Risiken beim IT-Outtasking
Hoheit über die Absicherung behalten
Die Kostenoptimierung spielt bei der strategischen Betrachtung einer ITK-Landschaft eine ebenso große Rolle wie das Sicherstellen von Verfügbarkeiten und Leistungsniveaus. Im Eigenbetrieb ist die Balance dieser Parameter jedoch häufig nicht ohne Weiteres möglich. Die Lösung suchen viele IT-Verantwortliche in der Vergabe einzelner Teilbereiche an externe Dienstleister. Doch wenn es um die IT-Sicherheit geht, ergeben sich häufig Defizite.
Outtasking-Modelle wie Managed Services oder sogar Cloud-Services ermöglichen es, Skaleneffekte
und Kostenvorteile zu nutzen. Doch sie setzen die Nutzung des Internets voraus – und genau dieser
Umstand birgt Sicherheitsrisiken. Unabhängig davon, für welches Outtasking-Modell sich ein
Unternehmen entscheidet, sollte es deshalb die Sicherheitsaspekte genau unter die Lupe nehmen.
Gerade der Betrieb kritischer Unternehmensdienste erfordert einen hohen Aufwand durch die
zwangsläufig hinzukommenden Security-Aspekte. Viele Unternehmen vertrauen bei ausgelagerten
Diensten oder gar bei einer Kopplung von Unternehmensnetzen auf die Sicherheit des Partners, ohne
die zu berücksichtigenden Risiken zu betrachten. Aus diesem Grund sollten entsprechende
Security-Level auch beim Anbieter implementiert sein.
Obwohl IT-Security in vielen Bereichen mit dem Thema Vertrauen gegenüber Mitarbeitern, Partnern
und Dritten gekoppelt ist, muss hier besondere Wachsamkeit herrschen. Daher ist die Hoheit über die
eigene IT-Sicherheit am besten im eigenen Unternehmen aufgehoben.
Generell sind Security-Aspekte immer in zwei Felder zu teilen, die technischen Dienste und die
personellen Aspekte. Um ein ganzheitliches Security-Konzept zu schaffen, darf keines dieser beiden
Felder unberücksichtigt bleiben. Vor dem Festlegen der technischen Aspekte gibt es einige
Grundüberlegungen, um zu einer angemessenen Realisierung eines Outtasking-Szenarios zu gelangen. Im
ersten Schritt, sollten IT-Verantwortliche und Datenschutzbeauftragte überlegen, welches
Sicherheitslevel sie dem Dienstleister zugestehen. Im Normalfall liegt es unterhalb des internen
Levels, aber deutlich höher als bei extern verfügbaren Diensten oder gar dem Internet. Teil dieses
Verfahrens ist eine klare Abgrenzung, auf welche Systeme oder Daten ein Dienstleister zugreifen
muss und über welche Zugriffsart er dies tut. Je wichtiger, zeitkritischer oder sensibler die Daten
sind, auf die der Dienstleister Zugriff erlangt, desto höher sollte der Aufwand für eine klare
Regelung der Zugriffe bemessen sein. Hierzu gehört auch eine Abstimmung, welches Personal des
Dienstleiters Zugriffsrechte erhält und wie oft dieser Ist-Stand neu zu prüfen ist. Schließlich
sollte der Auftragnehmer erfahren, wenn sich die personelle Besetzung seines Dienstleiters ändert
und ein Mitarbeiter, der Zugriff auf sensible Daten hatte, gar nicht mehr für den Dienstleiter
tätig ist.
Zusätzlicher Schutz für das VPN
Diese Überlegungen führen zu einer Auswahl technischer oder organisatorischer
Sicherheitsmaßnahmen, zum Beispiel wenn es um Standortvernetzungen via MPLS-VPN (Multiprotocol
Label Switching) als Managed Service geht: MPLS bietet zwar eine komplett vom Internet getrennte
Kommunikation, doch wie sicher das Netz insgesamt ist, hängt letztlich vom Provider ab. Wer hier
eine noch höhere Sicherheit benötigt, kann sein MPLS-VPN mit einem darüber gelegten dynamischen
IPSec-VPN mittels Dynamic-Multipoint-VPN oder GET-VPN (Group Encrypted Transport) schützen.
Auch eine DMZ-Architektur (Demilitarisierte Zone) bietet eine beliebte Methode, um sich vor
ungewollten Zugriffen zu verwahren, die durch die Netzkopplung entstehen: Die Kopplung terminiert
in diesem Fall in einer DMZ der eigenen Firewall, sodass die Datenströme gesondert mit eigenen
Regeln zu überwachen oder zu terminieren sind.
Einen höheren Komplexitätsgrad erreicht diese Thematik, wenn der Dienstleister im Zuge der
Cloud-Computing-Variante SaaS (Software as a Service) die komplette Applikation via Internet
bereitstellt. In den seltensten Fällen greift der Anwender in einem solchen Szenario direkt und
ohne öffentliche Netze auf die Applikation zu. Im übertragenen Sinne gilt auch hier wieder der
gleiche Grundsatz: Die Datenströme für die Verbindung sollten nicht direkt im eigenen Netz
terminieren, sondern nur mit zwischengeschalteter Sicherheitslösung, die auf Applikationsebene den
Datenstrom überwacht. Sobald die Datenübertragung über unsichere Netze stattfindet, ist der Einsatz
von Verschlüsselungstechnik wie SSL oder IPSec sinnvoll. Moderne Firewalls erlauben hier eine
Dienstterminierung, um so den Datenstrom im Detail zu überprüfen.
Dabei kann selbst eine Verschlüsselung Risiken beinhalten: Zwar sind Angreifer nicht in der
Lage, die verschlüsselten Daten mitzulesen. Wurde jedoch der Datenstrom kompromittiert – zum
Beispiel durch Malware-Befall auf der Dienstleisterseite – fließt er ungeprüft direkt in das eigene
Netz. Die Kompromittierung eines Partnernetzes bedeutet für einen Angreifer unter Umständen
gleichzeitig einen idealen Einstiegspunkt in das Kundennetz. Gerade bei Netzkopplungen sollten sich
IT-Verantwortliche deshalb immer bewusst sein, dass einer der beiden Partner möglicherweise über
ein geringeres Sicherheitsniveau verfügt.
Natürlich brauchen Unternehmen all diese Maßnahmen nicht in Eigenregie zu implementieren. Damit
wären die eigentlichen Vorteile des Outtaskings wieder aufgehoben. Vielmehr sollte das finale
technische Setup im Vorfeld mit dem Dienstleister abgestimmt sein. Zertifikate oder notwendige
Passwörter bleiben dann in der eigenen Hand, sodass Dritte keinen Zugriff darauf erhalten.
Prozeduren bei Sicherheitsvorfällen oder festgestellten Schwachstellen lassen sich in separaten
Vereinbarungen regeln. Gerade im Hinblick auf die Verfügbarkeit von Daten gehören dazu auch ein
klar abgestimmter Change-Management-Prozess sowie ein umfassendes Reporting.
Ein weiteres Themenfeld, das im Vorfeld genauer Regelungen bedarf, ist das der Schnittstellen.
Wie lassen sich mögliche Schnittstellenprobleme im Vorfeld am besten vermeiden? Eine generelle
Regel zu finden ist hier sehr schwer. Beide Partner sollten bereits vor Vertragsabschluss konkrete
Sicherheitsszenarien durchspielen.
Die wirklichen Qualitäten eines Providers einzuschätzen fällt nicht immer leicht. Da aus
verständlichen Gründen nicht jeder Dienstleister einen detaillierten Einblick in seine
Sicherheitsprozesse erlaubt, helfen offizielle Zertifikate wie ISO 27001. Auch hier lohnt sich ein
zweiter Blick, denn wichtig ist der zertifizierte Bereich.
Lesen Sie mehr zum Thema
