Management und Wissen

Application Service Provider

Sicherheitsanforderungen an ASP

Von Rolf Wildhack, Hamburg

Die positiven Effekte durch Application Service Provider (ASP) sind durchaus substanziell; das Konzept kann aber nur aufgehen, wenn der ASP ein Höchstmaß an Qualität im Sinne von Sicherheit und Zuverlässigkeit garantiert. Hier zögern noch viele Unternehmen sich einem ASP anzuvertrauen, keiner will der Erste sein. Wer jedoch Anbieter sorgsam prüft, kann viel gewinnen.

Application Service Provider (ASP) versprechen viele Vorteile mit ihrem Angebot, Anwendungen komplett "aus der Steckdose" zu liefern: Sie reduzieren den Personalaufwand für die IT, senken die Gesamtkosten, insbesondere für Lizenzen, Hardware und Integration, beschleunigen die Anwendungsimplementation, verbessern die Performance und ermöglichen neue Dienstleistungen für die Endkunden.

Ein ASP bietet ähnliche technische Serviceleistungen wie ein Outsourcing-Partner. Die Anforderungen an Konzeption, Aufbau und Betrieb von Anwendungen hinsichtlich Performance, Verfügbarkeit und vor allem Service sind weitgehend gleich. Ein ASP liefert jedoch zusätzlich die Anwendung selbst, dimensioniert die Server-Kapazität, implementiert neue Versionen und stellt die Netzwerkanbindung mit vertraglich vereinbarten Leistungsmerkmalen. Während ein Outsourcer sich auf die Betriebsumgebung konzentriert, ist ein ASP anwendungszentriert.

ASP bedienen üblicherweise mehrere Kunden mit einer oder mehreren Applikationen aus einem Rechenzentrum und liefern die Anwendungsleistung über das Internet oder ein geschlossenes Telekommunikationsnetz. ASP besitzen normalerweise keine eigene Netzwerkinfrastruktur, sondern stellen diese und weitere Kompetenzen über Partner bereit, die man als Kunde ebenfalls prüfen sollte.

Die Fix-und-fertig-Anwendungen finden in den USA bereits breiten Zuspruch; ganz anders zeigt sich die Situation in Deutschland, wo Unternehmen das neue Konzept – wenn überhaupt – nur zögerlich annehmen. Eines der wesentlichen Hemmnisse ist sicherlich, dass vorhandene Anwendungen häufig noch nicht gut auf die Bereitstellung durch ASP vorbereitet sind.

Erheblich bessere Chancen haben ASP in neueren Anwendungsgebieten wie etwa dem E-Business. Dort kann der ASP-Ansatz bereits bei der Konzeption berücksichtigt werden. Außerdem existieren bislang nur wenige Anbieter, die mit nachvollziehbaren Kundenprojekten als Referenz aufwarten können, und daher zeigt sich auch nur eine geringe Ausdifferenzierung und Konsolidierung am Markt. Für kleine und mittlere Unternehmen mag eine ASP-Lösung sogar notwendig sein, um neue Anwendungen überhaupt einsetzen zu können.

Die Zurückhaltung im Sinne "keiner will der Erste sein" ist verständlich, denn die Anforderungen an einen ASP sind hoch: Qualität und Service hinsichtlich Zuverlässigkeit und Sicherheit sowie anwendungs- und branchenspezifische Expertise müssen nachgewiesen sein, bevor ein Unternehmen seine gesamten oder auch nur Teile seiner IT-Anwendungen einem ASP anvertrauen möchte. Für die Verfügbarkeit und Performance der Anwendungen gilt es, definierte Service Level Agreements (SLAs) zu vereinbaren: Schließlich geht es um das sichere Handling kritischer Unternehmensdaten und -anwendungen.

Die vordringlichste Anforderung eines Unternehmens an einen ASP ist verständlicherweise die Sicherheit. Dabei zeigt die Erfahrung, dass Kunden in der Regel von einem ASP sogar ein höheres Sicherheitsniveau erwarten als sie selbst realisieren können oder bereit sind zu realisieren. Typische Einzelmaßnahmen, um die Vertraulichkeit und Integrität einer IT-Infrastruktur zu realisieren wie VPNs, PKI, Authentifizierung und Verschlüsselung gehören zum Standardkatalog von ASP.

Sicherheitspolitik

Der Mindeststandard, den man von einem ASP verlangen sollte, ist das Vorgehen nach IT-Grundschutzhandbuch; je nach Relevanz der Applikationen für den Kunden kann auch ein höheres Niveau erforderlich sein. Auf jeden Fall muss dazu eine angemessene IT-Sicherheitspolitik definiert und schriftlich dokumentiert werden. Das Sicherheitsniveau muss die Anforderungen der Kundengruppe und Anwendung berücksichtigen: Rund-um-die-Uhr-SAP- oder CRM-Anwendungen (Customer Relationship Management) für eine Handelsorganisation mit angeschlossenem 24-Stunden-Call-Center bedürfen eines höheren Sicherheitsniveaus als das Angebot, vorwiegend Kleinunternehmen oder Privatkunden Word und Excel über das Netz anzubieten.

Der ASP sollte zudem ein dediziertes IT-Sicherheitsmanagement-Team mit Sicherheitsbeauftragtem vorweisen können, das durch seine analytische und konzeptionelle Arbeit dafür sorgt, das angestrebte Niveau zu erreichen und zu halten. Dazu gehören regelmäßige Audits, deren Ergebnisse durchaus auch den Kunden zur Verfügung stehen sollten.

Bei der Entwicklung des Sicherheitskonzeptes muss der ASP seine gesamte IT-Landschaft und Organisation detailgenau betrachten. Jede Anwendung setzt sich aus mehreren Bausteinen wie Datenbank, Anwendungsserver, Netzanbindung sowie Netz- und Endgeräte-Infrastruktur beim Kunden zusammen; zusätzlich sind Gebäude, Personal, Betriebsprozesse usw. zu berücksichtigen. Diese Überlegungen sollten sich in der Dokumentation für potenzielle Kunden sichtbar wiederfinden. Besonderes Augenmerk gilt dabei:

Vertragliche Regelungen

Die SLAs insbesondere für Verfügbarkeit und Sicherheit sollten sich nicht nur auf das Netz erstrecken, sondern auch die Rechenzentren mit Load Balancing und anderen intelligenten Verteilmechanismen für den Datenverkehr betreffen. Value Added Services wie lokales und geografisches Load Balancing, Content Distribution, Backup und Failover sind hier gefragt, um Ausfallzeiten und -wahrscheinlichkeiten minimieren zu können.

Zu hinterfragen ist auch das Backend OSS (Operation Support System) des ASP. Da die Fähigkeit des Anbieters, mehrere Anwender zu bedienen, einen kritischen Effekt auf die Anwendungsperformance hat, muss das OSS skalierbar sein und über ein Kundenmanagement verfügen. Dieses muss Nutzerinformationen über Sicherheits- und Autorisierungsregeln, Vertragsbedingungen, den ganzen Prozess der Anwendungsprovisionierung, ein Fault Management mit Trouble Ticket und den Lösungsprozess unterstützen. Außerdem ist ein Interconnection Management zu den verschiedenen Partnern (etwa für Netzwerkanbindungen) mit unterschiedlichen Services und einem Service Level Management erforderlich, das es dem ASP ermöglicht, die vereinbarte Quality of Service in den Anwendungen zu überwachen und verwalten. Zusätzlich müssen auch die Prozesse für die Nutzeranmeldungen durch die Anwender prüfbar sein.

Hilfe zur Selbsthilfe

Nach gängigen Erfahrungen kommt ein erheblicher Teil der sicherheitsrelevanten Angriffe von innen. Daher reicht es nicht aus, Sicherheitsanforderungen an den ASP und die Netzanbindung zu stellen. Anwender müssen daneben auch eigene Sicherheitsmechanismen vorsehen. Dies betrifft die Sicherheitspolitik allgemein und insbesondere die Client-Systeme: Denn unsichere Client-Systeme können die gesamten Sicherheitsmaßnahmen in anderen Ebenen aushebeln. Dies wird umso wichtiger, als zunehmend auch mobile Clients wie Notebooks, PDAs und Mobiltelefone zum Einsatz kommen, die unter Umständen nur über sehr beschränkte Sicherheitsmerkmale verfügen. In diesem Bereich sollte der ASP seinen Kunden aktiv Unterstützung bei der Gestaltung einer sicheren Gesamtumgebung anbieten.

ASP: Ja oder Nein?

Das ASP-Modell bietet gerade kleineren und mittelständischen Firmen gute Chancen, auch in Zukunft über eine konkurrenzfähige IT zu verfügen. Dies ist besonders bei neuen Anwendungsfeldern und Anwendungen mit beschränktem Risikopotenzial, zum Beispiel CRM oder kollaborativen Anwendungen, möglich. Aber auch große Unternehmen können durch ASP in Teilbereichen eigenes Personal und Know-how einsparen und sich so auf Kernkompetenzen konzentrieren.

Der effiziente Einsatz ist aber von diversen Anforderungen abhängig, die heute nicht in allen Teilbereichen erfüllt werden können. Eine detaillierte Einzelfall-Analyse ist unbedingt erforderlich. In jedem Fall ist hier der Spagat zwischen Komfort, Kosteneffizienz, einfachem Management und hohem Sicherheitslevel zu meistern.

Rolf Wildhack ist Leiter des Competence Center Information und Communication beim IT-Beratungsunternehmen PECOS AG in Hamburg.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2001, Seite 91