Outsourcing: Alles aus einer Hand von Managed Security Service Providers (MSSPs)

IT-Security als Dienstleistung: Outsourcing an Managed Security Service Providers gewinnt zunehmend an Fahrt

(01.04.10) - Im Gespräch mit Unternehmen zeigt sich immer wieder, dass die Übergabe der Verantwortung des unternehmensweiten Sicherheitsmanagements für viele Unternehmungen eine Option ist. Einerseits. Andererseits herrschen Zweifel vor, ob eine solche Partnerschaft auf Dauer für beide Seiten erfolgreich und lukrativ sein kann: "Was können die schon, was ich nicht kann?" Als Kunde wünscht man sich schließlich keine 08/15-Sicherheit, sondern Systeme, die sich exakt an die eigenen Bedürfnisse anpassen lassen, so wie es bei intern betriebenen Lösungen der Fall ist. Als Managed Security Service Provider (MSSP) ist man hingegen auf Skaleneffekte ange-wiesen, die sich mit voller Individualität schwer vereinbaren lassen.

Von Dr. Klaus Gheri, Chief Technology Officer, phion AG

Aus diesem Zweifel heraus hat der Trend zum Outsourcing an Managed Security Service Providers (MSSPs) anfangs nur vorsichtig Fahrt aufgenommen: Typischerweise haben Unternehmen Firewalls und VPNs ausgelagert. Die zahlreichen erfolgreichen Referenzen aus diesem Bereich ließen das Vertrauen zu MSSP jedoch schnell steigen. Dies verstärkte den Wunsch, sämtliche Netzwerk-dienstleistungen aus einer Hand als Managed Services zu beziehen.

Das heißt, Unternehmen und Institutionen wollten nicht mehr nur IT-Sicherheit, sondern auch das Netzwerkmanagement und – beispielsweise – MPLS (Multiprotocol Label Switching) oder Endpoint Security als Gesamtservice "mieten": Ein einziges Service Level Agreement (SLA) regelt die Netzwerkperformance und IT-Sicherheit; ein einziger Ansprechpartner ist für den Kunden verant-wortlich. Durch die Verbindung vom Schutz der Unternehmenskommunikation mit dem Betrieb und der Optimierung der Netzwerkleistung bieten MSSPs einen sichtbaren Mehrwert für das Unter-nehmen und wachsen aus ihrer "Feuerwehr"-Funktion heraus.

Dezentrale Firmen erreichen Effizienzvorteile

Je größer das Unternehmen ist, desto eher ist eine solche ganzheitliche Lösung empfehlenswert. Die internen IT-Verantwortlichen geben die Vorgaben für das Netzwerk und müssen sich um die technische Umsetzung nicht mehr kümmern. Sie gewinnen Zeit, um sich Aufgaben zu widmen, die eine stärkere Verankerung im Unternehmen erfordern, wie das Prozessmanagement oder die Applikationsverwaltung. Dezentral aufgestellte Firmen erreichen mit der Auslagerung noch größere Effizienzvorteile.

Bevor die Services abgegeben werden, müssen sich Unternehmen Gedanken machen, was genau sie auslagern wollen und welche Sicherheitsmechanismen sie benötigen. Ist beim einen Unter-nehmen vor allem Virenschutz gefragt, ist bei einem anderen Verschlüsselung oder Verhinderung von Datendiebstahl (etwa per USB-Stick) ein wichtiges Thema. Beim Support ist ein 5x16-Service das Minimum, aber meist ist 7x24 anzuraten, denn dem Netzwerk drohen am Wochenende kaum weniger Gefahren als unter der Woche.

4-Augen-Prinzip für Zugriff auf Logfiles

Im Zusammenhang mit Compliance-Fragen ist bei fast allen Unternehmen eine einheitliche Revisionskontrolle unverzichtbar. Es muss jederzeit nachvollziehbar sein, welcher Admistrator wann welche Änderungen vorgenommen hat. Eine Grundregel ist etwa, dass der Zugriff auf Logfiles eindeutig definiert ist. Unter Compliance-Gesichtspunkten empfehlenswert ist es, hier das 4-Augen-Prinzip zu vereinbaren. Unternehmen sollten außerdem bei ihrem Dienstleister auf ITIL-spezifische Prozesse und ISO-Zertifizierung achten. Die Prozesse und Schnittstellen müssen genau definiert werden. Unternehmen können ihre Dienstleister auffordern, die Funktionsfähigkeit ihrer Prozesse vorab unter Beweis zu stellen. Es geht dabei um grundlegende Abläufe beim Incident Management, Call Management, Change Management und Escalation Management.

Die Herausforderung für den Security-Dienstleister ist es, trotz aller individuellen Kundenwünsche ein möglichst konsistentes Management über alle Kunden hinweg aufzubauen. Hierfür sind neue Ansätze bei der Verwaltung von Netzwerken und ihrer Sicherheit sehr hilfreich. Sie ermöglichen ein grafisches, visuelles Management über alle Accounts hinweg sowie konsolidierte Alarming-, Diagnose- und Troubleshooting-Funktionalitäten. Ein scheinbar einfaches, aber seltenes Feature ist auch, Konfigurationen auf beliebig viele Firewalls oder UTM-Appliances (Unified Threat Management Applicances) zu übertragen - ein effizientes Verfahren, das zugleich häufige Fehlerquellen eliminiert.

Ungeachtet des zentralen Managements besteht bei den Konfigurationen der einzelnen Kunden-netzwerke volle Flexibilität. Dies ermöglicht MSSPs eine Umsetzung von Kundenanforderungen und trägt wesentlich zur Kosteneffizienz der Gesamtlösung bei. Erst mit hundertprozentig zentralem Management und solchen speziellen Funktionalitäten entstehen die erwünschten Skaleneffekte, die sowohl dem Dienstleister ein rentables Geschäftsmodell ermöglichen, als auch dem Kunden einen spürbaren Preisvorteil bieten. Und das Sicherheitsniveau? Das kann sich bei einer Zusammenarbeit mit einem erfahrenen MSSP nur verbessern, denn mit dem Einsatz geeigneter Management-lösungen lassen sich dann spezialisierte Netzwerkadministratoren mit einer Effizienz einsetzen, die bei internen Lösungen kaum jemals erreicht wird. (phion: ra)

phion AG, Eduard-Bodem-Gasse 1, A-6020 Innsbruck