Outsourcing von IT-Sicherheit

Managed Security Services in der Praxis

| Autor / Redakteur: Andreas Schlöricke* / Peter Schmitz

IT-Sicherheit lässt sich nur mit viel Fachexpertise realisieren, aber kaum ein kleines oder mittelständisches Unternehmen hat solche Experten.
IT-Sicherheit lässt sich nur mit viel Fachexpertise realisieren, aber kaum ein kleines oder mittelständisches Unternehmen hat solche Experten. (Bild: blickpixel - Pixabay / CC0)

Ausgerechnet das Absichern der IT-Infrastruktur des eigenen Unternehmens soll von einem externen Dienstleister als Managed Service erledigt werden? Ja. Denn kaum ein kleines oder mittelständisches Unternehmen hat die nötigen Ressourcen für eine effektive Cyber-Abwehr in den eigenen Reihen. Je nach Betriebsmodell behält der Auftraggeber auch Kontrolle über die Datenflüsse. Wie aber findet man den passenden Dienstleister?

Können Sie aus dem Stegreif sagen, welchen Stellwert das Thema IT-Sicherheit in Ihrem Unternehmen hat? Ist es Chefsache und entsprechend wichtig? Oder kämpft die IT-Abteilung verbissen ums Budget, um sich besser aufzustellen? Ganz egal, wie die Antwort lautet: Die IT-Spezialisten sehen sich einer riesigen Herausforderung gegenüber. Kaum ein IT-Thema wurde in den letzten Jahren so schnell so komplex wie die IT-Sicherheit. Nicht nur ist die Kreativität der Angreifer immens, auch das Arsenal der möglichen Schutzkomponenten ist unüberschaubar. Schon alleine die Wahl der passenden Produkte dürfte für viele IT- und Unternehmensverantwortliche eine stattliche Aufgabe sein.

Der Betrieb dieser Komponenten ist dann noch mal eine ganz andere Geschichte – da sie ohne tiefgehende Sicherheitsexpertise an sich kaum sinnvoll zu machen ist. Zwar melden Gerätschaften wie Next Generation Firewalls oder Lösungen zur Intrusion Detection inzwischen in halbwegs übersichtlicher Form, was gerade wo im Netzwerk los ist. Der menschliche Bediener muss anhand dieser erst einmal nichtssagenden Datenmassen dann aber bestimmen, ob dieser oder jener Datentransfer legitim ist oder Hinweis auf einen (erfolgreichen) Angriff.

Abgesehen davon, dass derartig qualifizierte Mitarbeiter derzeit ohnehin Mangelware sind, sind sie insbesondere in ländlicheren Gegenden quasi unmöglich zu finden – zumal dann, wenn man über einen Zwei-Schicht-Betrieb nachdenken muss. Dort aber residieren etliche Unternehmen mit entsprechendem Schutzbedarf. Von daher drängt sich die Zusammenarbeit mit einem externen Dienstleister, der sich aus der Ferne um die Infrastruktur und deren Sicherheit kümmert, geradezu auf. Zugegeben, der Gedanke bereitet erst einmal Unwohlsein: Man vertraut die Sicherheit der eigenen Daten einem eventuell fremden Managed Security Service (MSS)-Dienstleister an. Unter dem Licht der eingangs genannten Punkte betrachtet ist das für viele Unternehmen aber nicht nur die einzige, es ist zudem auch die beste Wahl.

Welche Aufgaben erledigen Managed Service Provider beim Thema Sicherheit üblicherweise? Das Spektrum reicht weit über das erwähnte Auswerten von Log-Dateien hinaus. Typischerweise kommen zu dieser Aufgabe, die zum Absichern des E-Mail- und Web-Datenverkehrs unabdingbar ist, noch das Management von Antiviren-Software auf Gateways, Servern und (mobilen) Endgeräten hinzu. Selbstverständlich überwachen Dienstleister auch die Installation von Updates (Patch-Management). Oder auch das Einführen und Betreiben einer E-Mail-Verschlüsselung. Immer wichtiger wird der Zugriff durch Mitarbeiter oder externe Dienstleister von außen auf Systeme im Unternehmen. Den dazu notwendigen Betrieb – zu dem auch das Einräumen oder Entziehen von Rechten beziehungsweise das Pflegen der Nutzer gehört – eines Remote Access Proxys oder VPN-Gateways kann ebenfalls der Dienstleister im Rahmen des Managed Services erledigen. Übrigens: Der erwähnte Einsatz von Virenscannern ist in der Praxis komplexer, als es erst einmal klingt. Denn nicht zuletzt das Bundesamt für Sicherheit in der Informationstechnik empfiehlt verschiedene Scanner unterschiedlicher Hersteller gleichzeitig einzusetzen, damit diese gegenseitig ihre Schwächen ausgleichen können. Im Idealfall sind also drei Scanner (Gateway, Server, Client) im Einsatz, die jeweils betrieben werden wollen.

Wie schnell beispielsweise der Betrieb einer umfassenden Firewall-Lösung notwendig werden kann, zeigt das Beispiel eines regionalen Krankenhauses: Der früher nur wenigen Mitarbeitern gestattete Internetzugang musste binnen kürzester Zeit für die komplette Belegschaft möglich sein. Grund war das Auslagern der Haustechnik an einen externen Partner. Dieser erwartete Meldungen über Probleme wie kaputte Lampen oder Schwierigkeiten mit dem Aufzug über ein eigenes eingerichtetes Webportal. Um diese Zugriffe abzusichern, ohne die hierfür notwendige Infrastruktur selbst anzuschaffen oder gar betreiben zu wollen, entschieden sich die Verantwortlichen für einen Managed Service-Anbieter.

Solche Dienstleistungen können aber nicht nur zum Schützen von heiklen Daten dienen. Sondern auch Grundlage sein für den Ausbau des eigenen Geschäfts, wie das Beispiel eines Ingenieurbüros mit gut 30 Mitarbeitern zeigt. Um an Aufträge der öffentlichen Hand zu kommen, musste die IT- und Rechenzentrumsinfrastruktur des Büros bestimmten Auflagen genügen. Diese aus eigener Kraft zu erfüllen und die jährlich neu anstehende Zertifizierung zu überstehen, wäre ein finanzieller Kraftakt – der durch die Wahl eines MSS-Anbieters vermieden wurde.

Die monatlichen Kosten eines solchen Services hängen einzig und allein vom gewünschten Umfang der Leistungen ab. Die Rund-um-die-Uhr-Überwachung eines Netzwerks mit einigen hundert Arbeitsplätzen samt Servern, betrieben in einem datenschutzrechtlich heiklen Umfeld wie der Medizinbranche, kostet einen mittleren vierstelligen Eurobetrag pro Monat. Bei niedrigerem Schutzbedarf sinken natürlich auch die Kosten.

Wie genau erbringt ein MSS-Anbieter eigentlich seine Dienstleistung, wenn er nicht vor Ort sein kann? Für sämtliche Verwaltungsaufgaben nutzt er hierzu Fernwartungszugänge oder Desktop Sharing wie von Lösungen wie TeamViewer bekannt. Zum Überwachen des eigentlichen Datenverkehrs gibt es dann drei verschiedene Modelle. Die technisch am einfachsten umzusetzende Variante leitet sämtlichen Traffic in Richtung Cloud. Dort laufen die Daten durch die Filter des Anbieters der jeweiligen Schutzlösung, eventuelle Warnungen tauchen in den Überwachungssystemen des Dienstleisters auf. Nachteil hierbei ist der Verlust der Kontrolle über das, was mit den eigenen Daten auf dem Weg vom beziehungsweise zum Internet passiert.

Transparenter für den Kunden ist es, wenn die Daten zum Rechenzentrum des Dienstleisters wandern und dort gefiltert werden. Der Datenverkehr bleibt also in der Region, die Preise liegen nur wenig über denen der reinen Cloud-Lösung. Am meisten Kontrolle behält der Kunde, wenn der Dienstleister sämtliche Schutzkomponenten vor Ort im Rechenzentrum des Auftraggebers in eigens gesicherten Schränken betreibt. Die Hardware kann gemietet oder gekauft sein. Vorteil: Sämtliche Daten bleiben quasi im Einflussbereich des Kunden.

Unabhängig vom Modell sind die Fragen nach der Qualifikation der Mitarbeiter und den Herstellern, mit denen der MSS-Anbieter arbeitet. Wichtige Hinweise sind Zertifizierungen des Partner-Status durch den Hersteller (Gold, Silber, Platin und so weiter). Im Fall des Netzwerkausrüsters Cisco beispielsweise ist großer Schulungsaufwand auf Seiten des MSS-Anbieters nötig, um die eigenen Techniker fit zu machen für den Umgang mit der Hard- und Software und spezielles Sicherheitsfachwissen zu vermitteln. Dazu kommen dann noch Sicherheitsüberprüfungen, wie sie beispielsweise Auftraggeber der öffentlichen Hand fordern. Konzentriert sich ein Dienstleister nur auf ein, zwei Hard- oder Softwarepartner, kann das zwar für dessen Expertise sprechen. In aller Regel werden Kunden dann aber nicht glücklich, da die zur Auswahl stehenden Produkten nicht zu den eigenen Ansprüchen passen. Eine Unterkonfiguration lässt Lücken, eine Überkonfiguration kostet sinnlos Geld.

Zu guter Letzt sollten Interessenten ihren potentiellen Partner eine wichtige Frage stellen: Gibt es Kunden, die schon seit Jahren auf die Dienste des Anbieters vertrauen und wie geht der Anbieter mit sich ändernden Vorgaben wie neuen gesetzlichen Regelungen um? Nur wer hierauf eine gute Antwort hat, sollte für die Übernahme der Absicherung der eigenen Infrastruktur in Frage kommen.

* Andreas Schlöricke ist Key Account Manager bei der Netfox AG. Seine Schwerpunkte liegen in Bereichen Managed Security Services sowie Informationssicherheit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44535348 / Mitarbeiter-Management)