Die Fremdvergabe umfassender IT-Service-Aufgaben trägt einen Janus-Kopf: Der Blick nach vorne bedeutet für den Kunden Arbeitsentlastung und professionelle Erledigung seiner IT-Prozesse – im Blick nach hinten lauern IT-Risiken auf ihn, die er sich womöglich nicht hat träumen lassen und die für das Unternehmen viel Ärger, hohe Kosten und auch existenzielle Gefährdungen bedeuten können.
Die frühzeitige Einbindung eines "State of the Art"-Anforderungskatalogs für die IT-Security, vor allem bei langjährig bindenden Vertragsabschlüssen, kann hier vorbauen, inklusive Haftung gemäß des Gesetzes für Kontrolle und Transparenz im Unternehmensbereich (KonTraG).
Wer umfassende IT-Aufgaben outsourct, geht gewisse Risiken ein, da sein unmittelbarer Einfluss auf die Dienste verlorengeht. Zugleich entsteht aber auch eine Chance zur Weiterentwicklung des Sicherheitsniveaus, da Prozesse neu zu gestalten sind und Zugriff auf zusätzliches Know-how und weitere Ressourcen möglich ist. Insbesondere das Instrument Security Service Level Agreement kann und muss genutzt werden, um die Sicherheitsanforderungen einer IT-Dienstleistung bei der Auftragsvergabe konkret und messbar zu formulieren, möglichst anhand von quantifizierten Merkmalen.
Die Zusicherungen an die äußere Sicherheit (Objektschutz) eines Rechenzentrums (RZ) verlieren dabei heutzutage relativ gesehen an Bedeutung. Sie haben sich als notwendiger Basisstandard durchgesetzt. Dafür gewinnen Sicherheitsgarantien für eine hohe innere, logische Sicherheit (Datenintegrität, Geheimhaltungsverpflichtungen, Nachweismöglichkeiten etc.) zunehmend an Relevanz für die auszuhandelnden Kosten/Nutzen-Positionen eines Vertrages.
Der Auftraggeber und das RZ-Dienstleistungsunternehmen müssen sich beide einer wachsenden Bedrohung stellen: "Sicherheitslöcher nehmen rasant zu. Sie werden 2002 von 30 auf 50 pro Woche ansteigen. 31 Millionen Angriffe auf Microsoft-Rechnern, 22 Millionen auf UNIX-Systemen, 7 Millionen auf Netzgeräten von Cisco fanden 2001 statt." (Arthur Wong, Security-Focus in der Computerzeitung v. 4.3.2002)
Ein "State of the Art"-Katalog für die IT-Security-Anforderungen muss dem Rechnung tragen und Positionen, Komponenten und Prozesse definieren, die in der Aufbau- und Ablauforganisation des Dienstleisters implementiert sein müssen, um eine hohe innere Sicherheit der IT zu gewährleisten.
Dieser Ansatz soll helfen, die richtige Antwort auf folgende Fragen zu finden (frei nach Goethe "Drum prüfe, wer sich ewig bindet"):
Die Verantwortung für die Überprüfung, dass die geforderte Sicherheitsstruktur beim Dienstleister auch tatsächlich vorhanden ist, kann dem Auftraggeber niemand abnehmen. Letztendlich haftet er seinen Kunden gegenüber für seine IT-Prozesse. Das Dienstleistungs-Rechenzentrum muss wiederum jederzeit einen entsprechenden Nachweis liefern können, dass die Unverletzlichkeit der Daten und Prozesse des Auftraggebers hinsichtlich Integrität, Vertraulichkeit, Verbindlichkeit und Verfügbarkeit gegeben ist.
Diesen Nachweis muss der Dienstleister bis hin zur IT-Forensik führen können. Über die Art und Weise, wie das zu bewerkstelligen ist, müssen sich beide Parteien schriftlich und rechtsverdbindlich Klarheit verschaffen. Im Endeffekt muss ein Sicherheitsniveau für Schutzzonen vertraglich vereinbart sein, das Wirtschaftsprüfer, IT-Revisoren, Datenschützer, Sicherheitsberater und deren Verbände heute für Daten und Prozesse mit höherer Sensitivität verlangen – unter Berücksichtigung der gesetzlichen und behördlichen Auflagen sowie existenzieller Unternehmensinteressen des Outsourcers. Verträge über Outsourcing laufen mittel- und langfristig (5 Jahre und mehr). Daher müssen gesetzlich vorgeschriebene Tendenzentwicklungen in das Vertragspapier mit einfließen, wie sie etwa das KonTraG für Risikomanagement-Frühwarnsysteme verlangt.
Nicht oder nur teilweise vorhandene Sicherheitspositionen beim Dienstleister sind individuell zu gewichten und in seinen Sicherheitsniveauauswirkungen sowie für eine eventuelle Akzeptanz oder Nichtakzeptanz eindeutig zu beschreiben und festzulegen.
Sicherheitsprozesse unterliegen einer permanenten Dynamik und müssen andauernd fortgeschrieben werden. Sie sind teuer, erfordern zunehmende Spezialisierungen von Fachleuten und sind laufend zu beobachten. In diesen Kontrollprozess muss der Kunde eines Dienstleistungs-RZ vertraglich und rechtlich eingebunden werden. In "normalen" Verträgen steht aber meist nichts von spezifischen Sicherheitsanforderungen an die Betriebs- und Netzführung, an den Aufbau einer zentralen Sicherheitsadministration, ein Antragsverfahren für User-Verwaltungssysteme und an die Einführung eines zentralen Sicherheitskontrollsystems. Dies alles gehört aber heutzutage schon zum Minimumstandard in der IT-Sicherheitsinfrastruktur.
Das Vertragswerk muss auch für den "Fall der Fälle" – von IT-Sicherheitsverletzungen bis hin zu terroristischen Angriffen – Haftungsfragen mit materiellen und rechtlichen Festlegungen behandeln. Der Unternehmer hat dazu sein Versicherungsportefeuille durchzugehen: Kann er Risiken abwälzen oder müssen er oder sein Vertragspartner die Haftung übernehmen? Die meisten Versicherungen schließen zum Beispiel Leistungen für Cybercrime-Angriffe und terroristische Attacken aus (andererseits soll die im April neu gegründete Versicherungsgesellschaft Special Risk Insurance and Reinsurance Luxembourg ab dem 2. Quartal 2002 Versicherungskapazitäten für Terrorrisiken anbieten).
Voraussetzung für diese Abwägungen und die spezifischen Unternehmensanforderungen stellt eine Risikoklassifizierung (RK) mit Schlussfolgerungen für einzelne IT-Sicherheitsanforderungen an den Dienstleister dar. Dieser ist als Fachunternehmen zur Beratung und Unterstützung bei der Risikoklassifizierung verpflichtet. Der Kunde als Dateneigentümer muss aber letztendlich selbst bestimmen, für welche Informationsobjekte er ein normales Sicherheitsniveau und für welche er einen erweiterten Schutz fordert.
Ohne kundengerechte Schutzzonen erscheint es nicht möglich, den Ergebnissen der RK-Einstufungen wirtschaftlich gerecht zu werden. Der Kunde sollte daher sicherstellen, dass der beauftragte Dienstleister ein entsprechendes Modell bereits anbietet oder aufbaut, das vor allem bei der Übertragung in Datennetzen erforderlich ist.
Wie der Dienstleister auf diese unterschiedlichen Schutzbedürfnisse der Kunden organisatorisch, personell, technisch etc. reagiert, hat wesentliche Auswirkungen auf den Preis und das Kosten-Leistungs-Verhältnis. Welche Sicherheitsleistung kostet welchen Preis in einer Schutzzone für erhöhte oder Hoch-Sicherheit? Weist der Dienstleister das abrechnungstechnisch oder nur pauschal nach? Zur Klärung aller relevanten Fragen empfielt sich eine Checkliste (vgl. Kasten). Deren Inhalte gewinnen deutlich an Entscheidungsrelevanz, wenn man ihre Wirkung auf die Ziele der IT-Security sichtbar macht (vgl. Abb. 1). In einem weiteren Schritt sollte man die gleiche Matrix als Bewertungsraster zur Beurteilung der einzelnen Angebote heranziehen (vgl. Abb. 2).
![[Abbildung 1]](52-1.gif)
Abb. 1: Sicherheitsanforderungen mit
IT-Sicherheits-Sachziel-Zuordnung. Spalte 2 kennzeichnet
Positionen, die nur in der Schutzzone "erhöhte
Sicherheit" vorhanden sein müssen – nicht
gekennzeichnete Positionen gehören zur Basis-Sicherheit und
müssen generell vorhanden sein.
![[Abbildung 2]](52-2.gif)
Abb. 2: Sicherheitsanforderungs-Bewertungsraster
Bei der Bewertung der Antworten des Dienstleistungs-RZs auf die Fragen der Checklisten kann die Berücksichtigung des folgenden Rankings hilfreich sein:
Weiterhin sollte man zur Erhärtung der Plausibilität einige der wichtigsten Sicherheitsanforderungen stichprobenhaft überprüfen (mittels Interviews, vor Ort etc.). Das Ergebnis sollte dokumentiert und dem Vertragswerk als Anlage beigefügt werden.
Unter Kostengesichtspunkten ist zu klären, welche IT-Sicherheits-Dienstleistungen in den Angebotskosten bereits enthalten sind und welche zusätzlich bezahlt werden müssen und zu welchen Konditionen diese umgesetzt werden können. Im Vertrag ist ferner festzuhalten, dass der Auftragnehmer bei Nichterfüllen der versprochenen IT-Sicherheitsmaßnahmen ohne zusätzliche Kosten nachliefern muss und wie die Haftungsübernahme des Auftraggebers bei Nichteinhaltung der versprochenen IT-Sicherheitsmaßnahmen aussieht.
Das juristische Gefahrenpotenzial der Informationstechnik ist weitaus größer als oftmals vermutet. Rechtsanwalt Christoph Becker schrieb hierzu in einem Gutachten zu Haftungsfragen innerhalb des KonTraG (Köln 2002): "Ein Grund dafür ist das kaum abschätzbare Risiko, dass die durch Eingriffe in die IT-Sicherheit verursachten Schäden nicht nur das betroffene Unternehmen, sondern alle Unternehmen und Institutionen treffen können, die mit ihm vernetzt sind. Diese 'Weiterreichung' von Fehlern bzw. Manipulationen lässt Haftungsprobleme ... entstehen, die in dieser Form bisher unbekannt waren."
"Es sind nicht nur Fälle denkbar, sondern auch schon vorgekommen, in denen ein Unternehmen für in anderen Unternehmen entstandene Schäden haften muss, obwohl keinerlei Geschäftsbeziehung besteht, sondern die einzige Verbindung die gemeinsame Nutzung eines Datennetzes darstellt. Sind diese Fehler durch Fehler des Managements verursacht worden, ist eine persönliche Haftung der entsprechenden Mitglieder der Geschäftsleitung durchaus denkbar. Ein Fehler kann auch bereits darin liegen, dass die Datensicherheit des Netzes nicht überprüft und keine geeigneten Abwehrmaßnahmen getroffen worden sind", so Becker weiter.
In diesem Zusammenhang nimmt die Pflicht zur Einführung eines Überwachungssystems für IT-Sicherheitsrisiken zu. Zuständige Mitarbeiter der Leitungsebene stehen hier in der Verantwortung, wenn sie sich nicht oder nicht ausreichend über die Art und Weise sowie Qualität des Überwachungssystems informiert haben. Das "Einzugsgebiet" des Outsourcing ist davon ebenfalls betroffen. Daher empfiehlt sich in jedem Fall bei Abschluss von Outsourcing-Verträgen eine ausführliche, spezialisierte Rechtsberatung.
Günter Lessing ist geschäftsführender Gesellschafter der Unternehmensberatung für EDV Sicherheit Lessing & Partner, Jülich. Dirk Beckmann ist bei Lessing & Partner Seniorberater mit den Schwerpunkten Risikoklassifizierung und Sicherheitsanforderungen.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/2, Seite 52
----------Anfang Textkasten----------
Die Klärung der Sicherheitsfragen an einen RZ-Dienstleister sollte anhand einer systematischen Checkliste erfolgen, welche die folgenden auszugsweise genannten Punkte behandeln sollte:
Festlegung der Verantwortlichkeiten
Vergabe von Zutrittsberechtigungen
Change-Management (lückenlose Versions- und
Releaseführung der freigegebenen Produktionsstände,
Deltaablage der Programmänderungsstände)
Verfügbarkeit
Wiederanlauf / tolerierte Ausfallzeiten
Notfall-/Incident-Handling (Notfallhandbuch, Incident-Handbuch,
Durchführung Notfall-/Incident-Übungen)
Berechtigungsverwaltung / Berechtigungsprofile (Personal- und
Funktionstrennung, Logon-Prozeduren, Berechtigungskonzept),
Privilegien (kontrollierte Vergabe der Privilegien)
etc.
Archivierung (Archivierungskonzept)
Identifikation und Authentifikation (starke Authentifikation)
Schutz der Vertraulichkeit der Daten / Verschlüsselung
(selektiv möglich / File-, Feldverschüsselung,
Schlüsselverwaltung)
Kontrolle der Integrität der Datenbestände / laufend,
regelmäßig, etc. (Schutz vor maliziösem Code,
Digitale Signatur, Konsistenz- bzw. Plausibilitätsprüfung
der Datenbestände)
Kontrolle und Beobachtung von Parametereinstellungen / automatisch,
laufend, regelmäßig, etc. (Einsatz Host IDS)
Schutzzonen (Einrichtung von Schutzzonen für Objekte mit
unterschiedlichem Schutzbedarf, Abschottung gegen einen niedrigen
Schutzbereich)
etc.
Umsetzung der allgemeinen Objektschutzanforderungen
(Perimeterschutz)
etc.
Überprüfung von Mitarbeitern, die besonders
sicherheitskritische Funktionen ausüben
Geregelte Verfahrensweise bei Ausscheiden oder Rollenwechsel von
Mitarbeitern
Hilfestellung bei der Risikoklassifizierung der Daten durch den
Fachanwender
etc.
Festlegung der Verantwortlichkeiten
Trennung von Test und Produktion
Change-Management
Verfügbarkeit
Wiederanlauf / tolerierte Ausfallzeiten / Notfall-
/Incident-Handling
Berechtigungsverwaltung
etc.
Einsatz dedizierter Systeme
Identifikation und Authentifikation
Schutz der Vertraulichkeit transportierter Daten
(Verschlüsselung)
Schutz der Authentizität transportierter Daten
(fälschungssichere Angabe des Absenders von Daten durch
digitale Signatur der übertragenen Daten)
Schutz der Integrität transportierter Daten
Schutz vor maliziösem Code (Viren/Trojaner)
Kontrolle und Beobachtung Parameter-einstellungen – laufend,
regelmäßig, etc. (Einsatz Netz IDS, Einsatz Firewall,
Einsatz Content Scanning)
Alarmierung
Einsatzbeschränkung der zugelassenen Netzprotokolle nur auf
die für die Produktion benötigten
Einsatz gehärteter Betriebssysteme auf den Netzknoten
Zuverlässigkeit durch Robustheit und Redundanz
Schutzzonen (Trennung der einzelnen Schutzzonen durch entsprechende
Filtersysteme)
etc.
Umsetzung der allgemeinen Objektschutzanforderungen
etc.
Überprüfung von Mitarbeitern, die besonders
sicherheitskritische Funktionen ausüben
Geregelte Verfahrensweise bei Ausscheiden oder Rollenwechsel von
Mitarbeitern
etc.
Zentrale User-/Modellverwaltung (regelmäßige
Überprüfung von Modellen und Rollen)
etc.
Authentisierung des Antragstellers bzw. Bearbeiters (digitale
Signatur, normale Unterschrift)
etc.
Kontrolle und Beobachtung allgemein (Unverfälschbarkeit,
Zuverlässigkeit)
Kontrolle und Beobachtung sensitiver Zugriffe (Parameter,
Daten)
Beobachtung und Kontrolle von Systemen (Einsatz Syslog- bzw.
zentraler Log-Server)
Protokollauswertung (Was ist auszuwerten?)
etc.
Netz-IDS
Host-IDS
Syslog-Server
Time-Server
Firewall
etc.
Da für die Kontroll- und Beobachtungs-Prozesse Netz- und Host-IDS-Systeme sowie Firewalls und zentrale Syslog-Server zu Auswertungszwecken eine zunehmende Bedeutung erfahren, sollten Spezialisten im Vorfeld die Ausprägungen dieser Komponenten mit den Insourcern durchsprechen. Beispielhaft werden einige dieser Anforderungen aufgeführt:
Betriebssystem (Gehärtetes Sicherheitsbetriebssystem)
Funktionale Anforderungen (Abdeckung Layer 2, Abdeckung Layer 3,
Bandbreite 50 MBit/s, Integrierte NIDS-Management-Plattform,
Integrierter Datei-Integritäts-Checker, SNMP-Traps,
Backend-Datenbank-API, Management-Plattform,
Remote-Sensor-Management, Stealth-Modus, Frag-Reassembly,
TCP-Strom-Reassembly, Automatische Signatur-Update-Routine,
CVE-Cross-Referenzen. Offenes Signaturregel-Set, Anpassbare
Signaturen, Update-Frequenz, Mailing-Listen, Meldung List-Alerts,
Regel-Tuning) etc.
Betriebssystem (Gehärtetes Sicherheitsbetriebssystem) Funktionale Anforderungen (Integrierte HIDS-Management-Plattform, Integrierter Datei-Integritäts-Checker, SNMP-Traps, Backend-Datenbank-API, Management-Plattform, Remote-Sensor-Management, Automatische Signatur-Update-Routine, CVE-Cross-Referenzen, Offenes Signaturregel-Set, Anpassbare Signaturen, Update-Frequenz, Mailing-Listen, Meldung List-Alerts, Regel-Tuning, Warn-Mechanismus, Upstream-Transfer verschlüsselt, Klassifizierungssystem, 24h x 7 Tage die Woche Support) etc.
Betriebssystem (Gehärtetes Sicherheitsbetriebssystem) Funktionale Anforderungen (Syslog-Daemon mit regulären Ausdrücken als Relay oder Forwarder, spezielle Log Partition, Transport-Protokoll TCP, STUNNEL bei WAN, LogFiles die nicht im Syslog-Protokoll übertragen werden, sollen Syslog-Server zugeführt werden; Administration über SSH; Möglichkeit wichtige Log-Meldungen sofort ausdrucken, Syslog-Server an Zeitserver mit permanentem Peering) etc.
Betriebssystem (Gehärtetes Sicherheitsbetriebssystem) Funktionale Anforderungen (Festlegungen Sicherheitsrahmen: Festlegung der spezifischen IT-Sicherheitsziele, der Sicherheitsdienstleistungen, der Verantwortlichkeiten, methodisches Vorgehen für die technische Implementierung (Prüfungsschichten, Schnittstellen, Netzschutzzonen/-stufen, Maßnahmenstrukturen) / Festlegung Sicherheitsvorgaben – Vorgaben für organisatorische Regelungen (Verantwortlichkeiten, Berechtigungen, Dokumentationen, Test, Abnahme und Produktivstellung, Nutzung von Netzdiensten) – Vorgaben an die zu verwendende Netzinfrastruktur (Anforderungen an die eingesetzten Netzinfrastrukturkomponenten – Software, Vorgaben an kritische Kern-Netzinfrastrukturkomponenten einer DMZ) etc.
----------Ende Textkasten----------
