IT-Security: In- oder Outsourcing?
Artikel erschienen in Swiss IT Magazine 2003/06
Glaubt man den Medien, ist der sogenannte Cyberwar in vollem Gange. IT-Security ist ein Thema, über das selbst Blätter berichten, die sich sonst nicht oder nur am Rande für Informationstechnologie interessieren. Ausgelöst wurde die Breite der Berichterstattung durch diverse erfolgreiche Angriffe mit Viren, Würmern oder Denial-of-Service-Attacken, die ganze Firmen oder sogar Teile des gesamten Internet ausser Gefecht setzten. Der wirtschaftliche Schaden dadurch ist enorm. Ein weiterer Grund liegt wohl in der Heraufbeschwörung des Cyberwar durch die USA im Zusammenhang mit dem aktuellen Irak-Krieg.
Doch ist die Problematik wirklich so real, wie sie momentan in den Medien behandelt wird? Betrifft das auch ganz normale, nicht-staatliche Firmen? Diese Fragen kann man ziemlich klar mit einem Ja beantworten. Angriffe auf Computer-Netzwerke und Daten haben zwar schon immer stattgefunden, selbst vor der Erfindung des Internet. Durch die immer stärkere Verflechtung der Firmennetzwerke mit dem Web haben die Gefahren aber extrem zugenommen.
Heute kann es sich keine Firma mehr leisten, sich nicht mit dem Thema IT-Sicherheit zu beschäftigen. Verpasst es ein Unternehmen, sich rechtzeitig darum zu kümmern, riskiert es grosse finanzielle Schäden, die sich über Image-Verluste teils auch erst indirekt manifestieren.
Sinkende Sicherheit bei mangelnder Betreuung
Firmen sind heute permanent von Angriffen bedroht. Eher selten handelt es sich bei dieser Bedrohung allerdings um gezielt geplante Attacken. Viel häufiger werden ziellos ganze Internetbereiche nach Löchern durchforstet, um diese für einen Einbruch auszunutzen. Wer seine vom Internet her erreichbaren Systeme nicht im Griff hat, wird deshalb meist gnadenlos bestraft.
Dies hat auch der Angriff auf die Hosting-Umgebung von Tiscali vor wenigen Wochen gezeigt. Dabei haben Hacker 900 gehostete Websites komplett gelöscht, nachdem sie die Administratoren der Systeme angeblich vorgängig gewarnt haben. Direkte und vor allem auch indirekte Schäden können bei solchen Fahrlässigkeiten enorm in die Höhe schnellen.
Die massive Zunahme von Angriffen führte denn auch in den letzten Jahren dazu, dass Unternehmen intensiver in Infrastruktur-Security-Systeme wie Firewalls, Network Intrusion Detection oder Antivirenlösungen investierten - irgendeine Art von Firewall ist heute fast überall installiert. Dazu muss aber auch gleich ganz klar gesagt werden, dass es für den Schutz einer Firma nicht reicht, nur Infrastruktur-Security-Systeme einzusetzen. Für umfassenden Schutz braucht es weitaus mehr, wie beispielsweise Information-Security-Policies, Patch-Management-Prozesse oder Monitoring-Aktivitäten, um nur einige wenige Bereiche zu erwähnen.
Die enorme Diversifizierung der Angriffsmethoden hat auch dazu geführt, dass sich die klassischen Infrastruktur-Security-Produkte zunehmend verändern, weil sie immer mehr unterschiedliche Attacken abwehren müssen. Ein deutlicher Trend führt etwa zur Verschmelzung von Firewall- und Intrusion-Detection-Technologien. Dabei wird der Dschungel der Technologien allerdings zunehmend dichter, es ist kaum mehr möglich, auf den ersten Blick zu erkennen, welche Produkte und Technologien welche Angriffsmethoden abwehren können. Neue, effiziente Abwehrsysteme und -methoden müssen in den nächsten Jahren erst entwickelt werden.
In grösseren Firmen ist es heute gang und gäbe, dass mehrere Dutzend Firewalls, VPN-Gateways oder Network-Intrusion-Detection-Systeme (IDS) betrieben werden. Die Betreuung dieser unterschiedlichen Systeme wird dabei immer komplexer und zeitintensiver. Werden die Systeme nicht richtig betreut, so sinkt aber gleichzeitig auch der Sicherheits-Level.
Nach einem Security Assessment, dem darauf folgenden Design oder Redesign und der Implementation der Lösung werden die Systeme vielfach nicht konsequent und intensiv genug betreut. Praktische Beispiele sind etwa eine Firewall, die nicht auf dem aktuellen Stand gehalten wird, oder ein Antiviren-System, dessen Viren-Signaturen seit Monaten nicht mehr aufdatiert wurden. Oder eine Firewall, bei der das Disksystem durch schlechte Verwaltung übervoll ist und die dadurch nicht mehr stabil läuft.
Dies sind noch eher triviale Beispiele. Komplizierter wird es, wenn zum Beispiel alle sicherheitsrelevanten Logfiles zentral aufbewahrt werden müssen, um einen versuchten Angriff oder erfolgreichen Einbruch zu analysieren und zu verhindern. In grösseren Umgebungen ist es auch wichtig, dass man jederzeit nachvollziehen kann, wer auf welchen Sicherheitssystemen Änderungen vollzogen hat, in wessen Auftrag er dies tat und ob der Auftraggeber dafür überhaupt berechtigt war. Bei diesem Punkt handelt es sich um Prozess-Abbildungen, die immer wichtiger werden. Weitere Beispiele sind das System-Hardening, bei dem Betriebssysteme und darauf installierte Applikationen so konfiguriert werden, dass möglichst wenig Angriffsflächen bestehen, und der Patch-Management-Prozess, bei dem man Betriebssystem und Applikationen kontinuierlich auf den neusten und damit sichersten Stand bringt. Es nutzt nämlich herzlich wenig, wenn man die beste Firewall installiert hat und dahinter einen erreichbaren Server betreibt, den man überhaupt nicht oder nicht regelmässig mit Patches aufdatiert.
Es gibt heute kaum Hardware oder Software, die keine sogenannten Vulnerabilities enthalten. Bei Vulnerabilties handelt es sich um Schwachstellen in Produkten, die ausgenutzt werden können, um in ein System einzubrechen. Bekanntlich basiert der allergrösste Teil der erfolgreichen Attacken auf Schwachstellen in Produkten. Diese Attacken wiederum kann man verhindern, indem in der Firma ein Patch-Management-Prozess implementiert wird. Wer sich heute nicht darum kümmert, arbeitet fahrlässig und sollte ernsthaft über ein Outsourcing von Teilbereichen nachdenken.
Security-Management-Kategorien
Die enorme Diversifizierung der Angriffsmethoden, aber auch die steigende Komplexität der Abwehr-Technologien haben dazu geführt, dass Firmen immer mehr Ressourcen aufbringen müssen, um sich ausreichend zu schützen. Nur schon die verschiedenen Softwareprodukte, die heute benötigt werden, um die Systeme zu betreuen und zu überwachen, sind so vielfältig und unübersichtlich wie in fast keinem anderen IT-Bereich. Die Illustration zeigt, welche Softwarekategorien in einer grösseren Unternehmung eingesetzt werden können, um Sicherheitssysteme und -applikationen zu verwalten und optimal zu betreiben.
Security Information Management (SIM): Bei SIM-Produkten handelt es sich um Anwendungen, die sicherheitsrelevante Events von Netzwerk- und Sicherheitsgeräten sowie von Betriebssystemen und deren Applikationen zentral und teilweise in Echtzeit speichern. Die Informationen werden meist in einer Datenbank zentralisiert, normalisiert und korreliert, um Einbrüche über mehrere Systeme frühzeitig erkennen zu können. SIM-Programme dienen aber auch als zentrales Logfile-Archiv, um Analysen zu tätigen und Reports zu generieren. Damit hat man die Möglichkeit, Angriffe auch nachträglich nachzuvollziehen. Die Korrelation von mehreren Sicherheits-Events auf verschiedenen Systemen ist momentan eines der aktuellsten Themen in Security-Kreisen. Sinnvoll kann zum Beispiel die Korrelation des Logfiles eines Network-Intrusion-Detection-Systems mit dem Resultat eines Vulnerability-Scanners sein. Ein Vulnerability-Scanner erkennt Schwachstellen in Systemen, und ein IDS-System erkennt bekannte Attacken auf diese. So kann man feststellen, ob ein erkannter Angriff auch wirklich möglich war. Diese automatisierte Filterung erspart einem Administrator viel Arbeit, da er nur noch Alarme bearbeiten muss, die von realen, möglichen Attacken stammen.
Enterprise Security Management (ESM): Das Ziel von ESM-Produkten ist die zentrale Konfiguration von Security Policies für sämtliche Security-Systeme und -Applikationen. Dies können Information Security Policies sein, aber auch Konfigurations-Policies wie etwa für eine Firewall. Teilweise ist es auch möglich, mehrere Firewalls oder VPN-Lösungen von verschiedenen Herstellern mit nur einer Management-Software zu konfigurieren. Immer mehr ESM-Produkte enthalten aber auch SIM-Funktionalitäten.
Vendor Management Products: Bei diesen Produkten handelt es sich um die proprietären Administrationswerkzeuge der Hersteller, wie beispielsweise die Verwaltungskonsolen von Firewalls, VPN-Gateways und ähnlichem. Solche Produkte sind in jeder Firma im Einsatz.
Network Management Systems (NMS): Netzwerk-Management-Produkte sind heute schon weit verbreitet, um ganze Netzwerke zu überwachen und die Verfügbarkeit und Performance zu messen. Im Security-Bereich sind diese Tool ansatzweise ebenfalls vertreten. Meistens überwachen Firmen Sicherheitssysteme mangels Alternativen mit herkömmlichen NMS-Lösungen.
Sicherheitsfirmen haben erkannt, dass es für Firmen immer schwieriger wird, ihre Sicherheitsinfrastruktur selber zu betreuen. Sie bieten deshalb Outsourcing-Services an, um Teile der IT Security für den Kunden umfassend zu betreuen. Dieses Outsourcing wird im Fachjargon auch Managed Security Services (MSS) genannt.
Das Business-Modell eines sogenannten Managed Security Service Providers (MSSP) ist sehr einfach zu verstehen. Hochspezialisierte Sicherheitsexperten und eine hochsichere Security-Management-Umgebung, die Security Operation Center (SOC) genannt wird, arbeiten dabei für mehrere Kunden gleichzeitig. Das SOC selber enthält diverse SIM, ESM, NMS und Vendor-Management-Produkte, um die diversen Kundenumgebungen zu betreuen. Die Illustration auf dieser Seite zeigt schematisch, wie eine solche Umgebung aussehen kann.
Professionelle MSSP bieten dem Kunden meist über ein Webinterface ein Front-end an, über das er sich über den Status der ausgelagerten Systeme, offene Trouble-Tickets, Statistiken, Alarme, Logs aller Änderungen und anderes informieren kann. Teilweise hat der Kunde durch ein solches Interface auch die Möglichkeit, die ganze Konfiguration des Systems zu sehen.
Möchte eine Firma dieselbe Qualität erreichen wie ein MSSP, muss sie einen ähnlich grossen Aufwand betreiben. Der Vorteil eines MSSP liegt damit klar auf der Hand: Er bietet dem Kunden einen hohen Sicherheits-Standard zu einem wesentlich tieferen Preis.
In keinem Fall kann aber eine Firma die gesamte IT Security auslagern. Generell eignen sich vor allem dedizierte Infrastruktur-Security-Systeme für ein Outsourcing, da sie sich leicht abgrenzen lassen. So ist auch das Angebot von MSSP meist identisch. Klassische Systeme, die sich gut outsourcen lassen, sind:
Firewalls
VPNs
Network Intrusion Detection Systeme
Antiviren-Gateways
Authentifizierungs- und Caching-Server
Content Inspection Gateways
Es gibt aber nicht nur Managed Security Service Provider, die solche Services anbieten. Auch andere IT-Firmen sind auf den Zug aufgesprungen oder haben dies in den nächsten Monaten in Planung. Die Anbieter lassen sich in folgende Kategorien einteilen:
Managed Security Service Provider (MSSP): Bei MSSP-Firmen handelt es sich um ausschliesslich auf diesen Bereich spezialisierte Firmen. Sie zeichnen sich meist durch ein exzellentes Infrastruktur-Security-Know-how aus. Durch den ausschliesslichen Fokus auf Security bieten sie qualitativ gute und klar abgegrenzte Services. Ihr Angebot beschränkt sich meistens auf sogenannte Perimeter-Umgebungen, also Umgebungen am Übergang vom lokalen LAN zum Internet.
System- und Netzwerk-Integratoren: Integrationsfirmen kommen vom Netzwerk- und/oder vom System-Bereich und ergänzen ihre bestehenden, eher reaktiven Support-Services mit Managed-Security-Services. Durch das sehr breite Spektrum an Technologien (Netzwerk, Applikationen etc.) sind sie weniger auf Infrastruktur-Security fokussiert als die MSSP-Firmen. Sie können auch im internen Netzwerk vermehrt Security-Services anbieten. Da sie meist keinen ausschliesslichen Fokus auf IT-Security haben, ist die Qualität dieser Angebote meist nicht so hoch wie bei einem spezialisierten MSSP.
Internet Service Provider (ISP): ISPs ergänzen ihr klassisches Internet-Zugangs-Business gern mit Managed-Security-Services. Obwohl sie beim Kunden sehr gut positioniert sind, hat sich ihr Erfolg in diesem Bereich bisher allerdings in Grenzen gehalten.
Im VPN-Bereich können ISPs aber durch recht gute Services auftrumpfen, da sie auch die Internetzugänge betreuen. Bei grossen, weltweiten VPN-Netzwerken schwindet dieser Vorteil aber wieder, da durch das "ISP-Sterben" auch die globale Abdeckung der Internetzugänge eines einzelnen ISP abgenommen hat. Viele Firmen suchen deshalb mittlerweile Provider-unabhängige Security Services.
Verwaltung per Security Operation Center
Doch wie sieht es aus mit den Risiken eines Security-Outsourcing? Was müssen Unternehmen beachten? Noch immer tun sich Firmen damit schwer, den Betrieb von Sicherheitssystemen auszulagern, obwohl es in anderen Bereichen der Sicherheit schon der Normalfall ist.
So lassen sich etwa viele Firmen ihre Gebäude durch externe Firmen wie Securitas sichern, die entsprechend vollen Zugang zu allen Büro-Räumlichkeiten haben. Wo liegt der Unterschied? Am ehesten noch bei den Kontrollmöglichkeiten, die eine Firma hat. Deshalb sollte man bei der Evaluation eines MSSP darauf achten, dass es sich bei den angebotenen Services um eine möglichst transparente und kontrollierbare Dienstleistung handelt.
Folgende Fragen sollten Sie Ihrem Managed-Security-Service-Partner stellen:
1. Können Sie jederzeit die Konfiguration der Systeme selber überprüfen oder diese durch eine Drittfirma überprüfen lassen, ohne dafür vorgängig den Partner zu kontaktieren?
2. Bietet der Anbieter ein Journal an, in dem jegliche Änderungen an den Policies und an der Konfiguration der Systeme nachvollzogen werden kann?
3. Wie werden die Systeme überwacht?
4. Garantiert Ihnen der Anbieter per Service Level Agreement die permanente Aktualisierung der Systeme (Patch Management)?
5. Wie fokussiert ist das Business des Anbieters auf IT-Security?
6. Können Sie in einer unvorhergesehenen Situation wie beispielsweise einem Konkurs des Anbieters das Management der Systeme sofort wieder selber übernehmen?
7. Wie stark sind Sie an den Anbieter gebunden, beispielsweise durch Vermietung oder Leasing von Hard- und Software oder Internetzugängen?
8. Handelt es sich bei der angebotenen Dienstleistung um den Betrieb von Security-Systemen oder auch um einen Monitoring-Service, bei dem pro-aktiv Einbrüche verhindert werden?
Firmen, die diese Fragen stellen und die daraus resultierenden Konsequenzen beachten, können ohne grössere Risiken ihre Sicherheitssysteme outsourcen. Der Preis, den sie dafür bezahlen, wird einiges tiefer sein, als wenn sie die erwähnten Systeme selber betreiben.
Patrick Michel arbeitet als Senior Security Consultant bei Celeris.