Trau, schau, wem

Tom Hager ist CEO von InfoTrust.

Das Dilemma könnte grösser kaum sein: Einerseits existiert eine Vielzahl von Hard- und Software-Produkten, mit denen sich die IT eines Unternehmens bestens absichern lässt. Andererseits fehlt aber vielen Unternehmen sowohl die Zeit, als auch das Know-how, um diese Sicherheitskomponenten seriös zu managen. Insbesondere der Aufbau und Erhalt von IT-Security-Know-how ist ein wesentlicher Kostenfaktor für die Unternehmen - unabhängig davon, wie gross sie sind. Daher lohnt es sich, die IT-Security auszulagern.

Der «Kauf» von IT-Sicherheit durch Security-Outsourcing an einen Managed Security Service Provider (MSSP), bringt klare Vorteile:

- Skaleneffekte beim MSSP ermöglichen Kosteneinsparungen.

- Die Kosten für Betrieb und Überwachung werden genau budgetierbar.

- Technologierisiken können auf den MSSP transferiert werden.

- Zudem werden die IT-Abteilungen spürbar entlastet. Zudem profitieren sowohl das outsourcende Unternehmen als auch der MSSP von gesteigerter Wirtschaftlichkeit - denn jeder kann sich auf seine jeweilige Kernkompetenz fokussieren.

Die Sicherheitsexperten eines zertifizierten MSSP lösen täglich bei einer Vielzahl von Unternehmen sicherheitsrelevante Prob-leme. Dadurch können sie Verhaltens-trends der Angreifer früh erkennen. Die entstehenden Synergiepotenziale kommen den einzelnen Unternehmen zugute - in Form von höherer Qualität, schnellerer Reaktion und besserer Prävention. Zudem werden die IT-Abteilungen spürbar entlastet.

Diesen Vorteilen stehen zwei grundsätzliche Anforderungen gegenüber:

- Der MSSP muss die höchstmögliche Sicherheit der Kundendaten garantieren.

- Der Netzwerkzugang zu den Daten muss durch verschiedene Verschlüsselungstechnologien gemäss strengster Richtlinien abgesichert werden.

Bei der Wahl des MSSP spielt der Faktor Vertrauen eine zentrale Rolle. Vertrauen kann nur entstehen, wenn die Zusammenarbeit offen und transparent ist. Gefestigt wird es durch die fortschreitende Dauer der Kooperation.

Der MSSP muss in der Evaluationsphase zeigen, wie er Transparenz sicherstellen kann. Um Überraschungen auf beiden Seiten zu vermeiden, sind Rollenverteilung und Kooperationsprozesse klar zu definieren. Zudem müssen MSS - ungeachtet ihrer hohen Standardisierung bei der Parametrisierung - so flexibel sein, dass sie den Bedürfnissen der zu schützenden Umgebung angepasst werden können. Ausgewiesene Branchenkompetenz des MSSP erleichtert die Zusammenarbeit.

Die Ausgestaltung des MSS ist von Anbieter zu Anbieter unterschiedlich. Die Angebote sind vielfältig und nicht jeder MSSP definiert unter dem Begriff «MSS» dieselben Leistungen. Die Angebote reichen von der Übernahme des Betriebs (Outsourcing Operational Tasks) bis hin zum Rückkauf bestehender Hard- und Softwarekomponenten oder der Lieferung von Komponenten.

Daher ist es sehr wichtig, die vereinbarte Dienstleistung im Service Level Agreement (SLA) vollumfänglich, exakt und zweifelsfrei zu definieren und zu fixieren. Das SLA definiert die Leistungen des Services wie den Umfang der Aktivitäten, den Durchsatz, die Verfügbarkeit, die Reaktionszeit, die Service- und Supportzeiten, den Eskalationsprozess, die Konsequenzen beim Nichteinhalten des SLAs sowie natürlich den Preis des Servicepakets. Es ist eine vertraglich bindende Verpflichtung für beide Partner und enthält daher auch dedizierte Angaben zu allen Leistungen, die nicht im vereinbarten Servicepreis enthalten sind sowie zu den Kosten, welche anfallen, falls diese optionalen Dienste doch genutzt werden.

Damit die auszulagernden Tätigkeiten möglichst genau definiert werden können, sind fundierte Kenntnisse der eigenen Geschäfts- und IT-Prozesse wichtig. Sie helfen, die Schnittstellen zwischen den Prozessen des Unternehmens zu dokumentieren und mit dem MSSP abzustimmen. Dabei ist zu bedenken, dass das Unternehmen die Systemverantwortung über ein SLA dem MSSP übergeben kann. Das Risiko-Management und die Verantwortung bezüglich IT-Sicherheit aus strategischer Sicht aber können nicht ausgelagert werden.

Überdies ist Transparenz unabdingbar für eine erfolgreiche Zusammenarbeit. Es ist klar zu definieren, welche Leistungen im Detail erbracht werden und welche Reports der MSSP in welcher zeitlichen Periodizität liefern muss. Zudem ist im Vorfeld präzise festzuhalten, welche Personen auf Unternehmensseite dem MSSP welche Art von Aufträgen und Change Requests erteilen können und welche Informationen diese vom MSSP erhalten. Auch die Art der Authentisierung dieser Personen muss definiert werden. Natürlich sollte die Zusammenarbeit mittel- und langfristig geplant sein. Nur so können die Vorteile und Synergien eines IT-Security-Outsourcings vollumfänglich ausgeschöpft werden.

Durch den Kauf von Managed Security Services können sich Unternehmen auf ihre Kernkompetenzen und Kernprozesse konzentrieren und erhalten zu vorgängig definierten Kosten den Zugang zu qualifizierten Sicherheitsspezialisten. Diese übernehmen neben der Rund-um-die-Uhr-Überwachung der Services auch das Management von Schwachstellen und können auf neue Angriffstrends sofort reagieren. Das Unternehmen hat über das Reporting jederzeit die Kontrolle und die Übersicht über den Status seiner IT-Sicherheit. Die Verantwortung für die IT-Security aus strategischer Sicht und für die Risiko-Management-Prozesse verbleibt dabei im Unternehmen.

Checkliste

1. Eine detaillierte Risikoanalyse bildet zusammen mit der IT-Strategie die Grundlage zum IT-Sicherheitsstrategie-Entscheid. Die aus der Risikoanalyse erhaltenen Erkenntnisse fliessen in den Anforderungskatalog an einen Managed Security Service Provider (MSSP) ein.

2. Fundiertes Wissen über die eigenen Geschäfts- und IT-Prozesse hilft, die auszulagernden Tätigkeiten zu definieren, die Schnittstellen zwischen den Prozessen des Unternehmens zu dokumentieren und diese mit dem MSSP abzustimmen. Generell müssen Rollenverteilung und Kooperationsprozesse genau definiert sein.

3. In einem Service Level Agreement (SLA) werden alle Tätigkeiten des MSSP (Serviceumfang, Preis etc.) präzise definiert und regelmässig überprüft. Nur was definiert wurde, kann gemessen und bewertet werden.

4. Die Zugriffsberechtigungen und Autoritäten müssen exakt definiert werden (z. B.: Welche Mitarbeiter dürfen in welcher Form dem MSSP Aufträge erteilen).

5. Transparenz ist ein Muss. Die Tätigkeiten und Leistungen des MSSP müssen für das Unternehmen transparent und nachvollziehbar sein.

6. Der Fokus auf die Service-Qualität kann durch die Definition von Pennalen erhöht werden.

7. Regelmässige Kontrollen sind unabdingbar. Das Unternehmen muss Reports erhalten, die jederzeit eindeutig den Status seiner IT-Sicherheit dokumentieren.

8. Standardisierte MSS müssen flexibel genug sein, um den Bedürfnissen der zu schützenden Umgebung entsprechend angepasst werden zu können.

9. Aufwandsabhängige Leistungen, die nicht im Pauschalpreis für ein bestimmtes Leistungspaket enthalten sind, müssen im Detail beschrieben werden.

10. Die Verantwortung über die IT-Sicherheit in strategischer Hinsicht verbleibt beim Kunden. Die Kontrolle der sicherheitsrelevanten Bereiche muss durch entsprechende Massnahmen, etwa durch Reports, jederzeit gewährleistet sein.

11. Die Zusammenarbeit sollte mittel- und langfristig geplant sein.

12. Die starke Variation bei den MSS-Angeboten bedingt eine sorgfältige Evaluierung. Wichtig sind vor allem Branchenkenntnis, Flexibilität, gute Referenzen und Offenheit. Nur so entsteht Vertrauen.