Mitarbeiter Know-how schützen Outsourcing als Risiko für die IT-Sicherheit
Anbieter zum Thema
IT Sicherheit wird in vielen Unternehmen als Kernkompetenz eingestuft. Doch Cloud-Dienstleistungen und Managed-Services stellen die Position der hauseigenen Security-Abteilung in Frage. Wird man die internen „IT-Leibwächter“ bald mit einem „Sayonara Samurai“ verabschieden und nur noch Cloud-Services nutzen?

Die Nutzung eines externen Security-Dienstleisters bietet dem Unternehmen verschiedene Vorteile. Die Spezialisierung auf ein Thema, sorgt für ein zentrales Know-how welches die Qualität und Verfügbarkeit des Service auf ein hohes Niveau hebt. Oft sogar höher ist, als das der In-House-Abteilung, die viele verschiedene Tätigkeitsbereiche gleichzeitig abdecken muss.
Auch bietet die Fokussierung des Anbieters auf ein Thema die Chance, diese Serviceleistung günstiger zu erhalten, als wenn sie durch unternehmensinterne Mitarbeiter erbracht wird.
Risiken und Nebenwirkungen der Cloud
Auf den ersten Blick spricht alles für eine Nutzung von Security- Dienstleistern und Cloud-Services. Doch wie steht es um die „Nebenwirkungen“ – welche Risiken handelt man sich durch die Abgabe der Kompetenzen an externe Dienstleister ein?
Die Arbeit mit Security-Dienstleistern kann in unterschiedlicher Intensität erfolgen. Dabei kann der Service und die Verantwortung komplett ausgelagert werden. Es ist aber auch machbar, nur den Betrieb abzugeben, aber Strategie und Steuerung eigenverantwortlich zu behalten. Möglich wäre es auch, die eigene Beteiligung auf gelegentliche Kontrollen und Reports zu beschränken. Welches Modell das Beste ist, hängt vom jeweiligen Servicethema ab.
Bei einer Firma die eine umfangreiche und dynamische Partnerstruktur hat, wird die Auslagerung des Firewall-Managements ggf. weniger Vorteile bringen, als bei einem Unternehmen, welches nur wenige statische Partner an das eigene Netzwerk anbinden muss. Ebenso sind aber auch die eigenen Ressourcen (Mitarbeiterkapazität, Know-how zum Thema, Budget) entscheidend, welches Modell gewählt wird.
Internes Know-how wird geschwächt
Alle Nutzungsmodelle haben aber eines gemeinsam, das Know-how der innerbetrieblichen Security-Abteilung wird geschwächt. Durch die Abgabe von Tätigkeiten gerät das Fachwissen in diesem Thema in Vergessenheit oder überaltert.
Prinzipiell braucht man dieses Wissen ja auch nicht mehr In-House, denn es wird von außen zugekauft. Kritisch ist es aber, wenn bei einem Security-Vorfall Entscheidungen getroffen werden müssen, die eine Kenntnis der Unternehmens-Architektur und des externen Security-Service erfordern.
Im ungünstigsten Fall hat dann der Dienstleister nicht genug Informationen über die internen Security-Controls seines Kunden und wie diese betrieben werden. Ebenso kann der Kunde nur eingeschränkt abschätzen, ob der Dienstleister eine neue Bedrohung alleine abfangen kann oder ob dies nur in Zusammenarbeit mit anderen (internen) Security-Technologien möglich ist.
Das ganze Bild betrachten
Vor zwei Jahren noch, war E-Mail das Medium mit der höchsten Gefährdungsstufe. Denn Malware und SPAM bedienten sich umfassend der elektronischen Kommunikation. Heutzutage rangiert aber die Bedrohung aus dem WWW an erster Stelle. Daher ist es durchaus eine Überlegung wert, dieses „unkritische Tagesgeschäft E-Mail-Security“ an einen Dienstleister abzugeben.
Wer Sicherheit betreibt, muss aber immer eine Blick auf das Ganze haben! Denn die Cybercrime-Szene arbeitet vernetzt und höchste effektiv. Die Gesamtheit aller Report-Daten von Firewall, IPS, E-Mail-Virenscanner, Web-Filter, Web-Malwareschutz und SPAM-Wächter etc. liefert der Security-Abteilung ein aktuelles Bild der Bedrohungslage für das Unternehmen. Fehlt ein Stück vom Puzzle, verringert dies die Qualität der Beurteilung und erhöht das Risiko, einer Attacke anheim zu fallen. Die Expertise der Security-Abteilung wird beschnitten, wenn die erforderlichen Daten nicht zeitnah und umfassend verfügbar sind.
Die Regulierung eines zeitnahen Reporting sollte daher im SLA (Service-Level-Agreement) zwingend hinterlegt werden. Ebenso wie der allgemeine Handlungsrahmen des Dienstleisters, die Tätigkeiten im Detail und die einzuhaltenden Reaktionszeiten.
SLAs sind mehr als lästige Pflicht
Oft wird die Ausarbeitung von SLAs als lästige Pflicht empfunden und man arbeitet nachlässig und verwendet unklare oder interpretierbare Definitionen. Dies kann beispielsweise bei einer DDOS-Attacke (Distributed-Denied-Of-Service) via „UDP-Flood“ auf die Webseite eines Unternehmens, zu kontraproduktiven Aktivitäten führen.
Wird als Gegenmaßnahem auf eine UDP-Attacke das sperren von IP-Adressen an der Firewall definiert, wenn mehr als 75% der verfügbaren Bandbreite belegt ist, so mag dies schlüssig erscheinen. Aber läuft ein Shop-System auf der Webseite, ist bei 75% Bandbreitenausnutzung die Wartezeit ggf. bereits so hoch, dass Kunden abspringen und somit Geschäft verloren geht.
Wäre dagegen im SLA zusätzlich vereinbart worden, dass ab 50% Last sofort eine Information an die Security-Abteilung geht, könnte diese per Eskalationsbeschreibung reagieren können und so Umsatzeinbußen reduzieren. Wobei der Imageschaden (Webseite/-Shop nicht erreichbar!) u.U. für das Unternehmen gravierender ist, als ein reduziertes Tagesgeschäft.
Schlechte bzw. unzureichende SLAs behindern die Security-Abteilung in ihrer Arbeit und können im Worst-Case die Verfügbarkeit der IT-Infrastruktur beeinträchtigen.
Kooperation statt entweder-oder
Externe Security-Services bieten ebenso wie Cloud-Services Vorteile! Alle Nutzungsarten müssen aber mit Sorgfalt ausgewählt werden, auch hinsichtlich der Auswirkung auf die unternehmensweite Security-Qualität. Denn wenn zu viele externe Services die interne Security-Abteilung „entwaffnen“ verliert das Unternehmen seine zuverlässigsten Leibwächter!
Ein „Sayonara Samurai“ sollte es daher nicht geben, sondern eine Co-Existenz der Security-Abteilung, mit dem externen Dienstleister, an den ausgesuchte Tätigkeiten übergeben werden.
Dabei ist es wichtig, neben den datenschutzrechtlichen Belangen, den finanziellen Aspekten auch die Qualität des Dienstes bzw. Dienstleisters zu berücksichtigen.
Sechs Tipps für mehr internes IT-Security Know-how
Sechs Empfehlungen, damit Ihre „IT-Samurai“, auch bei einer Aufgabenteilung, zuverlässig das Unternehmen schützen können:
- Benennen Sie interne Spezialisten, die den externen Security-Service und die dort genutzten Produkte gut genug kennen, um sichere Entscheidungen zu treffen
- Verwenden Sie eine klare Sprache und Begrifflichkeit in den SLAs. Legen Sie Wert auf a) Zeitnahes Reporting, b) definierte Eskalationsprozesse, c) Namentlich bekannte Kommunikationspersonen , d) die Erreichbarkeit der Servicepartner (7x24) , und e) Reaktionszeiten, die für Ihr Business erforderlich sind.
- Sorgen Sie für eine stetige Weiterbildung und einen Wissenstransfer für Ihre Security Professionals – auch bei den Themen, die extern betreiben werden!
- Berücksichtigen Sie die Anregungen und Empfehlungen Ihre Security-Abteilung. Deren Wissen ist über die Jahre gewachsen und stellt eine wichtige Ressource dar.
- Behalten Sie immer minimal die Kontrollfunktionalität in eigenen Händen, verabschieden Sie sich nicht komplett von einer Security-Dienstleistung.
- Berücksichtigen Sie bei der Auswahl eines externen Partners, dessen Referenzen, dessen genutzte Hard- und Software, seine Ressourcen (Budget, Anzahl Mitarbeiter) sowie die nationale/globale Ausrichtung.
Scheuen Sie sich auch nicht, eine Security-Dienstleistung zurück in das Unternehmen zu holen, wenn sich die Abgabe nicht bewährt hat, oder gesetzliche Anforderungen dies erfordern! IT Sicherheit ist ein dynamisches Feld, das eine stetige Anpassung an die aktuelle Risiko-Situation erfordert.
(ID:34143400)