07.05.2009, 19:37 Uhr
Vertrauen ist gut, ein Audit aber besser
An dem am Donnerstag Nachmittag in Zürich über die Bühne gegangenen und vom IT-Beratungsunternehmen consul&ad organisierten Security-Podium ging es neben E-Mail- und Webapplikationssicherheit auch um das im Trend liegende Thema Managed Security Service.
Diskutierten am Security-Podium, das von consul&ad in Zürich veranstaltet wurde, über Managed Security Services und Security-Outsourcing: Marc-Yves Bächli, CEO terreActive, Werner Buntschu, Stv. CSO SBB, und Martin Werner, Security Consultant bei Symantec (von links nach rechts).
Anwender, vertreten durch Ralf Winzer, CISO von Raiffeisen, und Werner Buntschu, Stv. CSO der SBB, diskutierten dabei lebhaft mit Anbietern wie Marc-Yves Bächli von terreActive, Martin Werner von Symantec und Roger Glaus von Infotrust sowie mit dem Publikum über die Vor- und Nachteile sowie die Stolpersteine eines Security-Outsourcing.
Dreh- und Angelpunkt der Diskussion und Knackpunkt für ein für beide Seiten zufriedenstellendes Geschäftsverhältnis beim Security-Outsourcing sind dabei die Aushandlung und Definition des Service Level Agreements (SLA). Denn eine der Hauptschwierigkeiten sei es, so das Votum eines CSO aus dem Publikum, sicher zu stellen, ob die Anforderungen des Kunden auch umgesetzt werden, also ob der Provider auch die Security bietet, die er versprochen hat. Deshalb sei es wichtig trotz des speziellen Vertrauensverhältnis zwischen Security-Provider und -Abnehmer, ersteren frei nach Lenin auch zu kontrollieren.
Wie terreActive-Mann Bächli empfiehlt soll ein künftiger Abnehmer von Managed Security Services (MSS) durchaus ein Audit beim Provider verlangen. Auch ein "ISO 27'000"-zertifizierter Outsourcer sei eine Garantie, dass etwa Daten nicht irgendwo im Ausland lagern, wo es günstig ist. Ebenfalls ein guter Tipp ist es, gleich mit mehreren Outsourcern zusammenarbeiten, die sich zudem gegenseitig auf die Finger schauen.
Schliesslich sei es wichtig in den SLA und im Outsourcing-Vertrag für Transparenz zu sorgen. So sollte man, wie Bächli ausführt, darauf achten, dass man als Kunde jederzeit Zugriff auf die Logfiles besitze. Nur so könne man auch einmal ein Audit des Outsourcers durchführen, ohne dass dieser das merkt.
Das MSS-Podium hatte darüber hinaus weitere Ratschläge an künftige Security-Outsourcing-Abnehmer parat. So wurde empfohlen nicht alles auf einmal auszulagern, sondern nur einen Dienst in Anspruch zu nehmen, also eine Art Outsourcing auf Probe durchzuführen. Schliesslich hiess es bei den Diskussionsteilnehmern, man solle mit mindestens zwei Providern bis zum Schluss verhandeln.
Werden diese Ratschläge befolgt, könne MSS seine Vorteile ausspielen, die da unter anderem wären: weniger Kosten, weniger Aufwand und dadurch auch ein Mehr an Sicherheit. Gleichzeitig könnten dabei die Nachteile zumindest verringert und eingeschränkt werden, wie etwa die Abhängigkeit vom Anbieter oder der Kontrollverlust über die Daten.
