:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mitarbeiter Know-how schützen Outsourcing als Risiko für die IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
IT Sicherheit wird in vielen Unternehmen als Kernkompetenz eingestuft. Doch Cloud-Dienstleistungen und Managed-Services stellen die Position der hauseigenen Security-Abteilung in Frage. Wird man die internen „IT-Leibwächter“ bald mit einem „Sayonara Samurai“ verabschieden und nur noch Cloud-Services nutzen?
Die Nutzung eines externen Security-Dienstleisters bietet dem Unternehmen verschiedene Vorteile. Die Spezialisierung auf ein Thema, sorgt für ein zentrales Know-how welches die Qualität und Verfügbarkeit des Service auf ein hohes Niveau hebt. Oft sogar höher ist, als das der In-House-Abteilung, die viele verschiedene Tätigkeitsbereiche gleichzeitig abdecken muss.
Auch bietet die Fokussierung des Anbieters auf ein Thema die Chance, diese Serviceleistung günstiger zu erhalten, als wenn sie durch unternehmensinterne Mitarbeiter erbracht wird.
Risiken und Nebenwirkungen der Cloud
Auf den ersten Blick spricht alles für eine Nutzung von Security- Dienstleistern und Cloud-Services. Doch wie steht es um die „Nebenwirkungen“ – welche Risiken handelt man sich durch die Abgabe der Kompetenzen an externe Dienstleister ein?
Die Arbeit mit Security-Dienstleistern kann in unterschiedlicher Intensität erfolgen. Dabei kann der Service und die Verantwortung komplett ausgelagert werden. Es ist aber auch machbar, nur den Betrieb abzugeben, aber Strategie und Steuerung eigenverantwortlich zu behalten. Möglich wäre es auch, die eigene Beteiligung auf gelegentliche Kontrollen und Reports zu beschränken. Welches Modell das Beste ist, hängt vom jeweiligen Servicethema ab.
Bei einer Firma die eine umfangreiche und dynamische Partnerstruktur hat, wird die Auslagerung des Firewall-Managements ggf. weniger Vorteile bringen, als bei einem Unternehmen, welches nur wenige statische Partner an das eigene Netzwerk anbinden muss. Ebenso sind aber auch die eigenen Ressourcen (Mitarbeiterkapazität, Know-how zum Thema, Budget) entscheidend, welches Modell gewählt wird.
Internes Know-how wird geschwächt
Alle Nutzungsmodelle haben aber eines gemeinsam, das Know-how der innerbetrieblichen Security-Abteilung wird geschwächt. Durch die Abgabe von Tätigkeiten gerät das Fachwissen in diesem Thema in Vergessenheit oder überaltert.
Prinzipiell braucht man dieses Wissen ja auch nicht mehr In-House, denn es wird von außen zugekauft. Kritisch ist es aber, wenn bei einem Security-Vorfall Entscheidungen getroffen werden müssen, die eine Kenntnis der Unternehmens-Architektur und des externen Security-Service erfordern.
Im ungünstigsten Fall hat dann der Dienstleister nicht genug Informationen über die internen Security-Controls seines Kunden und wie diese betrieben werden. Ebenso kann der Kunde nur eingeschränkt abschätzen, ob der Dienstleister eine neue Bedrohung alleine abfangen kann oder ob dies nur in Zusammenarbeit mit anderen (internen) Security-Technologien möglich ist.
Das ganze Bild betrachten
Vor zwei Jahren noch, war E-Mail das Medium mit der höchsten Gefährdungsstufe. Denn Malware und SPAM bedienten sich umfassend der elektronischen Kommunikation. Heutzutage rangiert aber die Bedrohung aus dem WWW an erster Stelle. Daher ist es durchaus eine Überlegung wert, dieses „unkritische Tagesgeschäft E-Mail-Security“ an einen Dienstleister abzugeben.
Wer Sicherheit betreibt, muss aber immer eine Blick auf das Ganze haben! Denn die Cybercrime-Szene arbeitet vernetzt und höchste effektiv. Die Gesamtheit aller Report-Daten von Firewall, IPS, E-Mail-Virenscanner, Web-Filter, Web-Malwareschutz und SPAM-Wächter etc. liefert der Security-Abteilung ein aktuelles Bild der Bedrohungslage für das Unternehmen. Fehlt ein Stück vom Puzzle, verringert dies die Qualität der Beurteilung und erhöht das Risiko, einer Attacke anheim zu fallen. Die Expertise der Security-Abteilung wird beschnitten, wenn die erforderlichen Daten nicht zeitnah und umfassend verfügbar sind.
Die Regulierung eines zeitnahen Reporting sollte daher im SLA (Service-Level-Agreement) zwingend hinterlegt werden. Ebenso wie der allgemeine Handlungsrahmen des Dienstleisters, die Tätigkeiten im Detail und die einzuhaltenden Reaktionszeiten.
SLAs sind mehr als lästige Pflicht
Oft wird die Ausarbeitung von SLAs als lästige Pflicht empfunden und man arbeitet nachlässig und verwendet unklare oder interpretierbare Definitionen. Dies kann beispielsweise bei einer DDOS-Attacke (Distributed-Denied-Of-Service) via „UDP-Flood“ auf die Webseite eines Unternehmens, zu kontraproduktiven Aktivitäten führen.
Wird als Gegenmaßnahem auf eine UDP-Attacke das sperren von IP-Adressen an der Firewall definiert, wenn mehr als 75% der verfügbaren Bandbreite belegt ist, so mag dies schlüssig erscheinen. Aber läuft ein Shop-System auf der Webseite, ist bei 75% Bandbreitenausnutzung die Wartezeit ggf. bereits so hoch, dass Kunden abspringen und somit Geschäft verloren geht.
Wäre dagegen im SLA zusätzlich vereinbart worden, dass ab 50% Last sofort eine Information an die Security-Abteilung geht, könnte diese per Eskalationsbeschreibung reagieren können und so Umsatzeinbußen reduzieren. Wobei der Imageschaden (Webseite/-Shop nicht erreichbar!) u.U. für das Unternehmen gravierender ist, als ein reduziertes Tagesgeschäft.
Schlechte bzw. unzureichende SLAs behindern die Security-Abteilung in ihrer Arbeit und können im Worst-Case die Verfügbarkeit der IT-Infrastruktur beeinträchtigen.
Kooperation statt entweder-oder
Externe Security-Services bieten ebenso wie Cloud-Services Vorteile! Alle Nutzungsarten müssen aber mit Sorgfalt ausgewählt werden, auch hinsichtlich der Auswirkung auf die unternehmensweite Security-Qualität. Denn wenn zu viele externe Services die interne Security-Abteilung „entwaffnen“ verliert das Unternehmen seine zuverlässigsten Leibwächter!
Ein „Sayonara Samurai“ sollte es daher nicht geben, sondern eine Co-Existenz der Security-Abteilung, mit dem externen Dienstleister, an den ausgesuchte Tätigkeiten übergeben werden.
Dabei ist es wichtig, neben den datenschutzrechtlichen Belangen, den finanziellen Aspekten auch die Qualität des Dienstes bzw. Dienstleisters zu berücksichtigen.
Sechs Tipps für mehr internes IT-Security Know-how
Sechs Empfehlungen, damit Ihre „IT-Samurai“, auch bei einer Aufgabenteilung, zuverlässig das Unternehmen schützen können:
- Benennen Sie interne Spezialisten, die den externen Security-Service und die dort genutzten Produkte gut genug kennen, um sichere Entscheidungen zu treffen
- Verwenden Sie eine klare Sprache und Begrifflichkeit in den SLAs. Legen Sie Wert auf a) Zeitnahes Reporting, b) definierte Eskalationsprozesse, c) Namentlich bekannte Kommunikationspersonen , d) die Erreichbarkeit der Servicepartner (7x24) , und e) Reaktionszeiten, die für Ihr Business erforderlich sind.
- Sorgen Sie für eine stetige Weiterbildung und einen Wissenstransfer für Ihre Security Professionals – auch bei den Themen, die extern betreiben werden!
- Berücksichtigen Sie die Anregungen und Empfehlungen Ihre Security-Abteilung. Deren Wissen ist über die Jahre gewachsen und stellt eine wichtige Ressource dar.
- Behalten Sie immer minimal die Kontrollfunktionalität in eigenen Händen, verabschieden Sie sich nicht komplett von einer Security-Dienstleistung.
- Berücksichtigen Sie bei der Auswahl eines externen Partners, dessen Referenzen, dessen genutzte Hard- und Software, seine Ressourcen (Budget, Anzahl Mitarbeiter) sowie die nationale/globale Ausrichtung.
Scheuen Sie sich auch nicht, eine Security-Dienstleistung zurück in das Unternehmen zu holen, wenn sich die Abgabe nicht bewährt hat, oder gesetzliche Anforderungen dies erfordern! IT Sicherheit ist ein dynamisches Feld, das eine stetige Anpassung an die aktuelle Risiko-Situation erfordert.
(ID:34143400)
:quality(80)/p7i.vogel.de/wcms/bb/35/bb35bca9d27218a40e61d1a3636d9a37/0110980193.jpeg "Unternehmen müssen IT-Sicherheit systematisch betrachten, auf Managementebene ansiedeln und eine ganzheitliche Strategie entwickeln. Der virtuelle CISO kann hier entscheidend helfen. (Bild: ronstik - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")