Management und Wissen
Outsourcing
Vergleich von Managed Security Services
Von Andreas Englisch, München
Das Outsourcing von Security Services kann Kosten sparen,
Kapazitäten entlasten und durch Synergieeffekte die
Sicherheitslage verbessern. Dennoch wird es bislang eher
zurückhaltend genutzt. Bei der Entscheidung für das
Outsourcing und dem Vergleich verschiedener Angebote kann eine
Bewertungsmatrix wertvolle Dienste leisten.
Managed Services sind nützlich: Sie nehmen sich eines der
wichtigsten Prinzipien im wirtschaftlichen Leben zum Vorbild,
nämlich das der Arbeitsteilung. Jene Urzeiten sind
schließlich vorbei, in denen jeder alles können musste.
In unserer modernen, hochkomplexen Welt ist
"Do-it-yourself" nur noch etwas für Heimwerker und
Hobbys. Da spielen Kosten oft keine Rolle und keine Mühe wird
gescheut.
Wer aber, wie jede wirtschaftlich denkende Organisation, aufs
Geld schauen muss, der wird sich um alle Kosten Gedanken machen
müssen – seien sie auch noch so versteckt. Gerade die
indirekten, auf den ersten Blick nicht sichtbaren Kosten haben es
in sich. Sie sind oft schwer zu messen, werden von den beteiligten
Parteien in ihrer Höhe und ihrer Struktur häufig sehr
unterschiedlich bewertet und aus "politischen"
Gründen schon mal gerne unter den sprichwörtlichen Tisch
gekehrt.
Dabei bieten die versteckten Kosten für eigene
Sicherheits-Services ungeahntes Sparpotenzial und sind ein Schatz,
den es möglichst schnell zu heben gilt, um aus Konkurrenten
"Bewunderer" zu machen. Wer solche Kosten als erster
verstehen lernt, kann sich früher als andere nach
Möglichkeiten umsehen, um ihre Ursachen zu beherrschen und
seine effektive Belastung zu senken. Der Begriff "Total Cost
of Ownership" beschreibt diese Idee äußerst
prägnant und hat sich deshalb gut eingebürgert, vor allem
in der Welt der Controller und Beratungsunternehmen.
Überraschenderweise profitieren gerade die kleineren und
mittleren Unternehmen am meisten vom Kostensenkungspotenzial, das
Managed Services bieten. Für sie ist jeder Service besonders
teuer, der im eigenen Haus für andere Abteilungen erbracht
werden muss. Fast immer benötigen sie mehrere Mitarbeiter, die
während der Geschäftszeiten oder sogar vielfach rund um
die Uhr und auch am Wochenende die Leistungen bereithalten
müssen. Solche nicht zum Kerngeschäft gehörenden
Dienstleistungen binden Arbeitskraft, Kapital und Wissen.
Bei Managed Security Services (bekannteste Ausprägung sind
die Managed Firewall Services) geben IT- oder Netzwerk-Organisation
die Security-Arbeit ab. Geht dieser abgespaltene Teil an einen
Dienstleister, findet also ein Outsourcing statt, zeigt sich das
erwähnte Potenzial zur Senkung der Kosten für diese
Security-Arbeit.
Der Begriff "Arbeit" mutet hier vielleicht auf den
ersten Blick etwas seltsam an, aber in der Tat sind hier
intellektuelle, organisatorische und in der Regel auch
handwerkliche Fertigkeiten verlangt – Managed Security
Services haben nichts mit besonderen Begabungen, Kunst oder gar
Zauberei zu tun. Viel davon ist reine Routine.
Was aber nicht heißen soll, dass sich bei der
Bewältigung dieser Aufgabe nicht auch ein gewisser
Expertise-Effekt einstellt. Ein auf Security-Outsourcing
spezialisiertes Unternehmen wird mit der Zeit immer mehr
Auftraggeber betreuen und Erfahrungen aus verschiedenen Projekten
sammeln können. Dies kommt umgekehrt auch wieder jedem
einzelnen Auftraggeber zugute.
Hindernisse
Wenn Managed Security Services mehr Qualität bei weniger
Kosten versprechen: Wo liegt dann das Problem? Warum sind solche
Dienstleistungen noch längst nicht so verbreitet, wie man nach
diesen Vorüberlegungen annehmen könnte?
Aller bisherigen Erfahrung nach muss ein Interessent für
solche Dienstleistungen zunächst folgende grundsätzliche
Fragestellungen erkannt und bejaht haben:
- Bin ich bereit, meine Security-Arbeit einer Organisation
anzuvertrauen, die ein anderes Unternehmensziel hat als ich?
Bewusst geht es ausdrücklich nicht um Vertrauen in oder
Kontrolle von "fremden" Personen.
- Weiß ich, welche Kosten ich für meine Sicherheit
derzeit tatsächlich tragen muss? Gerade wenn Sicherheit eine
Aufgabe ist, die bislang von eigenen Mitarbeitern quasi als
"Nebenjob" übernommen wurde, ist diese Fragestellung
oft nur ziemlich mühsam oder unscharf zu beantworten.
- Sind meine zentralen Schutzziele hinreichend klar definiert und
kann ich daraus meine genauen Ansprüche ableiten? Es ist
einleuchtend, dass hier systematisch priorisiert werden muss, denn
nicht alles, was machbar wäre, ist für jede Organisation
auch angemessen.
Weg zum Service
Managed Security Services sind bislang noch ein relativ
unbeackertes Feld. Auf diesem Markt tummeln sich in Deutschland
– im Gegensatz etwa zu Nordamerika – noch recht wenige
Anbieter. Entsprechend unbekannt sind die Begriffe und
Leistungsmerkmale dem potenziellen Kundenkreis. Das Gleiche gilt in
noch stärkerem Maße für die Preise, die für
solche Leistungen erhoben werden. Referenzpreise für Standard-
und Sonderleistungen haben sich allgemein noch nicht
herausgebildet.
Man kann deshalb mit Fug und Recht noch von einem
"Anbieter-Markt" sprechen. Die Dienstleister bestimmen im
Wesentlichen unabhängig von der Nachfragemacht die
Eigenschaften der Produkte und ihre Preise. Der Anbieter hat hier
aber umgekehrt auch ein großes Problem zu lösen. Welche
Eigenschaften muss sein Produkt unbedingt haben, welche
möglicherweise und welche braucht man gar nicht, um
möglichst vielen Kunden gleichzeitig gerecht zu werden?
Die Elastizität der Preise ist genauso wenig bekannt:
Welchen Einfluss hat eine Preiserhöhung oder eine Preissenkung
auf die Anzahl der Kunden? Da ein bestimmtes Leistungsmerkmal nicht
für jeden Kunden gleich wichtig ist, sind für den
Anbieter die Vermittlung von Werten und für den Interessenten
der Vergleich von Merkmalen die größten
Herausforderungen. Beide Seiten profitieren also
gleichermaßen, wenn man eine vergleichende Bewertung
(Benchmarking) zwischen verschiedenen Angeboten durchführt (vgl.
S. 41).
Benchmarking
Wichtig ist für ein Benchmarking stets, seine Anforderungen
und eigene Leistungen mit den Besten zu vergleichen. Es empfiehlt
sich also, mithilfe eines Fragenkataloges eine Matrix aufzubauen,
in der für jedes Angebot eine eigene Spalte existiert. Die
eigenen Anforderungen sollte man in einer separaten Spalte
aufzeichnen und die einzelnen Merkmale entsprechend der notwendigen
Priorisierung gewichten.
Anschließend sollte man für alle vorhandenen Merkmale
Punkte vergeben und diese aufsummieren, um zu einer geschlossenen
Bewertung (Ranking) der einzelnen Angebote zu kommen. Eine andere
Möglichkeit besteht darin, durch Korrelation dasjenige Angebot
zu finden, das am besten die eigenen Anforderungen
erfüllt.
Die Aufzählung der Merkmale im nachfolgenden Kasten kann
naturgemäß keinen Anspruch auf Vollständigkeit
erheben. Sie entstand aus langjähriger Erfahrung mit einigen
Managed Security Services und durch das Studium vieler
Leistungsbeschreibungen. Für die eigene Betrachtung gilt es,
eventuell neue oder bereichsspezifische Merkmale hinzuzufügen.
Weitere Hilfen zu diesem Thema können Sie über die Internetseiten des Autors
anfordern.
Andreas Englisch (Andreas.Englisch@btignite.de)
ist Product Manager Security bei BT Ignite GmbH & Co in
München, einer Tochter der British Telecom.
----------Anfang Textkasten----------
[Kasten
überspringen]
Checkliste
Kategorie 1: Ereignisse und Alarme
- Werden Ereignisse aus verschiedenen Quellen
(Firewall-Log, IDS usw.) wissensbasiert miteinander korreliert und
zu Alarmen verarbeitet?
- Wird die daraus entstehende Wissensbasis auf alle
angeschlossenen Kunden übertragen?
- Können kundenspezifisch neue Ereignisse
vereinbart werden?
- Können Alarme kundenspezifisch priorisiert
werden?
- Wie viele Prioritätsstufen für Alarme gibt
es?
- Gibt es außer automatisch generierten auch
manuell ausgelöste Alarme?
- Wird die entstehende Liste von Alarmtypen
ständig erweitert?
Kategorie 2: Maßnahmen
- Wird ein detaillierter, kundenspezifischer
Notfallplan vereinbart?
- Können im Notfallplan die Reaktionen bezogen
auf jeden Typ von Alarm frei vereinbart werden?
- Was passiert bei Überschreitung einer
definierten maximalen Reaktionszeit für einen Alarm?
- Können individuelle Eskalationsprozeduren und
-stufen bis hin zum Top-Management vereinbart werden?
- Kann vereinbart werden, dass bei Gefahr im Verzug
bestimmte Gegenmaßnahmen selbstständig eingeleitet
werden?
- Wie lange dauert es typischerweise, bis die
Benachrichtigung über eine erfolgte Gegenmaßnahme
erfolgt?
- Sind verschiedene Benachrichtigungswege in
Abhängigkeit vom Typ eines Alarms möglich?
- Wenn Benachrichtigungen über Maßnahmen
per E-Mail übermittelt werden sollen: Geschieht dies
ausreichend stark verschlüsselt?
Kategorie 3: Service Level Vereinbarungen
- Gibt es eine Hotline-Rufnummer, die 24 Stunden am
Tag an allen Tagen im Jahr durch eine Person besetzt ist?
- Gibt es Ersatz für gestörte
Hotline-Rufnummern bzw. Fax-Rufnummern und werden diese
Ersatz-Rufnummern auf davon getrennten Wegen
herangeführt?
- Muss der Kunde abhängig von Tageszeit oder
Problemstellung unterschiedliche Rufnummern wählen, um Hilfe
zu erhalten?
- Innerhalb welcher maximalen Zeitdauer werden
Änderungswünsche bzw. Anfragen angenommen?
- Werden Änderungswünsche vor der
Durchführung daraufhin bewertet, ob sie die Sicherheit
gefährden?
- Werden Änderungswünsche nach ihrem Aufwand
(Menge je Zeitraum, Komplexität) abgerechnet oder erfolgt die
Bezahlung pauschal?
- Innerhalb welcher maximalen Zeitdauer werden
Änderungswünsche durchgeführt?
- Werden für Änderungswünsche vorher
Testfälle definiert und nach der Änderung auch
durchgeführt und bewertet?
- Innerhalb welcher maximalen Zeitdauer werden
Anfragen beantwortet?
- Was passiert, wenn eine der definierten maximalen
Zeitdauern überschritten wird?
Kategorie 4: Legitimation
- Werden Anfragen und Änderungswünsche nach
ihrer Relevanz für die Sicherheit eingruppiert?
- Können einzelne Rollen innerhalb der
Kundenorganisation definiert werden?
- Auf welchen Wegen (telefonisch, schriftlich, per
E-Mail, per Web-Interface usw.) ist die Legitimation und die
Authentisierung von Anfragen und Änderungswünschen
möglich?
- Wie werden verschiedene Mitarbeiter trotz
identischer Rolle getrennt legitimiert?
- Durch welche Maßnahmen unterstützt der
Anbieter die Organisation der Legitimation (Beispiele für
Struktur, Policys, Formulare, usw.)?
- Wie wird jede einzelne Authentisierung und
Legitimation nachvollziehbar und unabstreitbar dokumentiert?
- Wie wird wirkungsvoll verhindert, dass sich eine
Person selbst legitimiert?
- Wie enden Legitimationen?
Kategorie 5: Reporting und Dokumentation
- Wird der Kunde regelmäßig über alle
Ereignisse und Alarme informiert?
- Wie viele verschieden detaillierte Typen von Reports
sind verfügbar?
- Sind die Report-Zeiträume frei
definierbar?
- Wie sind Trends bei Sicherheitsvorfällen
erkennbar?
- Welche grafischen Auswertungen sind
möglich?
- Auf welchen Wegen werden Reports und andere
Dokumentationen übermittelt (per Post, per E-Mail, per Fax,
per Web-Interface in Echtzeit)?
- Wenn die Übermittlung von Reports und anderen
Dokumenten über das öffentliche Internet geschieht:
Passiert dies ausreichend stark verschlüsselt?
- Liegen Netzwerkpläne und alle Dokumente
über die Installation der Firewall in jedem SOC vor?
- Welche Möglichkeiten gibt es, online und
jederzeit auf Reports zuzugreifen?
- Auf welche weiteren Quellen (Wissensbasis,
Mailing-Liste) kann online zugegriffen werden?
Kategorie 6: Security-Personal
- Wie wird der Betrieb 24 Stunden am Tag und an allen
Tagen im Jahr sicher gestellt?
- Wie wird sicher gestellt, dass für jeden Alarm
das Vier-Augen-Prinzip durchgehalten wird?
- Wie lange dauert es mindestens, bis Mitarbeiter im
Schichtbetrieb wieder zusammen in einer Schicht arbeiten?
- Handelt es sich um dauerhaft angestelltes
Personal?
- Nach welchen Richtlinien wird das Personal vor der
Einstellung, während der Anstellung und nach Beendigung des
Arbeitsverhältnisses überprüft?
- Durch welche Maßnahmen wird das Personal zur
strikten Geheimhaltung verpflichtet?
- Gilt für das Personal das Fernmeldegeheimnis
nach §85 TKG?
- Kann das Personal unbemerkt und jederzeit per Video
überwacht werden?
Kategorie 7: Security Operation Center (SOC)
- Wie viele, zum Schutz gegen Totalausfälle
geografisch verteilte Security Operation Centers (SOC) sind
vorhanden?
- Wie sind die Gebäude, in denen die SOCs
untergebracht sind, physikalisch gesichert (Einbruch, Brand,
Blitzschlag, Wasser usw.)?
- Wie wird verhindert, dass ein SOC von außen
einsehbar ist (Monitore, Unterlagen usw.)?
- Wie ist das SOC gegen elektromagnetische Abstrahlung
nach außen geschützt?
- Wie ist der physikalische Zutritt zum SOC
abgesichert (Anzahl Sicherheitstüren, Vereinzelungsschleusen,
biometrische Systeme usw.)?
- Wie können sich Interessenten einen Eindruck
von der Arbeit im SOC verschaffen?
- Geschieht dies kontrolliert?
- Auf welche Weise ist sicher gestellt, dass zwischen
Firewall und SOC eine zu 100% verfügbare Verbindung
besteht?
- Wie viele voneinander unabhängige Telefon-,
Fax- und Datenverbindungen über verschiedene
Telekommunikations-Anbieter existieren zu einem SOC?
- Wie wird eine räumliche, personelle und
netzwerktechnische Abgrenzung zwischen SOC und übrigen
Abteilungen des Anbieters gewährleistet?
Kategorie 8: Datensicherung
- Nach welchen Prozessen werden alle anfallenden Daten
gesichert?
- Wie lange kann auf die Rohdaten aus den
Firewall-Logs zugegriffen werden?
- Nach welchem RAID Level ist die Datenbank für
die Speicherung der anfallenden Daten redundant ausgelegt?
- Auf welchen Typ Medien findet die Sicherung der
Datenbank statt?
- Wie oft werden diesen Medien gewechselt?
- Wo und wie werden diese Medien gelagert?
- Wie kommen diese Medien sicher in das Lager?
- Wann werden die gesicherten Daten
gelöscht?
Kategorie 9: Datenschutz
- Ist nachvollziehbar, wer welche Änderung an
Daten vorgenommen hat?
- Werden Änderungen an Daten manipulationssicher
zeitgestempelt?
- Werden anfallende Daten bei jedem Transport
kryptografisch stark verschlüsselt?
- Wie werden die gesicherten Daten auf den einzelnen
Medien gelöscht?
- Findet die Vernichtung von Akten und Daten nach dem
Bundesdatenschutzgesetz (BDSG) statt?
- Wie ist sicher gestellt, dass die Nutzdaten des
Kunden nicht unbefugt mitgelesen werden?
- Ist der Anbieter zu Legal Interception
verpflichtet?
----------Ende Textkasten----------
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 34
Zurück zum
Inhalt