Vertrauen ist gut... Was bei Service Level Agreements zu beachten ist
Ordnungsmerkmale
erschienen in: <kes> 2005#3, Seite 16
Rubrik: Management und Wissen
Schlagwort: Managed Services
Schlagwort-2: Service Level Agreements
Zusammenfassung: Service Level Agreements (SLAs) sind aus dem Bereich des IT-Outsourcing kaum noch wegzudenken. Diskussionen darüber bleiben jedoch kontrovers: Während manche Unternehmen auf SLAs für die Regelung ihrer Dienstleistungsverträge schwören, kritisieren andere, dass sich Provider damit nur aus der Verantwortung stehlen wollen.
Autor: Von Olaf Lindner, Ratingen
Noch immer zögern viele Unternehmen beim Outourcing: Einen Sicherheitsdienstleister zu beauftragen, bedeutet das nicht, die Zügel völlig aus der Hand zu geben? Es ist zwar kostspielig, geschäftsfremdes Spezial-Know-how im Unternehmen vorzuhalten, doch für so manchen Geschäftsführer ist es auch ein beruhigendes Gefühl, seine Daten nicht außer Haus zu geben. Viele Unternehmen befürchten einen Kontrollverlust – auch wenn sie womöglich die Kontrolle über ihre IT-Sicherheit schon längst selbst verloren haben – im Wettrennen um die neuesten Patches, der Komplexität der eigenen IT-Landschaft oder im Spannungsfeld der Anforderungen von IT-Betrieb (Handhabbarkeit, Verfügbarkeit) versus Informations-Sicherheit.
Außerdem ist da viel Skepsis: Was leistet so ein Managed Security Service Provider wirklich? Sind einem extern beauftragten Unternehmen unsere Daten wirklich genauso wichtig wie uns selbst? Gehen die Dienstleister verantwortungsbewusst mit sensitiven Informationen um? Wie können wir sicher sein, dass ein Provider tatsächlich die zugesagten Sicherheitsdienste in der gewünschten Qualität erbringt? Vielleicht stellt man eine Nachlässigkeit erst fest, wenn das Netzwerk unter einer Denial-of-Service-Attacke in die Knie gegangen ist – doch dann ist es zu spät…
Zurückhaltung in Zahlen zeigte auch die letzte <kes>/Microsoft-Sicherheitsstudie (vgl. www.kes.info/studie2004/): Nur 52 % der Befragten betrieben überhaupt Outsourcing in der einen oder anderen Form. Neben der Entsorgung von Datenträgern waren dabei vor allem Managed Firewalls und Intrusion-Detection-Systeme (IDS) beliebt, gefolgt von extern gepflegten Netzwerken und Betriebssystemen. Immerhin drei Viertel der Outsourcing-Geber hatten ein Service Level Agreement (SLA) abgeschlossen – 69 % auch mit expliziten Anforderungen an die Informations-Sicherheit. Aber nur ein knappes Drittel dieser SLAs enthielten ein regelmäßiges Kontrollrecht, knapp die Hälfte prüft "anlassbezogen" – fast jeder Fünfte hat überhaupt keine Kontrollen vorgesehen.
SLA und gut?
Etliche Unternehmen verlassen sich also darauf, dass die vereinbarten Service Level Agreements ohne Weiteres auch eingehalten werden. So verlockend es erscheinen mag, sich nach der Entscheidung für Outsourcing "um nichts mehr kümmern" zu müssen, so riskant muss ein solches Vorgehen doch bewertet werden. Informationssicherheit ist kein einmal erworbener Status, sondern ein beständiger Prozess, der am Leben erhalten werden muss – und das gilt auch für das Verhältnis zum Managed Security Service Provider (MSSP) und für seine Dienstleistungen. Ein guter Anbieter mag hier zwar auch von sich aus auf stetige Revision drängen, dennoch sollte ein Unternehmen hierbei die Steuerung nicht vollständig aus der Hand geben.
Am Anfang der Zusammenarbeit steht dann in der Tat die Festlegung der SLAs: Sie sollten sämtliche Leistungen, Prozesse und Qualitätsstandards definieren, die der Sicherheitsdienstleister zu erbringen verpflichtet ist. Dazu gehören unter anderem die genaue Definition der überwachten und gemanagten Bereiche, maximale Ausfallzeiten und Verfügbarkeit der Services, Reaktionszeiten, in welcher Form und wann ein Reporting erfolgt, Haftungsbeschränkungen und das Prozedere in Notfällen.
Darüber hinaus sollten die SLAs auch genau festlegen, was zu den Verantwortlichkeiten des Kunden gehört (vgl. S. 20). Dazu zählt beispielsweise, dass das Unternehmen alle technischen Informationen oder eine detaillierte Netzwerkübersicht bereitstellt, die Kontaktdaten aller autorisierten Ansprechpartner verfügbar macht oder den Sicherheitsdienstleister bei jeder internen Netzwerkwartung rechtzeitig in Kenntnis setzt. Es ist auf jeden Fall sinnvoll, die SLAs mit dem Betriebshandbuch des Betreibers abzugleichen. Zudem sollte auch thematisiert werden, welche gesetzlichen Auflagen das Unternehmen in punkto Sicherheit erfüllen muss und wie man bei Sicherheitsvorfällen verfährt.
Präzise Service Level Agreements bilden die Messlatte, mit der sich im Rahmen des Reportings verifizieren lässt, ob die vereinbarten Leistungen dann tatsächlich im vollen Umfang erbracht wurden. Die Festlegung der SLAs zu Beginn eines Vertragsverhältnisses schafft die Basis, von der aus ein objektives Berichtswesen erst ausgeht. SLAs müssen daher so umfänglich und unmissverständlich sein, dass beide Seiten – Provider und Kunde – über (Rechts-)Sicherheit verfügen. Wo der Provider nicht davon ausgehen kann, dass ausreichendes Sicherheits-Know-how beim Kunden vorhanden ist, müssen die SLAs so formuliert sein, dass sie gleichermaßen allgemein verständlich und technologisch präzise sind.
Es lohnt sich immer, auf die Formulierung und die Auswahl von Service Level Agreements etwas mehr Zeit zu verwenden. Ein Vertrag sollte erst unterschrieben werden, wenn auf beiden Seiten alle Fragen ausgeräumt sind – ein seriös arbeitender Provider wird dem Kunden hierzu einen ganzen Fragenkatalog vorlegen.
SLAs mögen wie eine Nebensächlichkeit erscheinen. Wenn der Service erst einmal läuft, geraten sie schnell in Vergessenheit. Erst bei Problemen und strittigen Fragen bringen sich – gerade schwammig formulierte – SLAs wieder unangenehm in Erinnerung. Es empfiehlt sich, solchen Fällen vorzugreifen und sowohl die Erfüllung der SLAs als auch ihre fortdauernde Eignung für die eigenen Geschäftsprozesse regelmäßig zu überprüfen.
Qual der Wahl
Die Entscheidung für einen bestimmten Dienstleister fällt Unternehmen verständlicherweise nicht leicht – zu verwirrend ist die Angebotsvielfalt, und teilweise bleibt dem potenziellen Kunden zunächst sogar verborgen, was genau sich hinter wohlklingenden Servicebezeichnungen verbirgt.
Es kann jedoch nicht im Sinne eines erfolgreichen Outsourcing sein, wenn Kunden sich (fast) blindlings darauf verlassen müssen, dass der Provider schon "alles richig macht". Wenn es dann doch zu – womöglich massiven – Sicherheitsproblemen kommt, liegt die Beweislast im Zweifel beim Kunden, der nachweisen muss, dass der Provider seinen Verpflichtungen nicht ausreichend nachgekommen ist. Oder es erweist sich, dass der angebotene beziehungsweise gewählte Service-Level für die Bedürfnisse des Kunden nicht angemessen war.
Hier wird deutlich, wie wichtig detailliert formulierte SLAs und genaues Wissen über die Art der zu erbringenden Dienste sind. Das damit verbundene Prozedere kann bereits im Vorfeld der Vertragsunterzeichnung einen Hinweis auf die Zuverlässigkeit und Vertrauenswürdigkeit eines Managed Security Service Providers geben. Ein seriös arbeitender Sicherheitsdienstleister wird SLAs seinen Kunden genauestens mit allen Prozessen und Verfahren sowie verwendeter Technik erklären können. Als ausschließliches Gütekriterium für Managed Security Service Providers" lang=en>MSSPs eignen sich SLAs aber dennoch nicht (vgl. Kasten).
----------Anfang Textkasten----------
Auswahl eines Managed Security Service Providers
Bei der Wahl eines Managed Security Service Providers (MSSP) sollte der Grundsatz gelten: Vertrauen ist gut, Transparenz ist besser. Einige der wichtigsten Fragen lauten:
- Welche Expertise bringt der Dienstleister mit? Welche Erfahrung haben die einzelnen Ansprechpartner? Wie sieht es mit der Beständigkeit des Unternehmens am Markt aus? Sind die Sicherheitszentren des Providers zertifiziert (zum Beispiel nach BS 7799)?
- Deckt das Dienstleistungsspektrum des Providers Sicherheitsmanagement und Monitoring gleichermaßen ab?
- Verwendet der Managed Security Service Providers" lang=en>MSSPs erstklassige (evtl. proprietäre) Technik? Verfügt er über eine leistungsfähige Servicearchitektur? Sind die Services herstellerneutral?
- Bietet der Anbieter Analyse und Intervention in Echtzeit? Gibt es Möglichkeiten, direkt mit Sicherheitsexperten zu kommunizieren?
- Wie flexibel und transparent ist das Reporting? Wie werden Serviceleistungen offengelegt?
- Wie sorgfältig und detailliert sind die Service Level Agreements (SLAs) ausformuliert? Berücksichtigt der Provider das aktuell vorhandene Risikopotenzial im Internet und vergleicht die Situation seines Kunden damit?
----------Ende Textkasten----------
Kontrolle ist besser
Wenn SLAs eine unentbehrliche Grundlage für zufriedenstellende MSS sein sollen, dann muss Kunden auch ein Instrument zu ihrer Kontrolle gegeben werden! Nur wenn die Leistungen des Providers transparent sind und der Kunde immer Aufschluss über seinen Sicherheitsstatus und die geleisteten Dienste hat, nur dann können SLAs ein Instrument zum Finetuning von Managed Security Services werden.
Genau hier liegt jedoch der Punkt, der IT-Entscheidern Kopfzerbrechen bereitet: das überzeugende Reporting. Das Problem liegt tatsächlich oft weniger bei den SLAs als in der mangelhaften Nachvollziehbarkeit und Überprüfbarkeit der Leistungen. Es ist jedoch äußerst wichtig für Unternehmen, dass sie ihr IT-Sicherheitsniveau bewerten können – besonders für kleinere Unternehmen, in denen es keine Sicherheitsspezialisten gibt. Unternehmen müssen jedoch nicht nur genau wissen, wie es um den Schutz ihrer Informationswerte steht, sie sollten auch wissen, was der Sicherheitsdienstleister für sein Geld überhaupt tut – selbst wenn alles in Ordnung ist.
Leistungstransparenz ist somit der Schlüsselfaktor beim Outsourcing von Sicherheitsdienstleistungen. Mehr noch: Leistungstransparenz in Verbindung mit präzisen SLAs bildet die Grundvoraussetzung dafür, dass Managed Security Services ihren vollen Nutzen für Unternehmen entfalten können. Denn erst wenn klar ist, was der Serviceanbieter tatsächlich für seinen Kunden geleistet hat, bekommen Unternehmen eine Vorstellung von ihrer Sicherheitsaufstellung. Nur Leistungstransparenz
- schafft einen Überblick über noch notwendige Investitionen,
- zeigt, wo sich Ausgaben bereits ausgezahlt haben,
- macht deutlich, ob und inwiefern sich die Auslagerung von Sicherheits-Know-how rechnet,
- macht deutlich, ob gesetzliche Auflagen erfüllt wurden,
- sorgt letztlich für Planungssicherheit – in finanzieller wie in sicherheitsrelevanter Hinsicht.
Klarheit in Echtzeit
Sicherheitsmanagement und -monitoring als Black-Box-Verfahren macht Kunden zu Recht misstrauisch. Unternehmen, die sich für Sicherheits-Outsourcing entscheiden, sollten die Prozesse nachvollziehen können, mit denen Defizite in der Sicherheitsinfrastruktur erkannt und beseitigt werden – und das möglichst zeitnah und nicht erst am Monatsende, wenn es womöglich zu spät ist für Korrekturen. Die ständige Informationsbereitstellung für den Kunden kann beispielsweise über ein – entsprechend gesichertes – Web-Portal erfolgen; bei akuten Sicherheitsvorfällen sollte er zusätzlich telefonisch alarmiert werden.
Auch hier gilt zudem die Forderung nach einer verständlichen Aufbereitung für den Kunden: Nur detaillierte Analysen, Empfehlungen und ausführliche Berichte können dafür sorgen, dass Unternehmen ihre Sicherheitsmaßnahmen rechtzeitig und flexibel an die jeweilige Bedrohungslage anpassen und damit das Sicherheitsniveau optimieren können. Kunden sollten darüber hinaus eine stetige Kontrollmöglichkeit dafür haben, dass ihr Dienstleister jegliche in den SLAs vereinbarten Services zuverlässig durchführt.
Service Level Agreements sollten realistisch bewertet werden: Sie sind kein Allheilmittel, das potenzielle Unzulänglichkeiten eines Sicherheitdienstleisters wettmachen kann. Sie haben bei der Qualitätsbeurteilung eines Managed Security Service Providers allenfalls Indizwirkung. Tatsache ist aber: Unternehmen haben mit präzisen und überprüfbaren SLAs ein Instrument in der Hand, mit dem sie ihre – zum Teil durch gesetzliche Regularien geforderte – Verantwortung ein Stück weit abgeben können, ohne jegliche Kontrolle zu verlieren.
Olaf Lindner ist Director Symantec Security Services.
----------Anfang Textkasten----------
SLA-Echtzeitkontrolle bei Symantec
Um der Erkenntnis Rechnung zu tragen, dass ein Outsourcing-Kunde ständig über seine Services informiert sein muss, hat Symantec das Webportal Secure Internet Interface (SII) geschaffen (vgl. Screenshot). Dort können sich Kunden sowohl Klarheit über ihre eigene aktuelle Sicherheitslage als auch die allgemeine Bedrohungslage im Internet verschaffen. Das Webportal bietet somit einerseits Transparenz für mehr Sicherheit (inkl. zu schließenden Schwachstellen und notwendigen Investitionen) als auch Transparenz für die Kontrolle von Service Level Agreements (SLAs). Das stärkt nicht nur die Vertrauensbasis zwischen Kunde und Dienstleister, sondern liefert auch Argumentationshilfen für das Outsourcing und eine bessere Steuerung des Return on Investment in Sachen Sicherheit.
![[Screenshot: SII-Management-Interface]](05-3-016-1-400.jpg)
Der Screenshot vermittelt eine Vorstellung davon, was SII bietet: Neben Berichten über Sicherheitsereignisse erhält der Kunde eine Bewertung der aktuellen Ereignisse sowie Handlungsempfehlungen für die Zukunft. Der Kunde kann in Echtzeit sehen, welche Geräte momentan aktiv sind und wo Sicherheitsservices anstehen (so genannte Tickets). Das Secure Internet Interface macht auch deutlich, in welchem vertraglich zugesicherten Zeitrahmen die Maßnahmen durchzuführen sind.
Neben aktuellen, global auftretenden Bedrohungen gibt SII Sicherheitsempfehlungen, die sich beispielsweise auf neu entdeckte Schwachstellen in der Systemarchitektur beziehen. Außerdem lässt sich im Rückblick eine Chronologie von Ereignissen und ergriffenen Gegenmaßnahmen erstellen. Das SII ist gleichzeitig für den Kunden ein effizienter Weg, um mit Sicherheitsexperten in den Symantec Security Operations Centers (SOCs) zu kommunizieren, falls noch Fragen offen bleiben. Und nicht zuletzt ist es die Schnittstelle, mit der unbürokratisch weiter gehende oder optionale Sicherheitsservices angefordert werden können.
----------Ende Textkasten----------
zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#3, Seite 16
![[Screenshot: SII-Management-Interface]](05-3-016-1.jpg)
