolio eines dedizierten MSSPs besteht in der Regel aus Komponenten wie
Firewall-Management, Spam- und Virenabwehr sowie Intrusion Prevention. Noch relativ jung, aber für
viele Unternehmen wichtig sind Disziplinen wie Personal Security und Unified Threat Management. Bei
der Auswahl ist Weitblick gefragt. Und vor allem gilt es abzuklopfen, welche Leistungen der
Anbieter nach der Einrichtung zu erbringen vermag.
Durchgängiges Monitoring
Kontinuierliches Monitoring einer Security-Lösung zum Beispiel – das bedeutet jeden Tag rund um
die Uhr – ist nach der Installation eine der wichtigsten Aufgaben des Providers. Genau diese
ununterbrochene Überwachung ist etwas, bei dem sich besonders kleinere und mittelständische
Unternehmen selbst schwer tun.
Entscheidend ist hier eine möglichst differenzierte Überwachung bis in jede einzelne Komponente.
Allerdings darf auch die Betrachtung des Netzwerks als Ganzes nicht fehlen. Für jedes im laufenden
Betrieb mögliche Störereignis sollte mit dem Dienstleister vereinbart werden, wer wann welche
Tätigkeit durchzuführen hat.
Aktueller Stand durch Skaleneffekte leichter zu sichern
Jede Sicherheitslösung muss ständig auf dem neuesten Stand sein. Auch hier tun sich
spezialisierte Dienstleister aufgrund der Skaleneffekte leichter als einzelne Unternehmen, die
damit verbundene Investitionen nur auf sich selbst umlegen können. Mitarbeiterwechsel und damit
Änderungen von Zugriffsrechten erfordern eine konstante Anpassung der Systemkonfiguration. Ein
entprechender Informationsfluss muss mit dem Provider definiert sein. Produkt-Updates und Patches
sind ebenfalls immer sofort in das Sicherheitssystem einzuspielen. "Viele Unternehmen haben falsche
Vorstellungen von der Verbreitungsgeschwindigkeit gefährlicher ausführbarer Dateien", warnt
beispielsweise Gernot Hacker, Senior Security Consultant bei Avira. "Oftmals vergehen gerade einmal
sechs Tage zwischen dem Erkennen einer Sicherheitslücke und den ersten Attacken durch Viren,
Trojaner, Würmer oder ähnlichen Schädlingen." Ein Security-Provider sollte mit dieser Anforderung
keine Probleme haben.
Auswertung von Logfiles
Eine wichtige Quelle zur Identifikation sich entwickelnder Gefahrenpotenziale sind die Logfiles
in einem Netzwerk. Fast jede Komponente – besonders die aus dem Security-Bereich – protokollieren
laufend alle Ereignisse, die sie betreffen. Oft entsteht dabei eine schier unüberschaubare
Datenflut. Deren Analyse überfordert die Administratoren vieler Unternehmen. Ein Provider sollte
über moderne Werkzeuge verfügen, die dabei helfen, aus dem Datenwust sinnvoll verwertbare
Informationen zu extrahieren. Noch entscheidender ist, dass er die Logs verschiedener Komponenten
in Relation setzen kann, denn nur so lässt sich das Gefahrenpotenzial für das Netz fundiert
einschätzen. Auch hierfür gibt es Software-Tools, aber Anschaffung und vor allem Einarbeitung lohnt
oft nicht für ein einzelnes Unternehmen.
Um seine Dienste einer großen Zahl von Kunden anbieten zu können, betreibt ein MSSP in der Regel
auf Sicherheit spezialisierte Managementzentralen, oft als Security Operations Center (SOC)
bezeichnet. Deren Zahl, geografische Verteilung und nicht zuletzt Ausstattung geben gute Hinweise
auf die zu erwartende Servicequalität des externen Security-Partners.
Kritische Auswahlpunkte für die MSSP-Selektion
Ein guter MSSP sollte in der Lage sein, Angriffe nicht nur abzuwehren, sondern sie bereits
präventiv zu verhindern. Dabei sollte er auf laufend global ermittelte Kenntnisse zurückgreifen
können, um bei Aufkommen einer neuen Bedrohung in irgendeinem Teil der Welt sofort überall
entsprechende Abwehrmaßnahmen einzuleiten.
Die zweite große Herausforderung für die Security in Unternehmensnetzen ist die Konvergenz von
Sprach- und Datennetzen. Gerade der Einsatz von VoIP-Technik (Voice over IP) veranlasst bis dato
viele Netzwerkadministratoren, bei der Sicherheit zugunsten einer ungehinderten VoIP-Kommunikation
Kompromisse einzugehen. Ein MSSP sollte es besser wissen und dies auch belegen können.
Königsdisziplin Compliance
Für manche eine Art Königsdiziplin ist heute Compliance, also die Einhaltung von Richtlinien und
Vorschriften wie SOA (Sarbanes-Oxley Act), Basel II, Kontrag und anderen. Kritische Punkte sind
hier die Sicherung der Echtheit von elektronischen Dokumenten (digitale Signatur), die Einhaltung
der Aufbewahrungsfristen und Art der Speicherung bis hin zu gebäudetechnischen
Sicherheitsmaßnahmen. Wer Compliance anbietet, muss hier in allen Bereichen fit sein. Hinzu kommen
aber vor allem auch organisatorische Aspekte, Risikomanagement und vieles weitere Maßnahmen, die
einen erheblichen Einfluss auf die betrieblichen Strukturen und Abläufe haben. Auch hier ist auf
entsprechende Erfahrungen zu achten.
Haftung bleibt beim Kunden
Die Rolle eines Security-Dienstleisters ist hierbei allerdings limitiert, denn verantwortlich
für die Einhaltung der Richtlinien – und im Zweifelsfalle haftbar – ist immer die Geschäftsführung
des betreffenden Unternehmens. Letzteres lässt sich durch einen Compliance-kompetenten
Dienstleister abfedern, sofern dessen Wahl mit der gebotenen Sorgfaltspflicht vonstatten ging. Der
Gesetzgeber will darüber Nachweise sehen.
Derzeit sind an dieser Stelle auch die meisten Dienstleister noch sehr vorsichtig, denn die im
Grunde ja notwendige Kombination von IT- und Rechtskenntnissen ist häufig nicht "ihr Ding".
Deswegen beschränken sie sich in der Regel auf organisatorische und technische Beratung sowie
Hilfestellung bei der Erarbeitung einer unternehmensweiten Security-Policy. Dazu sind ihnen
umfangreiche Einblicke in die Kernprozesse des Unternehmens zu gewähren, denn deren Schutz steht
dabei im Mittelpunkt. Einige Dienstleister, die das Thema Compliance im Portfolio führen,
beispielsweise Computacenter, bieten auch eine Zertifizierung des Unternehmens nach den Kriterien
des British Standards BS 7799 (entspricht ISO 17799).
Lesen Sie mehr zum Thema
