Suchen Suchen Kontakt Kontakt Home Home
Über uns
Lösungen &
Services
Events
Schulungen
Partner
Presse
Medienmitteilungen
Fachartikel
Jobs & Karriere

InfoTrust AG
IT Security Solutions
Riedhofstrasse 11
Postfach
CH-8804 Au ZH
Tel. +41 (0)43 477 70 10
Fax +41 (0)43 477 70 12
info@infotrust.ch
Presse
>> Fachartikel

Optimierung, Kostentransparenz und Effizienz

Quelle: Netzguide IT-Infrastruktur und -Management 2007
Autor: Tom Hager, CEO, InfoTrust

Der umfassende Schutz von produktiven IT-Systemen stellt für Unternehmen heutzutage eine grosse Herausforderung dar. Dank Managed Security Services optimieren Unternehmen den Aufbau und den Betrieb ihrer Sicherheitsinfrastruktur.

Die Anforderungen an den Schutz von produktiven IT-Systemen gegen Attacken haben sich in den letzten Jahren stark erhöht und der Wandel ist nicht abgeschlossen. Die Zeiten, in denen ein Unternehmen durch den Einsatz von Firewall- und Virenschutz-Lösungen relativ gut geschützt war, gehören definitiv der Vergangenheit an. Die heutigen Angriffe sind sehr oft wirtschaftlich motiviert.
Es geht den Angreifern nicht mehr darum, mit ihrer Tätigkeit Anerkennung in der Hackerszene zu erhalten, sondern Geld zu verdienen.

Jede kriminell motivierte Person kann heute über einschlägige Foren mit Malware-Entwicklern in Kontakt treten und schon für rund 1000 Franken sein eigenes Stück Malware zum Diebstahl von sensitiven Unternehmensdaten eines ausgesuchten Unternehmens entwickeln lassen. Die kriminelle Energie dieser Entwickler ist umso grösser, je mehr Geld damit verdient werden kann.
Unterstützt werden diese Angriffe durch die immer grössere Anzahl an Schwachstellen in den verwendeten IT-Komponenten. Diese Schwachstellen können durch gezieltes Patch Management eliminiert werden. Dies bedingt, dass die Hersteller der entsprechenden Client- und Server-Software auch rechtzeitig die Patches zur Verfügung stellen oder dass mit entsprechenden Sicherheitslösungen die Problematik entschärft werden kann.

Know-how-Anforderungen an IT-Sicherheitspersonal steigt

Nicht nur die Anforderungen an die zu implementierenden Sicherheitslösungen haben zugenommen, auch die Know-how-Anforderungen an das IT-Sicherheitspersonal sind markant gestiegen. Neben fundiertem Wissen über Netzwerkmechanismen sind auch ein detailliertes Verständnis über die Funktionsweise der eingesetzten Applikationen und tiefe Betriebssystemkenntnisse erforderlich.

In kleineren und mittleren Unternehmen wird die Betreuung der Sicherheitskomponenten oft als Zusatzaufgabe auf eine Person oder einige Personen der Informatikabteilung verteilt. Die Hauptaufgabe dieser Personen ist die Pfl ege der IT-Produktionssysteme und der direkte Benutzersupport. Eine Sicherheitslösung zu implementieren ist ein erster Schritt zur Absicherung von sensitiven Unternehmensdaten. Die Implementierung allein bietet aber nur kurzfristig Schutz. Da das Umfeld sich dynamisch verändert, muss auch die Sicherheitslösung im Rahmen der Betriebsaufgaben kontinuierlich überprüft und angepasst werden. Für das seriöse Management der Sicherheitskomponenten fehlt im Unternehmen jedoch oft die Zeit oder das Know-how. Gerade der Aufbau und Erhalt von Know-how im Bereich IT-Sicherheit stellt für ein Unternehmen jeder Grösse einen grossen Kostenfaktor dar.

IT-Sicherheit: detaillierte Risikoanalyse nötig

IT-Sicherheit ist eine reine, aber zwingend notwendige Präventionsmassnahme. IT-Sicherheit bringt einem Unternehmen, verglichen mit einem IT-Produktionssystem zur Unterstützung der Geschäftsprozesse, keinen direkten Wettbewerbsvorteil, sondern nur einen erheblichen Schaden, wenn der IT-Grundschutz nicht gewährleistet ist. IT-Sicherheit zählt bei den meisten Unternehmen
nicht zum Kerngeschäft. Die Frage, wie viel in einem Unternehmen in das Th ema IT-Sicherheit
investiert werden soll und welche Sicherheitsmassnahmen zwingend umgesetzt werden müssen, lässt sich nur mittels einer detaillierten Risikoanalyse klären. Ein implementierter Risiko–Management-Prozess gibt nicht nur Aufschluss über die Prioritäten zur Implementation von Schutzmassnahmen. Die Ergebnisse der Analyse bilden zusammen mit der IT-Strategie die Grundlage zum IT-Sicherheitsstrategie-Entscheid «make or buy».

Beim Entscheid, die IT-Sicherheit mit internen IT-Personalressourcen zu implementieren und zu betreiben, müssen die Investitionen nicht nur für die technischen Massnahmen, sondern gezielt, wie oben beschrieben, auch für die Aus- und Weiterbildung der involvierten Mitarbeiter gesprochen werden. Oft fehlt es jedoch an Praxis und an Möglichkeiten von Tests in Laborumgebungen. Die
Überprüfung von neuen Releases ist nur sehr beschränkt möglich und wiederum mit Kosten verbunden. Neben dem Know-how einzelner Mitarbeiter kann sich auch die Stellvertreterregelung
bei Abwesenheiten als Herausforderung erweisen, da die Stellvertretung auch über fundiertes Wissen verfügen muss. Die Pfl ege der IT-Sicherheit darf nicht zur Zusatzaufgabe bei genügend Zeit
beziehungsweise Ressourcen verkommen. Sie muss als definierten Prozess seriös wahrgenommen und umgesetzt werden. Nur dadurch kann das mittels Risikoanalyse definierte, benötigte Sicherheitsniveau aufrechterhalten werden.

IT-Sicherheit-Outsourcing macht Kosten berechenbar

Der Entscheid, die IT-Sicherheit durch Outsourcing an einen Managed Security Service Provider (MSSP) einzukaufen, hat neben dem Kosteneinsparungspotenzial durch Skaleneffekte beim MSSP auch den Vorteil, dass die anfallenden Kosten für den Betrieb und die Überwachung genau budgetierbar respektive berechenbar werden. Zudem können Technologierisiken auf den MSSP transferiert werden. Die Konzentration auf das Kerngeschäft erhöht die Wirtschaftlichkeit sowohl des outsourcenden Unternehmens wie auch des MSSPs selbst.

Die Sicherheitsexperten des MSSPs lösen täglich bei einer Vielzahl von Unternehmen sicherheitsrelevante Probleme und erkennen frühzeitig Verhaltenstrends der Angreifer. Die dadurch entstehenden Synergiepotenziale kommen den einzelnen Unternehmen in Form von höherer Qualität, schnellerer Reaktion und besserer Prävention des Managed Security Services (MSS) zugute.

Die richtige Wahl des MSSPs ist entscheidend

Bei der Wahl des geeigneten MSSPs spielt der Faktor Vertrauen eine zentrale Rolle. Vertrauen ist ein Softfaktor und kann erst durch eine längerfristige Zusammenarbeit gefestigt werden, die auf Offenheit und Transparenz basiert. In der Evaluationsphase muss der MSSP deshalb aufzeigen können, wie er die Transparenz sicherstellen kann. Um in der Implementationsphase auf beiden Seiten keine Überraschungen zu erleben, müssen die Rollenverteilung und die Zusammenarbeitsprozesse klar definiert sein. Standardisierte Managed Security Services müssen trotz ihrer hohen Standardisierung bei der Parametrisierung genügend Flexibilität aufweisen, um den Bedürfnissen der zu schützenden Umgebung zu entsprechen.

Die Ausgestaltung des MSS ist von MSSP zu MSSP unterschiedlich. Die während der Risikoanalyse gewonnenen Erkenntnisse fliessen in den Anforderungskatalog an einen MSSP ein. Die Angebote auf dem Markt sind sehr vielfältig und nicht jeder MSSP versteht dieselben Leistungen unter MSS. Die Angebote gehen von der Übernahme des Betriebes (Outsourcing Operational Tasks) bis hin zum Rückkauf von bestehender Hard- und Softwarekomponenten respektive Lieferung von Komponenten des MSSPs. Die genaue Definition bietet die Servicebeschreibung mit dem dazugehörenden Service Level Agreement (SLA). Das SLA definiert die Leistungen des Services wie den Umfang der Aktivitäten, den Durchsatz, die Verfügbarkeit, die Reaktionszeit, die Service- und Supportzeiten, als auch den Eskalationsprozess und die Pennalen beim Nichteinhalten des SLAs. Das SLA ist eine Verpflichtung für beide Seiten, an die sich Unternehmen und MSSP zu halten haben. Im SLA ist auch definiert, welche Leistungen explizit nicht im Servicepreis enthalten sind und welche zusätzlichen Kosten bei Nutzung dieser Leistungen anfallen.

Transparenz: Voraussetzung für gute Zusammenarbeit

Die Systemverantwortung kann das Unternehmen über ein SLA dem MSSP übergeben. Das Risikomanagement und die Verantwortung bezüglich IT-Sicherheit aus strategischer Sicht lassen sich aber nicht outsourcen. Ein Erfolgsfaktor der Zusammenarbeit ist die Transparenz, das heisst, es wird klar definiert, welcher Leistungsnachweis in Form von Reporting in welcher zeitlichen Periode vom MSSP erbracht wird. Bei der Zusammenarbeit ist im Vorfeld klar zu definieren, welche
Personen auf Unternehmensseite welche Art von Aufträgen respektive Change Requests dem MSSP erteilen können und welche Informationen sie vom MSSP erhalten. Auch die Art der Authentisierung dieser Personen wird klar festgelegt.

Qualifizierte Sicherheitsexperten übernehmen neben der kontinuierlichen Überwachung der Services auch das Management von Schwachstellen.

Fazit

Durch den Bezug von Managed Security Services können sich Unternehmen auf ihre Kernkompetenzen respektive Kernprozesse konzentrieren und erhalten zu zuvor definierten Kosten den Zugang zu qualifizierten Sicherheitsspezialisten. Diese übernehmen neben der kontinuierlichen Überwachung der Services auch das Management von Schwachstellen und können auf neue Angriff strends sofort reagieren. Das Unternehmen hat über das Reporting jederzeit die Übersicht über
den Status der IT-Sicherheit.

top