Rubrik: Dienstleistungen/Managed Security Services

Mit Managed Security Services komplexe Sicherheitsumgebungen transparent verwalten

Managed Security Services immer ein Co-Tasking: Enge Zusammenarbeit zwischen Kunde und Managed Service Provider

(26.06.08) - "Bei jedem Kunden sind die Sicherheitsanforderungen an die IT individuell  ausgeprägt. Aus diesem Grunde bedeuten erfolgreiche Managed Security Services immer ein Co-Tasking, also eine von Anfang an enge Zusammenarbeit zwischen Kunde und Managed Service Provider." Zu diesem Ergebnis kommt Michael Sautter, Geschäftsführer der Integralis Services GmbH und verantwortlich für den Bereich Global Services. Die Kooperation von Anbieter und Klient beginnt nach Aussage des erfahrenen IT-Fachmanns bereits mit der gemeinsamen Planung der in Frage kommenden Services und erstreckt sich bis in den laufenden Betrieb hinein. Dabei sieht Integralis die Verantwortung für die zu installierenden Sicherheitsregeln immer in der Hand des Anwenders. "Der Kunde gibt ganz klar vor, welche Regeln und Schutzmaßnahmen einzurichten sind. Die Aufgaben des Servicepartners liegen darin, diese Vorgaben umzusetzen und beratend zur Seite zu stehen."

Den richtigen Partner wählen

Für die Auswahl des richtigen MSS-Providers und empfiehlt Integralis die Beachtung einiger wichtiger Kriterien:

·         Erfahrung - Der Partner sollte bereits über ausreichende Projekterfahrung verfügen und konkrete Erfolge bei der Bekämpfung von Sicherheitsvorfällen nachweisen können.

·         Service Level Agreement - Die SLAs sollten genau den Umfang und Grad der vereinbarten Leistungen beschreiben und für jeden Security-Bereich getrennt definiert werden.

·         Revisionssicherheit - Der Dienstleister sollte auf zertifizierte und dokumentierte Verfahren etwa nach ISO2000 (ITIL) oder ISO 27001 zurückgreifen, sämtliche Systemverwalter- und sicherheitsrelevanten Aktivitäten erfassen und speichern und nicht zuletzt die Vertraulichkeit und Integrität der Daten garantieren.

·         Zukunftssicherheit - Der MSSP sollte auch zukünftige, wachsende Anforderungen des Kunden erfüllen können. Dazu zählen neben einer Präsenz vor Ort und mehrsprachiger Unterstützung auch kontinuierliche Investitionen in neue Technologien.

Kosten sparen, aufs Wesentliche konzentrieren

Wie teuer aber dürfen die extern vergebenen Sicherheitsdienste eigentlich sein? Wann rechnen sie sich und wann sollte die Organisation besser auf Eigenleistung setzen?

Security ist ein zentrales und wachstumsstarkes Managed-Service-Segment, da dieser komplexe IT-Bereich sehr spezialisierte und folglich teure Ressourcen in Anspruch nimmt. Das von den Service-Mitarbeitern geforderte Know-how umfasst sowohl die unterschiedlichsten Lösungen wie Firewall-Technologie, Content Security-, Identitäts-, Zugriffs- und Schwachstellenmanagement, als auch das Wissen um diverse Hardware und Betriebssysteme. Daraus wiederum resultiert ein enorm hoher Schulungsaufwand, denn neben dem technischen Wissen muss auch immer der gerade aktuelle Bedrohungsgrad bekannt sein, der je nach Releasestand der eingesetzten IT-Technologien variiert.

"Die Vielfalt der möglichen Angriffe bringt mit sich, dass rund um die Uhr qualifiziertes IT-Personal bereit stehen und gegebenenfalls schnell handeln muss", erklärt Sautter und rechnet vor: "Um also den folglich erforderlichen 24x7x365 Service-Betrieb sicher zu stellen, benötigt ein Unternehmen im Durchschnitt sieben gut geschulte Mitarbeiter, die zum Teil nach dem 4-Augenprinzip und im Schichtdienst eingesetzt werden müssen. Für die strikte Einhaltung der gesetzlichen Vorschriften müssen sogar zehn Security-Experten rund um die Uhr im Einsatz sein."

Diesem kostspieligen Szenario setzt Integralis in der Regel ein leistungsfähiges Security Management Center im 24x7-Stundenbetrieb entgegen und stellt damit nicht nur die erforderliche Infrastruktur zur Verfügung, sondern vor allem hoch spezialisierte IT- Sicherheitsexperten. Diese nehmen dem Kunden nicht nur die Sorge um Rechtssicherheit und die generelle Pflege ihrer Sicherheitslösungen ab. Sie werten vor allem auch sämtliche Log-Dateien aus, die ja die Informationen zu allen erkannten Angriffen enthalten und bislang unerkannte Sicherheitslücken aufdecken. "Ein hoher Arbeitsaufwand, der aus Mangel an Kapazitäten in vielen Unternehmen kaum zu bewältigen ist und deshalb oft vernachlässigt wird, so lange nach außen alles funktioniert", weist Sautter auf ein trügerisches Szenario hin. "Das kann unliebsame Folgen haben, denn eine Security-Technologie, die nicht Realtime überwacht werden kann, täuscht die vermeintliche Sicherheit der sensiblen Geschäftsinformationen nur vor."

Risikoanalyse als Entscheidungsgrundlage für MSS

Der Integralis-Experte rät deshalb Unternehmen, die sich für die Vergabe ihrer Security-Services an einen Dienstleister entschieden haben, im Hinblick auf Qualität und Kosten eine bestimmte Vorgehensweise für ihr MSS-Projekt zu definieren. Um bewerten zu können, welche Security-Ausgaben überhaupt sinnvoll sind, sollte am Anfang immer eine Risikoanalyse stehen. Dabei werden unter anderem die wichtigsten Geschäftsprozesse und die entsprechenden Ausfallkosten ermittelt, die durch Datenverlust bzw. nicht gegebene Integrität und Vertraulichkeit entstehen können. In diese komplexe Bewertung sollten nicht nur die direkten Folgekosten eines System-stillstands oder Datenmissbrauchs einfließen, sondern auch potentielle indirekte Folgeschäden wie Kundenabwanderung, Imageverlust, Aktienkurseinbrüche, Liquiditätsengpässe und Verlust von Kreditwürdigkeit.

 Dem daraus resultierenden Zahlenwerk sollten nun sämtliche Kosten für die Security-Lösung gegenüber gestellt werden, einschließlich der Hardware- und Softwareanschaffungskosten sowie der Ausgaben für Prozessdefinitionen, organisatorische Maßnahmen und den Betrieb der Sicherheitsumgebung. Dabei bestimmen die spezifischen Sicherheitsbedürfnisse des Kunden den notwendigen Grad des Service Levels, der dann konkret als Outsourcing-Ziel definiert werden kann. Ist der in Frage kommende MSS-Provider in der Lage, dem Kunden einen sehr modularen, individuellen Service anzubieten, wird meist schnell klar, dass mit außer Haus-Services deutliche Kostenreduktionen erzielt werden können.

"Ein seriöser Dienstleister wird hier den konkreten Kostenvergleich zwischen einer eventuellen Inhouse-Lösung und dem extern eingekauften Service nicht scheuen", erklärt Sautter und empfiehlt, den vom Kunden gewünschten Managed Service exakt an den Kosten zu messen, die dem Unternehmen entstehen, würde es seinen jetzigen Service Level aus eigenen Kräften auf das angestrebte MSS-Niveau anheben. Bestätigt sieht der Geschäftsführer der Integralis Services GmbH die strategische Ausrichtung und Kundenorientierung deines Unternehmens nicht zuletzt auch durch das jetzt von Gartner an Integralis vergebene Ranking "Strong Positive" in der aktuellen Studie "MarketScope for Managed Security Services in Europe, 2008." (Integralis: ra)