Security Services

Wo sich IT-Sicherheitsdienste auszahlen können

| Autor / Redakteur: Torsten Rödiger* / Stephan Augsten

Manchem Unternehmen ist am ehesten damit geholfen, wenn es sich bei der Gefahrenbekämpfung Hilfe von außen holt.
Manchem Unternehmen ist am ehesten damit geholfen, wenn es sich bei der Gefahrenbekämpfung Hilfe von außen holt. (Bild: Archiv)

Cyber-Bedrohungen treffen Unternehmen auf verschiedensten Wegen und sind allzu oft erfolgreich. Manchen Unternehmen mangelt es an technischen und personellen Ressourcen für eine effektive Gegenwehr. Doch wo können sich Service Provider am besten einbringen?

Ein Sonntagnachmittag am Warschauer Chopin-Flughafen, nichts geht mehr. Was auf den ersten Blick wie ein weiterer Pilotenstreik anmutet, ist tatsächlich einem Cyber-Angriff geschuldet. Keineswegs ein Einzelfall, weltweit nehmen die Attacken stark zu – auch in Deutschland. Ziel sind Unternehmen aller Größen und Branchen.

Der Bundestag, Vodafone, T-Online, Google, Adobe Systems: Die internationale Liste der Opfer von Cyber-Attacken ist nahezu endlos lang. Mittlerweile sollte sich eigentlich herumgesprochen haben, dass einige der Angreifer versierte Profis sind. In vielen deutschen Unternehmen ist das Bewusstsein für diese realen Bedrohungen trotzdem immer noch nicht ausgeprägt.

Die Schadensfälle sind zu weit vom eigenen „Erleben“ entfernt, als dass sie ernsthaft in Risikobetrachtungen einfließen würden. Das gilt vor allem für den Mittelstand. Die Unternehmen sehen sich vielfach nicht auf der Liste attraktiver Ziele und halten ähnliche Fälle im eigenen Haus für unrealistisch. Diese Einschätzung ist allerdings völlig falsch.

Deutschland liegt beispielsweise auf Platz sieben der Rangliste weltweiter Massenangriffe auf Webseiten, sogenannte DDoS-Attacken. Dabei schließen Hacker gekaperte Computer oder Netzwerke zu Bot-Netzen zusammen, um die Webserver eines Unternehmens mit extrem vielen Anfragen so lange zu bombardieren, bis diese zusammenbrechen. Der wirtschaftliche Schaden kann wie im Falle der polnischen Fluggesellschaft immens sein, ganz zu schweigen vom Imageverlust.

Wer den Schaden hat …

Cyber-Angriffe wie DDoS-Attacken (Distributed Denial of Service) sind teuer für die Opfer. Jüngst errechnete eine US-Expertenstudie Kosten von 40.000 Dollar pro Stunde. Mehr als die Hälfte aller Attacken dauern zwischen sechs und 24 Stunden, in Ausnahmefällen jedoch bis zu einer Woche. Da kommen schnell Millionen zusammen. Die Verursacher sind in der Regel nicht auszumachen.

Zwar werden solche Attacken in Deutschland mit bis zu drei Jahren Haft geahndet, doch die meisten Angreifer befinden sind außerhalb der EU. Im Vergleich zum Schaden, den sie anrichten, sind DDoS-Angriffe günstig: Ein siebentätiges Dauerfeuer ist auf dem Schwarzmarkt schon für 150 US-Dollar zu haben. Kein Wunder also, dass sich diese Methode unter Erpressern inzwischen großer Beliebtheit erfreut, frei nach dem Motto: Ihr Unternehmen zahlt oder wir legen ihr Netzwerk lahm.

Geschäftsführung in der Pflicht

Unter dem Fokus einer Risikobetrachtung ist es für Verantwortliche im wahrsten Sinne des Wortes sträflich, die Bedrohung durch Cyberkriminelle zu vernachlässigen. Das gilt nicht nur für Massenangriffe, sondern auch für alle anderen Bedrohungen wie Viren, Trojaner oder individuelle Spionageattacken.

IT-Sicherheit ist Chefsache, denn Geschäftsführer, Aufsichtsräte und Vorstände haften im Zweifel persönlich. Das schreibt das sogenannte Kontroll- und Transparenzgesetz (KontraG) vor. Es fordert im Sinne eines effektiven Risikomanagements ein ganzes Bündel an Maßnahmen, von der IT Security Policy über Notfallkonzepte bis zur regelmäßigen Fortbildung der Mitarbeiter. Davon entlasten sich Verantwortliche auch nur teilweise, wenn sie einen externen Dienstleister beauftragen.

Experten die „Verteidigung“ überlassen

Wie in vielen Fällen ist es auch bei der IT-Security ratsam, sich Gedanken über mögliche Sourcing-Modelle zu machen. Allerdings fallen bei der IT-Sicherheit zusätzliche Argumente zugunsten eines Dienstleister-Einsatzes ins Gewicht: Um beim Kampf gegen Cyberkriminalität erfolgreich zu sein, bedarf es einerseits hoch spezialisierter Experten und andererseits leistungsstarker Technik.

Beides in adäquatem Maße vorzuhalten, sprengt das IT-Budget eines Unternehmens häufig. Die Bedrohungsszenarien wandeln sich zudem schnell. Abwehrmaßnahmen müssen also technisch wie organisatorisch schnell und flexibel anzupassen sein. Das kann und sollte die eigene IT-Abteilung nicht zusätzlich belasten, denn IT-Sicherheit ist kein Kernthema des Unternehmens, gleichwohl ein sehr wichtiges.

Security Sourcing

Eine zeitgemäße Abwehrstrategie muss alle Eventualitäten berücksichtigen und besteht aus mehreren Sicherheitsebenen. Ein umfassendes IT-Security-Modell, wie es Nexinto entwickelt hat, setzt mit verschiedenen Maßnahmen an unterschiedlichen Punkten der Infrastruktur an. Von außen kommend muss zunächst einmal ein DDoS-Schutz her, der Attacken gegen die Internet-Plattform erkennt. Bei einem DDoS-Angriff wird der gesamte eingehende Internet-Traffic im Idealfall durch ein sogenanntes Scrubbing Center geleitet und gesäubert.

Als nächste Sicherheitshürde auf dem Weg zu den Servern könnte eine Firewall, unterstützt durch eine Web Application Firewall (WAF), vor unerlaubten Zugriffen von außen schützen. Die WAF verhindert dabei Attacken auf Anwendungsebene. Als letzte Instanz im Netzwerk sollte ein Intrusion Prevention System (IPS) zum Einsatz kommen. Dieses erkennt Angriffe anhand von auffälligen Mustern im Netzwerkverkehr und wehrt sie ab.

Um der Komplexität einer solchen Strategie gerecht zu werden, benötigt man dann an zentraler Stelle noch ein Monitoring- und Management-System, das von einem fähigen Security-Experten betreut wird. In der Regel ist es gerade für mittelständische Unternehmen schwer, ähnliches in Eigenregie zu realisieren. Auch wenn ein Unternehmen alle Komponenten für sich anschaffen würde, fehlten immer noch das spezielle Know-how der einzelnen IT-Security-Komponenten.

Das eigene Risiko reduzieren

Unternehmen können und sollten die Verantwortlichkeit für die eigene IT-Sicherheit niemals ganz aus der Hand geben. Doch im Einzelfall kann es empfehlenswert sein, das Risiko in Zusammenarbeit mit einem Provider zu reduzieren. Das Stichwort hier heißt Vertrauen. Trotz aller Pönalen und Service-Level-Vereinbarungen ist ein durch einen Angriff provozierter Störfall immer ein Worst Case – ein Szenario, das eine möglichst geringe Eintrittswahrscheinlichkeit haben sollte.

Solche IT-Notfälle lassen sich nicht durch vertragliche Regelungen ausschließen, sondern nur durch technische Lösungen und Know-how. Was zählt sind kontinuierliche Qualität, Expertise, Kundennähe und die Bereitschaft zu individuellen Lösungen. Wie gut ein IT Security Provider in diesem Kontext wirklich ist, zeigen folgende Kriterien.

Kriterien für die Dienstleister-Wahl

Ganzheitliche Sicht: Die Sicherheit einer IT-Landschaft ist kein reines IT-Thema. Dazu gehört physische Sicherheit ebenso wie organisatorische und strategische Komponenten. Ein guter Dienstleister verfolgt deshalb eine 360-Grad-Sicht, die all diese Komponenten einschließt.

Fachkompetenz: IT Security macht niemand nebenbei. Also sollte auch der Dienstleister eine tiefe Spezialisierung vorweisen. Aufgrund der sich schnell wandelnden Bedrohungsszenarien ist es ratsam, dass IT-Sicherheit sozusagen „Daily Business“ ist – am besten schon seit sehr langer Zeit.

Branchen-Know-how: Die Bedrohungsszenarien unterscheiden sich von Branche zu Branche, ebenso die eventuellen Schwachstellen und Gefährdungspotenziale. Ein Dienstleister sollte deshalb relevantes IT-Know-how aus den jeweiligen Branchen mitbringen.

Einschlägiges Portfolio: IT-Sicherheit verlangt eine 360-Grad-Sicht. Entsprechend umfangreich sollte auch das Leistungsspektrum des Providers sein, angefangen bei der Beratung über die Technologie bis zum Service-Betrieb.

Passende Infrastruktur: Monitoring und Überwachung bilden die Grundlage für das Erkennen von Angriffen. Dementsprechend sollte der Provider über ein 24x7 besetztes Operation Management verfügen.

Zertifizierungen: Vertrauen ist gut, Kontrolle ist besser. Zertifizierungen garantieren, dass in wesentlichen Punkten bestimmte Standards eingehalten werden. Die wichtigsten Zertifizierungen sind die ISO 9001 für Qualitätsmanagement und die ISO 27001 für Informationssicherheit. Darüber hinaus ist IT Service Management nach ITIL ein wichtiges Stichwort.

Fazit

Angesichts weltweit zunehmender Cyberkriminalität ist DDoS nur eines von vielfältigen Bedrohungsszenarien, denen sich Unternehmen heute ausgesetzt sehen. Die Gefährdungspotenziale sind nur teilweise branchenspezifisch. In vielen Fällen betreffen sie Unternehmen jeglicher Größe und Ausrichtung.

Torsten Rödiger
Torsten Rödiger (Bild: Nexinto)

In der Regel verfügen diese in den seltensten Fällen über die Ressourcen – finanzieller wie personeller Art – um diesen Szenarien wirkungsvoll zu begegnen. Hier sind erfahrene und spezialisierte Dienstleister gefragt. Sie stellen wirksame technische Schutz-Lösungen als hochverfügbare Services bereit. Dabei behalten sie immer den Überblick über das Gesamtbild.

* Torsten Rödiger ist Senior Security Consultant beim Hamburger IT-Dienstleister Nexinto und beschäftigt sich seit 15 Jahren mit IT-Security-Themen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44161686 / Netzwerk-Security-Devices)