Risikofaktor Outsourcing

Externe Dienstleister brauchen Kontrolle

| Redakteur: Peter Schmitz

Outsourcing von IT-Dienstleistungen spart Kosten, aber es ist wichtig, die Aktivitäten von externen Administratoren genau zu kontrollieren.
Outsourcing von IT-Dienstleistungen spart Kosten, aber es ist wichtig, die Aktivitäten von externen Administratoren genau zu kontrollieren. (Bild: Pixabay / CC0)

Unternehmen gehen dazu über, das Management von IT-Systemen und Netzwerken externen Dienstleistern zu übertragen. Outsourcing-Strategien sind zwar kostensparend, doch sie haben durchaus auch Auswirkungen auf die IT-Sicherheit und Compliance. Daher ist es wichtig, die Aktivitäten von externen Administratoren genau im Auge zu behalten.

Unternehmen übertragen in zunehmendem Maße Aufgaben aus dem IT-Bereich an Dienstleister – um Kosten zu senken. Bei diesen externen Fachkräften handelt es sich um Mitarbeiter von Herstellern und Serviceprovidern, um Softwareentwickler und Systemverwalter. Sie übernehmen Betrieb und Wartung von IT-Systemen, Netzwerken, E-Mail-Konten oder betreiben Business-Anwendungen.

Technologien wie Cloud-Computing verleihen diesem Trend einen Schub: Unternehmen speichern und verarbeiten Geschäftsdaten und personenbezogene Informationen in Cloud-Rechenzentren von externen Serviceprovidern wie Telekom, Amazon Web Services oder Microsoft. Auch das Management von Private Clouds, die Unternehmen im eigenen Rechenzentrum betreiben, wird an verstärkt Serviceprovidern outgesourct.

Dritte erhalten Zugang zu sensiblen Daten

Doch das Auslagern von Aufgaben an Dritte bringt Risiken mit sich, denn die externen IT-Spezialisten erhalten dabei Zugang zu sensiblen Informationen der Auftraggeber:

  • Datenbanken mit Kundendaten, Umsatzzahlen und möglicherweise sogar Informationen aus der Forschungs- und Entwicklungsabteilung,
  • Zugriff auf Konfigurationseinstellungen von Netzwerksystemen, Servern und Clients,
  • Zugang zu IT-Sicherheitskomponenten wie Firewalls, Intrusion-Prevention-Systemen und Monitoring-Lösungen.

In vielen Fällen haben also externe Mitarbeiter vergleichbare Berechtigungen wie interne Systemverwalter und IT-User mit erweiterten Zugriffsrechten. Dies ist durchaus auch notwendig, damit die externen Experten „ihren Job“ erledigen können.

Ergänzendes zum Thema
 
Zehn Best Practices für die Zusammenarbeit mit externen IT-Dienstleistern

Verschärft wird die Situation durch weitere Faktoren etwa der Unsitte, dass Beschäftigte von IT-Dienstleistern oft die Zugriffsdaten von Administrator-Accounts untereinander austauschen. Das macht die Arbeit zwar einfacher – wenn etwa ein Kollege in Urlaub ist. Doch es wächst auch die Gefahr des Missbrauchs, ohne dass sich ein Verantwortlicher eindeutig identifizieren ließe.

Zielgerichtete Attacken und Leichtsinn

Diese Situation ist auch Angreifern bekannt. Zielgerichtete Cyber-Angriffe auf die Benutzerkonten von externen IT-Administratoren häufen sich – wie die Berichte in einschlägigen Medien belegen.

Dazu kommt die Gefahr durch absichtliche oder fahrlässige Fehlkonfigurationen von IT-Systemen. Dieses Risiko besteht natürlich auch dann, wenn unternehmenseigene Administratoren aktiv sind. Problematisch ist allerdings, dass illoyale externe IT-Experten mit den entsprechenden Berechtigungen die Möglichkeit haben, die Spuren illegaler Aktivitäten zu beseitigen, indem sie Logfiles löschen oder manipulieren. Eine Umfrage des Sicherheitsspezialisten Balabit aus dem vergangenen Jahr ergab, dass zwei Drittel aller Administratoren mindestens einmal Logdateien beseitigt oder verändert haben, um Hinweise auf Angriffe oder eigene Versäumnisse zu beseitigen.

Sicherheitssysteme sind nach außen gerichtet

Illoyale Insider profitieren davon, dass IT-Sicherheitslösungen in der Regel dafür ausgelegt sind, Attacken von außen abzuwehren. Angriffe von eigenen Mitarbeitern oder Fachleuten von IT-Dienstleistern haben sie oft nicht auf dem „Radar“. Hinzu kommt, dass ein Insider mit erweiterten Rechten Detailkenntnisse über Sicherheitsmaßnahmen und Speicherort von Informationen besitzt.

Aus diesen Gründen wäre es fahrlässig, IT-Dienstleister und deren Mitarbeiter an der langen Leine zu führen, also ihnen umfassende Rechte einzuräumen und gleichzeitig auf Kontrollfunktionen zu verzichten. Vielmehr sollten Unternehmen, die auf IT-Dienstleister zurückgreifen, Sicherheitsvorkehrungen implementieren, und dies in Verbindung mit einem Monitoring der Aktivitäten von externen IT-Fachleuten.

Blinde Flecken erkennen

Firewalls und die standardmäßigen Funktionen für den Schutz von Applikationen reichen in diesem Fall nicht aus. Vielmehr gilt es die „blinden Flecken“ herkömmlicher Security-Monitoring-Tools zu beseitigen und Risiken zu identifizieren, die solchen Werkzeugen verborgen bleiben.

Eine Option ist der Einsatz von Monitoring-Lösungen, die das typische Verhalten von IT-Usern als Bewertungsgrundlage heranziehen. Denn jeder Nutzer hat seinen individuellen „Fingerabdruck“: Er loggt sich meist zu denselben Zeiten und vom selben Ort aus in das Unternehmensnetz ein, hat eine eindeutige Art zu tippen oder seine Maus zu bewegen, benutzt bestimmte Hardware, arbeitet mit bestimmten Applikationen und greift in vielen Fällen auf die gleichen Daten zu. Ein externer Administrator setzt beispielsweise Tools für die Verwaltung von IT- und Netzwerksystemen ein oder gibt über die Konsole bestimmte Befehle ein.

„Normales“ User-Verhalten als Maßstab

Auf Basis solcher Informationen lässt sich ein Profil erstellen und es in Echtzeit mit allen aktuellen Aktionen des Nutzers abgleichen. Das erfolgt natürlich unter Einhaltung der EU-Datenschutzregelungen, insbesondere der Datenschutz-Grundverordnung (DSGVO). Sobald es zu deutlichen Abweichungen vom Normalverhalten kommt, schlägt eine solche Monitoring-Lösung Alarm und unterbindet schädliche Aktionen, bevor sie Schaden im Unternehmen anrichten können.

Damit es nicht zu Fehlalarmen kommt, stuft die Monitoring-Software einzelne Aktivitäten anhand ihres Risikopotenzials ein. Kleinere Abweichungen werden toleriert, greift er dagegen plötzlich auf eine Datenbank mit Kundenadressen oder Geschäftsdaten zu, wird der interne IT-Security-Spezialist informiert.

Keine neuen Hürden für Nutzer

Wichtig ist, dass solche Sicherheits- und Monitoring-Lösungen weder die unternehmensinternen Geschäftsprozesse noch die tägliche Arbeit der User beeinträchtigen. Zu stringente Vorgaben führen letztlich dazu, dass Administratoren und Softwarespezialisten ihre Arbeit nicht wie gewohnt erledigen können. Zudem provoziert ein zu engmaschiges Kontrollsystem Mitarbeiter dazu, Umwege zu finden und dadurch die IT-Sicherheit zu gefährden.

Mit einer verhaltensbasierten IT-Sicherheitslösung lassen sich dagegen die Sicherheitsmechanismen auf ein Maß reduzieren, das weder die Nutzer beeinträchtigt noch Daten und IT-Systeme Risiken aussetzen. Herkömmliche Ansätze dagegen sehen die Implementierung weiterer Security-Tools vor. Das kostet Geld und beeinträchtigt die Flexibilität und Produktivität der Mitarbeiter.

Wann sich das Outsourcen von IT-Sicherheit lohnt

Managed Security Services Provider (MSSP)

Wann sich das Outsourcen von IT-Sicherheit lohnt

08.09.17 - Managed Security Services Provider (MSSP) werden für Unternehmen immer wichtiger. Laut der Trustwave-Studie Security Pressures Report 2017 arbeiten 83 Prozent aller Befragten mit einem MSSP zusammen oder planen eine Zusammenarbeit. Tatsächlich gibt es einige gute Gründe für Unternehmen, sich für einen MSSP zu entscheiden. lesen

Basis: Maschinelles Lernen

Die Grundlage einer verhaltensbasierten Sicherheitslösung sind Machine-Learning-Algorithmen, die unabhängig voneinander arbeiten. Sie erkennen innerhalb kürzester Zeit, ob sich die Aktivitäten eines Users, etwa eines Mitarbeiters eines IT-Dienstleisters, im normalen Rahmen bewegen. Eine schnelle Reaktion ist notwendig, um den Schaden durch externe Angriffe oder Insider-Attacken so klein wie möglich zu halten. Bereits während der „Aufklärungsphase“, die dem eigentlichen Cyber-Angriff vorausgeht, muss eine solche Sicherheitslösung die Attacke erkennen und unterbinden. Das Zeitfenster, das einem Angreifer für seine Aktionen bleibt, wird dadurch minimiert.

Über den Autor: Csaba Krasznay ist Security Evangelist bei Balabit. Im Januar 2018 würde Balabit von One Identity gekauft.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45155294 / Monitoring und KI)