Warum Sicherheit nie ein Nebenjob sein kann
Artikel erschienen in Swiss IT Magazine 2002/43
Immer mehr Firmen übergeben den Betrieb von Firewalls, Virtual Private Networks (VPN), Virenschutzprogrammen und Intrusion-Detection-Systemen an sogenannte Managed Security Service Provider (MSSP) ab. Glaubt man den Analysten, wird dieser Markt in den nächsten Jahren weltweit mehrere Milliarden US-Dollar schwer sein. Der Grund dafür ist einfach: Durch die Vervielfachung der Angriffsmethoden wird der Betrieb von Sicherheitskomponenten wie Firewalls immer komplexer und zeitintensiver. Kommt hinzu, dass viele Netzwerk-Administratoren sich nur am Rand um die Sicherheitskomponenten kümmern können - sei dies aus Zeitgründen oder aus mangelndem Know-how. Als ehemaliger Security-Administrator sind mir diese Probleme bestens bekannt. Auf mich allein gestellt, hatte ich keine Chance, sicherheitstechnisch à jour zu bleiben.
Selbstverständlich ist es einem Unternehmen überlassen, mehrere IT-Sicherheitsspezialisten anzuheuern, um so einen höchstmöglichen Schutz garantieren zu können. Doch das ist mit erheblichen Kosten verbunden: Denn wer annähernd die selbe Qualität wie ein spezialisierter MSSP erreichen will, muss mindestens vier bis fünf dedizierte Sicherheitsspezialisten einstellen. Nur mit einem Team dieser Grösse kann er einen Rund-um-die-Uhr-Service während des ganzen Jahres aufrechterhalten.
Doch das kostet einen Haufen Geld. Viele Firmen, vor allem kleine und mittlere Unternehmen, stossen hier an ihre finanziellen Grenzen und die Fluktuationsrate von firmeninternen Security-Spezialisten ist hoch, weil ihr Job schnell langweilig wird. Ausserdem ist es trotz Wirtschaftsflaute nach wie vor schwierig, an wirklich gute IT-Security-Profis heranzukommen.
An dieser Stelle erlaube ich mir zu bemerken, dass bei der Abwägung Pro/Contra Outsourcing unbedingt Gleiches mit Gleichem verglichen werden muss. Häufig ist es so, dass der IT-Administrator quasi im Nebenjob auch noch für die Wartung und die Überwachung von Sicherheitskomponenten verantwortlich ist. Wer also die sicherheitsrelevanten Kosten aus den gesamten Aufwendungen für die IT-Administration herausbröselt und mit den Kosten eines Sicherheits-Outsourcings vergleicht, stellt schnell fest, dass ihn das Inhouse-Modell wesentlich billiger zu stehen kommt.
Die Frage ist allerdings: Zu welchem Preis? Nicht immer kann Inhouse ein genügend hoher Sicherheitsstandard gewährleistet werden. Es kann sehr lange sehr gut gehen - aber auch nur sehr kurz. Meistens ist letzteres der Fall.
Der Grund, dass eher früher als später etwas passiert, liegt in der Natur der Sache. Eine Firewall zum Beispiel ist ein lebendiges System, das mehr Pflege bedarf als die monatliche Nach-Justage. Die Angreifer nehmen in aller Regel keine Rücksicht auf die Tages- und Wochenrhythmen des Administrators. Deshalb müssen Sicherheitskomponenten 24 Stunden und 365 Tage im Jahr überwacht und betreut werden. Und zusätzlich zur permanenten Überwachung müssen Hard- und Software stetig aktualisiert werden. Das alles verschlingt massiv Zeit und Ressourcen. Wer alle Aspekte einer wasserdichten Sicherheitsarchitektur beleuchtet, stellt schnell fest, dass ein Outsourcing die bessere Lösung ist.
Das ist unterdessen auch vielen Unternehmen klar. Doch es brauchte unglaublich viel Überzeugungsarbeit. Das war ein Prozess, in dem auch die IT-Security-Firmen einiges dazugelernt haben. So mussten sie Mechanismen einführen, die es für den Kunden einfacher machen, genau nachzuvollziehen, wie sein Firmennetzwerk geschützt wird. Damit haben Managed-Security-Service-Provider stark zur Vertrauensbildung beigetragen, was bitter nötig war. So bieten praktisch alle Anbieter ein spezielles Webinterface an, wo Kunden auch die kleinsten Änderungen an den Sicherheitskomponenten jederzeit nachvollziehen können. Alle Änderungen und Vorkommnisse wie Angriffe und offene Probleme werden dabei penibel genau dokumentiert. Manche Anbieter bieten über ein solches Interface sogar Einsicht in die komplette Systemkonfiguration an. So kann der Kunde jederzeit das Abwehrdispositiv selbst oder über eine Drittfirma prüfen lassen. Das schafft Vertrauen - auch im Zweifelsfall.
Interessant ist übrigens, dass Firmen bei der physischen Sicherheit wie Zugangsschutz viel weniger darauf bedacht sind, alles selbst machen zu müssen. Nicht schlecht habe ich gestaunt, als ich einen potentiellen Kunden besuchte, von dem ich wusste, dass er gegenüber IT-Security-Outsourcing sehr kritisch eingestellt ist. Was mich überraschte war, dass ich ausgerechnet in seinem Betrieb von einem Securitas-Mann empfangen wurde, dem ich für den Access einen gültigen Ausweis vorzuweisen hatte...
Bei den Anbietern von Managed Security Services gibt es generell drei verschiedene Arten. Es sind dies Netzwerk- und System-Integrationsfirmen, Internet Service Provider und spezialisierte Managed Security Service Provider. Letztere machen nichts anderes als Internet-Security, und deshalb darf man von ihnen die höchstmögliche Qualität verlangen. Das ist bei Internet Service Providern anders. Seit einiger Zeit versuchen sie, neben reiner Internet Connectivity auch Sicherheits-Services zu verkaufen. Der Erfolg hält sich in Grenzen. Der Grund für die durchzogene Bilanz liegt wohl in den dürftigen Sicherheits-Ressourcen dieser Firmen. Daran zeigt sich deutlich: Sicherheit kann man nicht als Nebenerwerb betreiben. Entweder man ist voll auf Sicherheit fokussiert und kann mit der sehr schnellen Entwicklung standhalten, oder man geht Kompromisse ein.