Virtuelle Wachhunde
Artikel erschienen in Swiss IT Magazine 2007/10
Internet Security scheint eine Art Zauberwort zu sein: Google kennt für dieses Problem 824 Millionen Lösungsansätze, alleine für die kleine Schweiz 1,25 Millionen. Damit soll nicht etwa die Suchleistung von Google verdeutlicht werden, sondern vielmehr die auch hierzulande ziemlich unüberschaubare Situation auf diesem Gebiet.
Dennoch lassen sich inmitten der Informationsflut gewisse Trends ausmachen. Zum Beispiel, dass viele Unternehmen verstärkt ihre IT-Sicherheit auslagern und externen Profis überlassen. Managed Security Service Providers (MSSP) versprechen massgeschneiderte Sicherheitslösungen für Einmannbetriebe genauso wie für multinationale Konzerne.
Und der Markt steht ihnen offen: Analysten von IDC gehen davon aus, dass der westeuropäische Markt im Bereich der Managed Security Services bis ins Jahr 2009 um durchschnittlich 20 Prozent pro Jahr wachsen dürfte. Einerseits hängt dies damit zusammen, dass die Anforderungen an Unternehmen durch die rasante Entwicklung der Internet-Kriminalität immens gestiegen sind. Der rasche Technologiewandel erfordert
ein Höchstmass an personellem Aufwand, wobei IT-Spitzenkräfte in der Schweiz nach wie vor Mangelware sind. Andererseits lässt sich der finanzielle Risikofaktor «IT» durch das Outsourcing wunderbar in den Griff kriegen.
Wer seine IT-Security von externen Spezialisten erledigen lässt, kann sich einige Vorteile sichern, muss aber auch einige Dinge berücksichtigen.
Zuerst die Vorteile. Durch die Auslagerung wird das Thema IT-Sicherheit für Unternehmen zum kalkulierbaren und kontrollierbaren Risiko in der Budgetplanung. Eine komplette Kostentransparenz ist nach der Auslagerung gewährleistet und es muss bei möglichen Angriffen nicht mit Mehrkosten gerechnet werden.
Im weiteren kann sich die Firma durch eine Auslagerung komplett auf ihre Kernkompetenzen konzentrieren, wodurch die Produktivität des Unternehmens gesteigert werden kann. Überdies wird das Unternehmen dazu gezwungen, sich bewusst und aktiv mit der aktuellen Sicherheitssituation auseinanderzusetzen, was nicht selten zu neuen Erkenntnissen führen kann. Dass Unternehmen oft nicht die erforderlichen finanziellen Mittel aufbringen können oder wollen, um die interne IT-Abteilung laufend in teuren Weiterbildungskursen verschwinden zu lassen oder um die jeweils neusten Errungenschaften der Internettechnologie zu implementieren, dürfte wohl klar sein. Durch das Outsourcing wird somit auch gewährleistet, dass der Auftraggeber durch einen Provider jederzeit gegen die aktuellsten Viren und andere digitale Gefahren gesichert ist und, sollte dies gewünscht werden, rund um die Uhr während des ganzen Jahres überwacht wird. Im Alleingang wäre diese Art von Überwachung auch für grosse Firmen ein immenser Kostenpunkt.
Wirft man einen Blick auf die möglichen Risiken, welche ein Outsourcing mit sich bringt, sticht vor allem der Verlust der totalen Kontrolle ins Auge, die Abhängigkeit von Drittfirmen. Das Know-how ist nicht mehr direkt für die Firma verfügbar. Ausserdem arbeiten MSSP häufig mit Subunternehmern zusammen, wodurch sich das für einen reibungslosen Ablauf erforderliche Wissen unweigerlich noch eine Stufe weiter entfernt befindet. Trotz der erweiterten Distanz zwischen Wissen und Anwendung muss die Flexibilität gewährleistet sein, um auf veränderte Rahmenbedingungen reagieren zu können. Laut Marco Colonello ist dies jedoch etwas, worüber sich schlussendlich die Provider den Kopf zerbrechen müssen: «Zwar wäre der Kontrollverlust einer der Hauptnachteile aus Kundensicht. Dieser ist jedoch vernachlässigbar, da die meisten unserer Kunden gerade deswegen auf gemanagte Sicherheitslösungen setzen, weil entweder die personellen Ressourcen oder das Know-how fehlen, um eine eigene Sicherheitslösung zu unterhalten. Sollten derweil dennoch Anpassungen nötig werden, können diese durch uns auch kurzfristig umgesetzt werden».
Eine heikle Angelegenheit, wie die digitale Sicherheit der eigenen Firma auszulagern, wird so manchem System-Administrator Mühe bereiten. Umso wichtiger ist es, dass man sich umfassend über die Bedingungen und Konditionen vor sowie nach der Auslagerung informiert. Soll das Outsourcing-Vorhaben zur Zufriedenheit aller Parteien über die Bühne gehen, sind Service-Level-Agreements (SLAs) unabdingbar. Und wer SLAs aufsetzt oder diese überprüft, sollte mit den Bereichen Hardware und Software sowie den Bedingungen, zu welchen sein MSSP die Dienste anbietet und rapportiert, vertraut sein. Vertraglich werden in SLAs die einzelnen Richtlinien und Voraussetzungen, an welche sich sowohl das Unternehmen als auch der Sicherheitsdienstleister zu halten haben, festgesetzt. Namentlich betrifft dies den Umfang des zu betreuenden Objekts, wann und wie das Reporting anfällt, genaue Angaben zu Haftungsbeschränkungen, Ausfall- sowie Reaktionszeiten, Worst-Case-Szenarien usw.
Längst nicht alle Provider verfahren bei der Erbringung ihrer Dienste auf die selbe Art und Weise: Manche installieren die erforderliche Hardware gleich vor Ort, andere bringen sie in eigenen Räumlichkeiten unter und wieder andere bieten ihre Dienste über virtuelle Domains an, welche von verschiedenen Firmen simultan genutzt werden können. Prinzipiell ist es nicht von Bedeutung, wie genau die Services erbracht werden, solange dies klar in den SLAs vermerkt ist.
Nicht gleichgültig hingegen ist die Verfügbarkeit der Dienste, welche im Normalfall in Uptime-Prozenten angegeben wird. Doch aufgepasst: Ein Anbieter, welcher 99,5 Prozent Uptime anbietet, klingt zwar schön und gut, doch umgerechnet sieht die Sache erheblich düsterer aus. Pro Monat kann das System knapp vier Stunden (216 Minuten) lahm liegen, ohne dass der Anbieter seine Pflichten verletzt. In vier Stunden kann schnell einmal ein schmerzlicher Anteil an Umsatz eingebüsst werden. Bei vielen Providern wird ausserdem die Ausfallzeit, welche durch die Implementierung von Updates entsteht, nicht zu den vertraglich ausgehandelten 0,5 Prozent gerechnet. Diese Zeit wird man als Auftraggeber kaum kompensiert bekommen.
«Managed Security Services» ist ein weit gefasster Begriff. Dementsprechend genauso weit gefasst sind auch die Erwartungen, welche Unternehmen an MSSP haben. Diese reichen von Security Services wie Firewall, Intrusion Detection System (IDS) oder Virtual Private Networks (VPNs) über Incident Management – zu welchem forensische Analysen, Incident Response Teams oder auch das Monitoring gehören – bis hin zu Sicherheitsberatungen, Datenarchivierungen, Vulnerabilty-Checks und Content-Filterings.
Nebst den technischen Anforderungen müssen MSSPs zusätzlich den rechtlichen Verordnungen wie Datenschutz und Geheimhaltung nachkommen. Zu haben sind je nach Bedarf natürlich auch nur Teile des Gesamtpakets. Colonello: «Im Bereich MSS verzeichnen wir ein verstärktes Bedürfnis nach Lösungen, welche auf die individuellen Netzwerkstrukturen des Kunden abgestimmt sind. Wir erwarten, dass im Geschäftskundenbereich standardisierte Komplettpakete immer mehr an Attraktivität verlieren werden. Deshalb werden wir künftig unser Angebot auch modularer gestalten, so dass künftig für jeden Standort im Baukastensystem die richtige Lösung gefunden werden kann. Insbesondere Lösungen für länder-
übergreifende Corporate Networks stellen ein stetig wachsendes Bedürfnis dar».
Es hört sich gut an, beinahe schon ein bisschen zu gut: Man heuert Experten an und ist die Sorgen bezüglich IT-Sicherheit mehr oder weniger zum Einheitstarif los. Sobald ein Auftrag erteilt wurde, übernimmt der MSSP die Entwicklung der Sicherheitsstrategie, das Management der Infrastruktur, die technische Betreuung und die operative Überwachung an 365 Tagen im Jahr 24 Stunden lang. Zugleich analysiert der Provider laufend die erhaltenen Daten und optimiert so sein Vorgehen selbst.
Eigentlich schön und gut, nur leider nicht ganz richtig. Verantwortlich ist auch nach erfolgreichem Outsourcing letztendlich der Kunde. So liegt das eigentliche Risk-Management nach wie vor beim Unternehmen und nicht beim Provider. Die Vernachlässigung der nicht delegierten Aufgaben im IT-Bereich oder eine ungenügende Auseinandersetzung mit den erhaltenen Reportings und Analysen können fatale Folgen haben. Auch darf nicht vergessen werden, dass das eigentliche Know-how nicht mehr in der Firma gebraucht wird, sich dies jedoch ändern kann. Steht man dann mit jeder Menge Sicherheitsprodukte da,
hat aber keine Ahnung, was man damit anfangen soll, kann dies üble Konsequenzen mit sich bringen.
Ein Managed Security Service Provider übernimmt für seine Kunden die Absicherung deren Netzwerke. Rund um den eigentlichen Anbieter haben sich jedoch andere Dienstleister positioniert, so zum Beispiel Management-Beratungen, welche sich auf das Thema Outsourcing spezialisiert haben, oder Technologiehersteller wie Symantec. Managed Security Service Provider im engeren Sinn sind gleichzeitig auf zwei verschiedenen Wegen entstanden. Auf der einen Seite finden sich traditionelle Internet Service Provider (ISP), die das Thema Managed Services nach und nach in ihre Kernkompetenz eingebettet haben. Demgegenüber stehen Technologiehersteller, die heute neben ihren Sicherheitsprodukten auch den Service und die nötige Wartung anbieten.
· Collaboration: Sicherheit hat vor allem mit Vertrauen zu tun. Eine enge, partnerschaftliche Beziehung zwischen den Unternehmen ist unbedingt notwendig.
· Credibility: Das ganze Konstrukt muss glaubwürdig sein. Vertraglich festgehaltene Leistungen müssen tatsächlich erreichbar und gegenseitiges Verständnis vorhanden sein.
· Customizable: Die bestehenden Leistungen müssen möglichst rasch und ohne Gefährdung des täglichen Betriebs anpassbar sein.
· Controls: Es müssen feste Prozeduren eingerichtet werden, um die Einhaltung der vereinbarten Services jederzeit überprüfen zu können.