Managed Security Services
Outsourcing für Outsourcer
Service-Provider stehen mitunter vor dem Problem, nicht alle Sicherheitsdienste abdecken zu können. Denn ihnen kann das erforderliche interdisziplinäre Wissen fehlen, um die komplette Landschaft zu überblicken und Tools zuverlässig aufeinander abgestimmt einzusetzen. Einen Ausweg aus dieser Situation bietet ein Outsourcing für Outsourcer: Ein Spezialanbieter stellt dem Service-Provider sein Know-how zur Verfügung und schließt dessen Lücken im Portfolio.
Managed Security Services (MSS) reichen von Security-Assessment-Services (Bewertung des
Sicherheitszustands) und Penetration Testing bis zu Vulnerability-Assessment-Diensten und Intrusion
Detection/Prevention. Für Service-Provider, die kein komplettes Portfolio anbieten können,
empfiehlt es sich, einzelne Dienstleistungen an einen Spezialisten auszulagern und so von dessen
Expertise zu profitieren. Idealerweise ist dieser auf dem Stand der Technik und verfügt durch die
Konzentration auf diesen Kernbereich über weitreichende praktische Erfahrungen mit einer Vielzahl
von Infrastrukturlösungen bei Endkunden. Außerdem muss er das notwendige Equipment und die Manpower
aufweisen, um eine Überwachung des Kundennetzwerks rund um die Uhr zu gewährleisten.
Problem Bestandsvielfalt
Die IT-Infrastruktur des Endkunden beeinflusst die Kooperation von Service-Provider und
MSS-Outsourcer maßgeblich. Die meisten Unternehmen verfügen über keine einheitlichen
Sicherheitsrichtlinien, und auch das Asset-Management stellt oft aufgrund von Unübersichtlichkeit
ein Problem dar. Zudem kommt in Unternehmen eine breite Palette von Sicherheits-Appliances und
-lösungen zum Einsatz, die in der Regel mit eigenen Verwaltungs-Interfaces arbeiten, in
unterschiedlichen Versionen zur Verfügung stehen und keine gemeinsamen Standards für den Austausch
von Logging-Informationen und die direkte Zusammenarbeit vorweisen.
Neben diesen unternehmensinternen Schwierigkeiten stellt auch der Charakter moderner
Security-Attacken eine Herausforderung dar. Denn Angriffe treten oft in Form einzelner Events auf.
Isoliert arbeitende Geräte mit begrenztem "Sehfeld" können diese in ihrer Gesamtheit nicht
wahrnehmen. Daher ist es unumgänglich, eine Infrastruktur aufzubauen, in der zentral positionierte
Systeme die Informationen unterschiedlichster Lösungen auslesen, korrelieren, verdichten und somit
potenzielle Attacken erkennen und Alarme generieren beziehungsweise mit Gegenmaßnahmen
reagieren.
Policy-Definition
Einen wesentlichen Beitrag zum Gelingen eines Security-Outsourcing-Projekts leistet die Arbeit
im Vorfeld. Das Projekt muss gut durchdacht und geplant, Rahmenbedingungen müssen klar definiert
sein. Es empfiehlt sich unbedingt, die Ziele vor Projektstart in Policies (Richtlinien)
niederzulegen. In der Praxis hat es sich vielfach bewährt, diese Aufgabe trotz Outsourcings der
restlichen Security-Bereiche hausintern zu belassen. Auf diese Weise lässt sich am einfachsten
garantieren, dass die Security-Policy stets den Unternehmenszielen entspricht. Während
Service-Provider und MSS-Outsourcer das tägliche Geschäft – also das Arbeiten mit der
Sicherheitsinfrastruktur, das Überwachen des Netzes und das Abwenden von Angriffen – übernehmen,
fungiert eine unternehmensinterne Kontaktperson als Vermittler zwischen den Parteien. Denn sie
erfährt die Bedürfnisse der Unternehmensmitarbeiter am schnellsten und kann die Outsourcer über
etwaige Neuanschaffungen, Modifikationen oder auch geänderte Passwörter informieren.
Verantwortungsbereiche abstecken
Des Weiteren ist es unerlässlich, alle Aufgaben- und Verantwortungsbereiche sowie sämtliche
Parameter des Security-Managements für alle Beteiligten eindeutig und detailliert zu definieren.
Eine Zusammenarbeit funktioniert nur reibungslos, wenn alle Zuständigkeiten klar geregelt und SLAs
(Service-Level-Agreements) genau festgelegt sind. Dies gilt selbstverständlich im gleichen Maße für
die Aufgabentrennung zwischen dem Endkunden und dem Service-Provider wie für dessen Zusammenarbeit
mit dem Outsourcer.
Die Praxis zeigt, dass eine gut funktionierende Kommunikation das A und O bei der Zusammenarbeit
ist. Damit die enge und intensive Kooperation auf Dauer gewährleistet ist, muss die Chemie zwischen
den Parteien stimmen. Erfahrene Service-Provider achten daher bei der Wahl des Outsourcing-Partners
nicht nur auf dessen technisches Know-how oder seine etablierte Marktposition, sondern beziehen
Faktoren wie Vertrauen, Zuverlässigkeit oder kulturelle Übereinstimmung in ihre Überlegungen mit
ein.
Zusammenarbeit in der Praxis
Die wichtigste Grundlage für ein wirkungsvolles Security-Outsourcing ist die genaue Kenntnis des
Netzwerks beim Endkunden. Idealerweise erhalten sowohl der Service-Provider als auch der
MSS-Outsourcer ausreichend Zeit, um sich mit den Begebenheiten vor Ort vertraut zu machen. In der
Praxis trifft man auf eine Vielzahl unterschiedlicher Strukturen, die über viele Jahre hinweg
gewachsen sind. Daher kann das detaillierte Erfassen aller Netzwerk-Features mehrere Wochen
beanspruchen. Alle Informationen werden in einer ausführlichen Dokumentation zusammengefasst und
stets aktualisiert. Dies stellt sicher, dass nicht nur der Mitarbeiter, der das Netzwerk beim
Kunden aufgenommen hat, im Bilde ist; vielmehr muss das komplette Team – also Mitarbeiter des
Service-Providers und des Outsourcers – bei einem Angriff die richtigen Entscheidungen treffen und
geeignete Maßnahmen ergreifen können. Gerade hier macht sich gute Kommunikation bezahlt. Je genauer
der Endkunde das Security-Team informiert, desto besser kann dieses reagieren.
Damit der praktische Betrieb optimal abläuft, sollten sich der Service-Provider und sein
MSS-Outsourcer auf den Einsatz einer gemeinsamen Hardware einigen und direkte Interfaces zwischen
ihren Infrastrukturen schaffen. Besonders wenn der Service-Provider nicht den gesamten
Security-Bereich, sondern nur Teilbereiche auslagert, ist es wichtig, dass der MSS-Outsourcer die
gleichen Systeme einsetzt. Nur so lassen sich die Aufgaben transparent hin und her verschieben.
Auch hier ist eine klare Trennung der Kompetenzen und Zuständigkeiten unabdingbar. Wurde
beispielsweise die Vereinbarung getroffen, dass der Outsourcer lediglich die Netzwerküberwachung
übernimmt, sollte er auch nur die dafür nötigen Informationen erhalten. Irrelevante Alerts, die
beispielsweise die Kapazität betreffen, sollten ausgefiltert werden. Unter Umständen empfiehlt es
sich sogar, die komplette Sicherheitsmanagementplattform beim Outsourcer einzurichten, auch wenn
der Service-Provider diese während der Arbeitszeit selbst nutzt.
Prompte Reaktionen sicherstellen
Zu den kritischen Fragen beim Outsourcing der Security zählt die Reaktionsgeschwindigkeit:
Unternehmen haben die verständliche Sorge, dass ein Auslagern dieses Bereichs zu Zeitverlusten
führt und so auf Kosten ihrer Netzwerksicherheit geht. Diese Gefahr besteht jedoch nur in extrem
seltenen Fällen. Denn die von den Überwachungsgeräten ermittelten Log- files, die in einer größeren
IT-Umgebung täglich in der Größe mehrerer GByte anfallen, analysiert sowieso nicht der
Security-Verantwortliche direkt. Diese Aufgabe übernehmen vielmehr Korrelationswerkzeuge, die
Informationen der verschiedenen Tools auswerten und bei einem tatsächlichen Angriff automatisch
warnen. Da diese Systeme ihre Alerts in der Regel per E-Mail oder SMS an den Verantwortlichen
versenden, kommt es hier nicht zu Zeitverlusten. Verzögerungen sind nur möglich, wenn der Kunde
selbst einen Angriff entdeckt und den MSS-Provider telefonisch darüber in Kenntnis setzen muss. Mit
der Beschränkung der Prozessketten auf ein vertretbares Maß lassen sich in solchen Fällen jedoch
unnötige Verzögerungen vermeiden.
Fazit
Insgesamt zeigt sich, dass – eine gute Zusammenarbeit zwischen Service-Provider und
MSS-Outsourcer vorausgesetzt – der Endanwender durch das Konzept Outsourcing für Outsourcer
durchaus profitiert.
Neben Referenzen bieten Zertifizierungen eine wichtige Orientierungshilfe bei der Auswahl des geeigneten Security-Outsourcers. Diese können wie die Norm ISO 27.001 das komplette Unternehmen betreffen oder sich wie CISSP (Certified Information Systems Security Professional) auf einzelne Mitarbeiter beziehen. Einen Einblick in die Security-Szene liefern zudem Organisationen wie CERT, die über sicherheitsrelevante Themen informieren, vor Sicherheitslücken warnen und diejenigen Unternehmen nennen, die erfolgreich eine Sicherheitslücke geschlossen haben.
Eine klare Arbeitsverteilung zwischen den drei Parteien lässt sich erzielen, wenn das Unternehmen die Hoheit über die Security Policies behält, der Service-Provider sich auf die Kundenbeziehung – also den Kontakt und das Reporting – konzentriert und der Security-Outsourcer für den kompletten operationellen Bereich und das Incident Handling verantwortlich ist. Bei einem solchen Back-to-back-Agreement stellt der Security-Outsourcer die Einhaltung der SLAs direkt beim Endkunden sicher.
In diesem Beispiel läuft die Eskalationskette bei allen drei Parteien parallel ab. Sie beginnt auf der Ebene des einfachen Security-Mitarbeiters, der während der 24/7- Überwachung des Systems einen Angriff der Incident-Stufe 1 entdeckt und diesen dem Abteilungsleiter meldet. Lässt sich das Problem zum Beispiel nicht innerhalb von zwei Stunden lösen, wird als nächsthöhere Instanz der Technische Leiter hinzugezogen. Besteht die Gefahr nach weiteren vier Stunden immer noch, wird der CIO und schließlich, acht Stunden später, auch der CEO eingeschaltet.
Lesen Sie mehr zum Thema
