Management und Wissen

Outsourcing

Vergleich von Managed Security Services

Von Andreas Englisch, München

Das Outsourcing von Security Services kann Kosten sparen, Kapazitäten entlasten und durch Synergieeffekte die Sicherheitslage verbessern. Dennoch wird es bislang eher zurückhaltend genutzt. Bei der Entscheidung für das Outsourcing und dem Vergleich verschiedener Angebote kann eine Bewertungsmatrix wertvolle Dienste leisten.

Managed Services sind nützlich: Sie nehmen sich eines der wichtigsten Prinzipien im wirtschaftlichen Leben zum Vorbild, nämlich das der Arbeitsteilung. Jene Urzeiten sind schließlich vorbei, in denen jeder alles können musste. In unserer modernen, hochkomplexen Welt ist "Do-it-yourself" nur noch etwas für Heimwerker und Hobbys. Da spielen Kosten oft keine Rolle und keine Mühe wird gescheut.

Wer aber, wie jede wirtschaftlich denkende Organisation, aufs Geld schauen muss, der wird sich um alle Kosten Gedanken machen müssen – seien sie auch noch so versteckt. Gerade die indirekten, auf den ersten Blick nicht sichtbaren Kosten haben es in sich. Sie sind oft schwer zu messen, werden von den beteiligten Parteien in ihrer Höhe und ihrer Struktur häufig sehr unterschiedlich bewertet und aus "politischen" Gründen schon mal gerne unter den sprichwörtlichen Tisch gekehrt.

Dabei bieten die versteckten Kosten für eigene Sicherheits-Services ungeahntes Sparpotenzial und sind ein Schatz, den es möglichst schnell zu heben gilt, um aus Konkurrenten "Bewunderer" zu machen. Wer solche Kosten als erster verstehen lernt, kann sich früher als andere nach Möglichkeiten umsehen, um ihre Ursachen zu beherrschen und seine effektive Belastung zu senken. Der Begriff "Total Cost of Ownership" beschreibt diese Idee äußerst prägnant und hat sich deshalb gut eingebürgert, vor allem in der Welt der Controller und Beratungsunternehmen.

Überraschenderweise profitieren gerade die kleineren und mittleren Unternehmen am meisten vom Kostensenkungspotenzial, das Managed Services bieten. Für sie ist jeder Service besonders teuer, der im eigenen Haus für andere Abteilungen erbracht werden muss. Fast immer benötigen sie mehrere Mitarbeiter, die während der Geschäftszeiten oder sogar vielfach rund um die Uhr und auch am Wochenende die Leistungen bereithalten müssen. Solche nicht zum Kerngeschäft gehörenden Dienstleistungen binden Arbeitskraft, Kapital und Wissen.

Bei Managed Security Services (bekannteste Ausprägung sind die Managed Firewall Services) geben IT- oder Netzwerk-Organisation die Security-Arbeit ab. Geht dieser abgespaltene Teil an einen Dienstleister, findet also ein Outsourcing statt, zeigt sich das erwähnte Potenzial zur Senkung der Kosten für diese Security-Arbeit.

Der Begriff "Arbeit" mutet hier vielleicht auf den ersten Blick etwas seltsam an, aber in der Tat sind hier intellektuelle, organisatorische und in der Regel auch handwerkliche Fertigkeiten verlangt – Managed Security Services haben nichts mit besonderen Begabungen, Kunst oder gar Zauberei zu tun. Viel davon ist reine Routine.

Was aber nicht heißen soll, dass sich bei der Bewältigung dieser Aufgabe nicht auch ein gewisser Expertise-Effekt einstellt. Ein auf Security-Outsourcing spezialisiertes Unternehmen wird mit der Zeit immer mehr Auftraggeber betreuen und Erfahrungen aus verschiedenen Projekten sammeln können. Dies kommt umgekehrt auch wieder jedem einzelnen Auftraggeber zugute.

Hindernisse

Wenn Managed Security Services mehr Qualität bei weniger Kosten versprechen: Wo liegt dann das Problem? Warum sind solche Dienstleistungen noch längst nicht so verbreitet, wie man nach diesen Vorüberlegungen annehmen könnte?

Aller bisherigen Erfahrung nach muss ein Interessent für solche Dienstleistungen zunächst folgende grundsätzliche Fragestellungen erkannt und bejaht haben:

  1. Bin ich bereit, meine Security-Arbeit einer Organisation anzuvertrauen, die ein anderes Unternehmensziel hat als ich? Bewusst geht es ausdrücklich nicht um Vertrauen in oder Kontrolle von "fremden" Personen.
  2. Weiß ich, welche Kosten ich für meine Sicherheit derzeit tatsächlich tragen muss? Gerade wenn Sicherheit eine Aufgabe ist, die bislang von eigenen Mitarbeitern quasi als "Nebenjob" übernommen wurde, ist diese Fragestellung oft nur ziemlich mühsam oder unscharf zu beantworten.
  3. Sind meine zentralen Schutzziele hinreichend klar definiert und kann ich daraus meine genauen Ansprüche ableiten? Es ist einleuchtend, dass hier systematisch priorisiert werden muss, denn nicht alles, was machbar wäre, ist für jede Organisation auch angemessen.

Weg zum Service

Managed Security Services sind bislang noch ein relativ unbeackertes Feld. Auf diesem Markt tummeln sich in Deutschland – im Gegensatz etwa zu Nordamerika – noch recht wenige Anbieter. Entsprechend unbekannt sind die Begriffe und Leistungsmerkmale dem potenziellen Kundenkreis. Das Gleiche gilt in noch stärkerem Maße für die Preise, die für solche Leistungen erhoben werden. Referenzpreise für Standard- und Sonderleistungen haben sich allgemein noch nicht herausgebildet.

Man kann deshalb mit Fug und Recht noch von einem "Anbieter-Markt" sprechen. Die Dienstleister bestimmen im Wesentlichen unabhängig von der Nachfragemacht die Eigenschaften der Produkte und ihre Preise. Der Anbieter hat hier aber umgekehrt auch ein großes Problem zu lösen. Welche Eigenschaften muss sein Produkt unbedingt haben, welche möglicherweise und welche braucht man gar nicht, um möglichst vielen Kunden gleichzeitig gerecht zu werden?

Die Elastizität der Preise ist genauso wenig bekannt: Welchen Einfluss hat eine Preiserhöhung oder eine Preissenkung auf die Anzahl der Kunden? Da ein bestimmtes Leistungsmerkmal nicht für jeden Kunden gleich wichtig ist, sind für den Anbieter die Vermittlung von Werten und für den Interessenten der Vergleich von Merkmalen die größten Herausforderungen. Beide Seiten profitieren also gleichermaßen, wenn man eine vergleichende Bewertung (Benchmarking) zwischen verschiedenen Angeboten durchführt (vgl. S. 41).

Benchmarking

Wichtig ist für ein Benchmarking stets, seine Anforderungen und eigene Leistungen mit den Besten zu vergleichen. Es empfiehlt sich also, mithilfe eines Fragenkataloges eine Matrix aufzubauen, in der für jedes Angebot eine eigene Spalte existiert. Die eigenen Anforderungen sollte man in einer separaten Spalte aufzeichnen und die einzelnen Merkmale entsprechend der notwendigen Priorisierung gewichten.

Anschließend sollte man für alle vorhandenen Merkmale Punkte vergeben und diese aufsummieren, um zu einer geschlossenen Bewertung (Ranking) der einzelnen Angebote zu kommen. Eine andere Möglichkeit besteht darin, durch Korrelation dasjenige Angebot zu finden, das am besten die eigenen Anforderungen erfüllt.

Die Aufzählung der Merkmale im nachfolgenden Kasten kann naturgemäß keinen Anspruch auf Vollständigkeit erheben. Sie entstand aus langjähriger Erfahrung mit einigen Managed Security Services und durch das Studium vieler Leistungsbeschreibungen. Für die eigene Betrachtung gilt es, eventuell neue oder bereichsspezifische Merkmale hinzuzufügen. Weitere Hilfen zu diesem Thema können Sie über die [externer Link] Internetseiten des Autors anfordern.

Andreas Englisch (Andreas.Englisch@btignite.de) ist Product Manager Security bei BT Ignite GmbH & Co in München, einer Tochter der British Telecom.

----------Anfang Textkasten----------

[Kasten überspringen]

Checkliste

Kategorie 1: Ereignisse und Alarme
  1. Werden Ereignisse aus verschiedenen Quellen (Firewall-Log, IDS usw.) wissensbasiert miteinander korreliert und zu Alarmen verarbeitet?
  2. Wird die daraus entstehende Wissensbasis auf alle angeschlossenen Kunden übertragen?
  3. Können kundenspezifisch neue Ereignisse vereinbart werden?
  4. Können Alarme kundenspezifisch priorisiert werden?
  5. Wie viele Prioritätsstufen für Alarme gibt es?
  6. Gibt es außer automatisch generierten auch manuell ausgelöste Alarme?
  7. Wird die entstehende Liste von Alarmtypen ständig erweitert?
Kategorie 2: Maßnahmen
  1. Wird ein detaillierter, kundenspezifischer Notfallplan vereinbart?
  2. Können im Notfallplan die Reaktionen bezogen auf jeden Typ von Alarm frei vereinbart werden?
  3. Was passiert bei Überschreitung einer definierten maximalen Reaktionszeit für einen Alarm?
  4. Können individuelle Eskalationsprozeduren und -stufen bis hin zum Top-Management vereinbart werden?
  5. Kann vereinbart werden, dass bei Gefahr im Verzug bestimmte Gegenmaßnahmen selbstständig eingeleitet werden?
  6. Wie lange dauert es typischerweise, bis die Benachrichtigung über eine erfolgte Gegenmaßnahme erfolgt?
  7. Sind verschiedene Benachrichtigungswege in Abhängigkeit vom Typ eines Alarms möglich?
  8. Wenn Benachrichtigungen über Maßnahmen per E-Mail übermittelt werden sollen: Geschieht dies ausreichend stark verschlüsselt?
Kategorie 3: Service Level Vereinbarungen
  1. Gibt es eine Hotline-Rufnummer, die 24 Stunden am Tag an allen Tagen im Jahr durch eine Person besetzt ist?
  2. Gibt es Ersatz für gestörte Hotline-Rufnummern bzw. Fax-Rufnummern und werden diese Ersatz-Rufnummern auf davon getrennten Wegen herangeführt?
  3. Muss der Kunde abhängig von Tageszeit oder Problemstellung unterschiedliche Rufnummern wählen, um Hilfe zu erhalten?
  4. Innerhalb welcher maximalen Zeitdauer werden Änderungswünsche bzw. Anfragen angenommen?
  5. Werden Änderungswünsche vor der Durchführung daraufhin bewertet, ob sie die Sicherheit gefährden?
  6. Werden Änderungswünsche nach ihrem Aufwand (Menge je Zeitraum, Komplexität) abgerechnet oder erfolgt die Bezahlung pauschal?
  7. Innerhalb welcher maximalen Zeitdauer werden Änderungswünsche durchgeführt?
  8. Werden für Änderungswünsche vorher Testfälle definiert und nach der Änderung auch durchgeführt und bewertet?
  9. Innerhalb welcher maximalen Zeitdauer werden Anfragen beantwortet?
  10. Was passiert, wenn eine der definierten maximalen Zeitdauern überschritten wird?
Kategorie 4: Legitimation
  1. Werden Anfragen und Änderungswünsche nach ihrer Relevanz für die Sicherheit eingruppiert?
  2. Können einzelne Rollen innerhalb der Kundenorganisation definiert werden?
  3. Auf welchen Wegen (telefonisch, schriftlich, per E-Mail, per Web-Interface usw.) ist die Legitimation und die Authentisierung von Anfragen und Änderungswünschen möglich?
  4. Wie werden verschiedene Mitarbeiter trotz identischer Rolle getrennt legitimiert?
  5. Durch welche Maßnahmen unterstützt der Anbieter die Organisation der Legitimation (Beispiele für Struktur, Policys, Formulare, usw.)?
  6. Wie wird jede einzelne Authentisierung und Legitimation nachvollziehbar und unabstreitbar dokumentiert?
  7. Wie wird wirkungsvoll verhindert, dass sich eine Person selbst legitimiert?
  8. Wie enden Legitimationen?
Kategorie 5: Reporting und Dokumentation
  1. Wird der Kunde regelmäßig über alle Ereignisse und Alarme informiert?
  2. Wie viele verschieden detaillierte Typen von Reports sind verfügbar?
  3. Sind die Report-Zeiträume frei definierbar?
  4. Wie sind Trends bei Sicherheitsvorfällen erkennbar?
  5. Welche grafischen Auswertungen sind möglich?
  6. Auf welchen Wegen werden Reports und andere Dokumentationen übermittelt (per Post, per E-Mail, per Fax, per Web-Interface in Echtzeit)?
  7. Wenn die Übermittlung von Reports und anderen Dokumenten über das öffentliche Internet geschieht: Passiert dies ausreichend stark verschlüsselt?
  8. Liegen Netzwerkpläne und alle Dokumente über die Installation der Firewall in jedem SOC vor?
  9. Welche Möglichkeiten gibt es, online und jederzeit auf Reports zuzugreifen?
  10. Auf welche weiteren Quellen (Wissensbasis, Mailing-Liste) kann online zugegriffen werden?
Kategorie 6: Security-Personal
  1. Wie wird der Betrieb 24 Stunden am Tag und an allen Tagen im Jahr sicher gestellt?
  2. Wie wird sicher gestellt, dass für jeden Alarm das Vier-Augen-Prinzip durchgehalten wird?
  3. Wie lange dauert es mindestens, bis Mitarbeiter im Schichtbetrieb wieder zusammen in einer Schicht arbeiten?
  4. Handelt es sich um dauerhaft angestelltes Personal?
  5. Nach welchen Richtlinien wird das Personal vor der Einstellung, während der Anstellung und nach Beendigung des Arbeitsverhältnisses überprüft?
  6. Durch welche Maßnahmen wird das Personal zur strikten Geheimhaltung verpflichtet?
  7. Gilt für das Personal das Fernmeldegeheimnis nach §85 TKG?
  8. Kann das Personal unbemerkt und jederzeit per Video überwacht werden?
Kategorie 7: Security Operation Center (SOC)
  1. Wie viele, zum Schutz gegen Totalausfälle geografisch verteilte Security Operation Centers (SOC) sind vorhanden?
  2. Wie sind die Gebäude, in denen die SOCs untergebracht sind, physikalisch gesichert (Einbruch, Brand, Blitzschlag, Wasser usw.)?
  3. Wie wird verhindert, dass ein SOC von außen einsehbar ist (Monitore, Unterlagen usw.)?
  4. Wie ist das SOC gegen elektromagnetische Abstrahlung nach außen geschützt?
  5. Wie ist der physikalische Zutritt zum SOC abgesichert (Anzahl Sicherheitstüren, Vereinzelungsschleusen, biometrische Systeme usw.)?
  6. Wie können sich Interessenten einen Eindruck von der Arbeit im SOC verschaffen?
  7. Geschieht dies kontrolliert?
  8. Auf welche Weise ist sicher gestellt, dass zwischen Firewall und SOC eine zu 100% verfügbare Verbindung besteht?
  9. Wie viele voneinander unabhängige Telefon-, Fax- und Datenverbindungen über verschiedene Telekommunikations-Anbieter existieren zu einem SOC?
  10. Wie wird eine räumliche, personelle und netzwerktechnische Abgrenzung zwischen SOC und übrigen Abteilungen des Anbieters gewährleistet?
Kategorie 8: Datensicherung
  1. Nach welchen Prozessen werden alle anfallenden Daten gesichert?
  2. Wie lange kann auf die Rohdaten aus den Firewall-Logs zugegriffen werden?
  3. Nach welchem RAID Level ist die Datenbank für die Speicherung der anfallenden Daten redundant ausgelegt?
  4. Auf welchen Typ Medien findet die Sicherung der Datenbank statt?
  5. Wie oft werden diesen Medien gewechselt?
  6. Wo und wie werden diese Medien gelagert?
  7. Wie kommen diese Medien sicher in das Lager?
  8. Wann werden die gesicherten Daten gelöscht?
Kategorie 9: Datenschutz
  1. Ist nachvollziehbar, wer welche Änderung an Daten vorgenommen hat?
  2. Werden Änderungen an Daten manipulationssicher zeitgestempelt?
  3. Werden anfallende Daten bei jedem Transport kryptografisch stark verschlüsselt?
  4. Wie werden die gesicherten Daten auf den einzelnen Medien gelöscht?
  5. Findet die Vernichtung von Akten und Daten nach dem Bundesdatenschutzgesetz (BDSG) statt?
  6. Wie ist sicher gestellt, dass die Nutzdaten des Kunden nicht unbefugt mitgelesen werden?
  7. Ist der Anbieter zu Legal Interception verpflichtet?

----------Ende Textkasten----------

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 34

Zurück zum Inhalt       Valid HTML 4.01! Valid CSS!