![[Illustration]](images/05-3-020-1.jpg)
Abbildung 1: Hauptangriffspunkte beim Application Service Providing (ASP)
Das Hauptaugenmerk bei Application-Service-Providing-(ASP)-Angeboten liegt häufig auf optimaler Funktionalität und Verfügbarkeit einer Anwendung. Betriebs- und Datensicherheit sowie der Schutz der Daten sollten jedoch ebenso herausragende Rollen einnehmen, wenn man eigene Geschäftsprozesse durch ASP-Dienstleistungen optimieren will. Wie stellt der Anbieter einer ASP-Dienstleistung sicher, dass Daten seiner Kunden auf dem Kommunikationsweg und bei der Verarbeitung im zentralen Rechenzentrum unverfälscht bleiben, vertraulich behandelt und sicher aufbewahrt werden? Was muss auch der Kunde beitragen, um Zugangs- und Zugriffssicherheit auf Systeme und Daten lückenlos gewährleisten zu können?
Um diese und verwandte Fragen beantworten zu helfen, hat der Arbeitskreis ASP des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) eine 14-seitige Sicherheits-Checkliste erarbeitet, die via Internet kostenlos erhältlich ist [1]. Beide Partner einer ASP-Dienstleistung (Kunde und Anbieter) erhalten damit eine Arbeitshilfe, um das Thema Sicherheit im eigenen Verantwortungsbereich strukturiert zu analysieren und kritische Sicherheitsaspekte im Verantwortungsbereich des potenziellen Partners zu hinterfragen.
Der "Sicherheitsleitfaden für Application Service Providing" wendet sich dabei bewusst sowohl an den Kunden als auch an den ASP-Anbieter: Für den Kunden bietet er eine Hilfestellung hinsichtlich der trotz ASP-Modell notwendigen Sicherheitsvorkehrungen im eigenen Haus. Die Sicherheits- und IT-Spezialisten bei ASP-Anbietern unterstützt der Leitfaden bei der Strukturierung ihrer Sicherheitsanalyse und betont auch dort, dass Sicherheit nicht an den Grenzen der Anbieter-Systeme aufhört, sondern ohne Mitwirkung des Kunden nicht möglich ist.
Abbildung 1: Hauptangriffspunkte beim Application Service Providing (ASP)
Gerade bei einem ASP-Dienst ist das Thema Sicherheit ein wichtiger Aspekt sowohl beim Design eines Angebots als auch bei der Auswahl eines geeigneten Anbieters. Sicherheitsrelevante Vorfälle im ASP-Umfeld sind regelmäßig nicht nur für den tatsächlichen oder vermeintlichen Verantwortlichen unangenehm: In vielen Fällen muss man davon ausgehen, dass das Vertrauen auch in den "unschuldigen" Partner erschüttert und sein Image langfristig beschädigt werden kann. Vorfälle aufgrund von Nachlässigkeiten beim Kunden führen beispielsweise gleichermaßen zu einem Vertrauensverlust für den Anbieter, teilweise auch für das ASP-Geschäftsmodell generell. Und selbst bei klaren Versäumnissen des Anbieters erschüttern gelungene Angriffe dennoch den guten Ruf der ASP-Kunden.
Letztlich sorgt erst der bewusste und sensible Umgang mit Daten und Dienstleistungen im Zusammenspiel zwischen Kunden und Anbieter einer Lösung für Sicherheit. Eine Reihe von Schnittstellen und eine Vielzahl von Komponenten, die in den unterschiedlichen Verantwortungsbereichen liegen, sind hierbei zu berücksichtigen.
![[Illustration]](images/05-3-020-2.jpg)
Abbildung 2: Die Wirksamkeit von IT-Sicherungsmaßnahmen setzt die konsequente Beseitigung aller "Hintertüren" voraus. Besonders kleine und mittelständische Unternehmen sind mit den resultierenden Kosten oft überfordert. Dienstleister können hier Synergieeffekte nutzen und nicht nur die jeweils aktuelle Softwareversion gewährleisten, sondern auch Systemwartung und wesentliche Teile der Datensicherung übernehmen.
Für grundlegende Maßnahmen zur Sicherung der IT und des Datenverkehrs bieten sich – wie immer, so auch hier – die Normen und Regeln der Information Technology Infrastructure Library (ITIL), des des Bundesdatenschutzgesetzes (BDSG), IT-Grundschutzhandbuchs und der Control Objectives for Information and Related Technology (COBIT) an. Deutlich übersichtlicher sind aber naturgemäß spezialisierte Sicherheits-Checklisten.
Der BITKOM-ASP-Leitfaden strukturiert das Thema Sicherheit nach einer kurzen Einleitung in zwei Dimensionen: Verantwortlichkeiten (Kunde / Anbieter) und verwaltete Objekte (Infrastruktur, Endgeräte, Netze, ASP-Server, Daten). Für die Rasterpunkte dieser beiden Dimensionen zeigt der Leitfaden dann die betroffenen Prozesse sowie mögliche technische und organisatorische Maßnahmen.
Neben Maßnahmen gegen mögliche Angriffsszenarien durch Malware (Viren, Trojaner usw.) stehen dabei die Aspekte zur Sicherung der Vertraulichkeit und der Integrität ebenso im Fokus wie Fragen zur Analyse von Schwachstellen bei der Abwehr von Zerstörungsversuchen. Qualitätsmerkmale von ASP-Diensten bleiben in der Liste hingegen unberücksichtigt (z. B. die "Quality of Service", also Verfügbarkeit und Ausfallsicherheit).
----------Anfang Textkasten----------
Angrenzende Aspekte zu den im Folgenden genannten Punkten sind zwischen den Partnern gesondert zu klären. Hierzu gehören zum Beispiel die Qualitätsmerkmale von ASP-Diensten, darunter die Verfügbarkeit und Ausfallsicherheit (Quality of Service).
----------Ende Textkasten----------
Bekanntlich sind umfangreiche Sicherungsmaßnahmen bereits dringend erforderlich, sobald ein Unternehmen eine Internetverbindung herstellt. Nur so können Gefahren durch böswillige Angriffe oder fahrlässige Nutzung minimiert werden. Die meisten der für die Nutzung von ASP-Diensten erforderlichen Sicherheitsvorkehrungen sind daher beim ASP-Kunden oft schon umgesetzt (vgl. Kasten und Tab. 1.). Mit ASP-Sicherheits-Checklisten sollte daher vor allem die Vollständigkeit bereits getroffener Maßnahmen kontrolliert werdeb: Denn für die ihm zugänglichen Objekte der von ihm lizenzierten ASP-Dienste muss der Kunde die Verantwortung tragen. Auf der anderen Seite kann und soll ein ASP-Kunde mittels Checkliste auch hinterfragen, ob der Provider seinen Sorgfaltspflichten bei der Einhaltung von Sicherheitsbestimmungen ebenfalls nachkommt.
| Verwaltete Objekte | Maßnahmen |
|---|---|
| Unternehmen und Infrastruktur | Allgemeine Sicherheitsrichtlinien |
| Gibt es Sicherheitsrichtlinien im Unternehmen? | |
| Sind die Sicherheitsprozesse detailliert beschrieben? | |
| Endgeräte | Identitätsmanagement |
| Gibt es ein persönliches Passwort für jeden Benutzer und werden diese einer bestimmten Benutzergruppe mit vordefinierten Zugriffsrechten zugeteilt? | |
| Wird der physische Zugang von Unbefugten zu den Endgeräten verhindert? | |
| Virenprävention | |
| Wird überwacht, ob am Endgerät ein aktueller Virenscanner eingesetzt wird? | |
| Werden regelmäßige Viren-Scans durchgeführt? | |
| Schutz des Endgerätes gegen Angriffe aus dem Internet | |
| Sind anonyme Anmeldemöglichkeiten (Guest Account etc.) deaktiviert? | |
| Sind Internet-Sicherheitseinstellungen restriktiv genug (z. B. kein Spiele-Download, keine Onlinespiele, Plug-ins oder ActiveXControls, kein Chatten etc.)? | |
| Netze | Sicherheit im LAN |
| Werden Firewalls eingesetzt? | |
| Gibt es eine mehrstufige heterogene Firewallarchitektur mit Paketfiltern und Application Gateways? | |
| Sicherheit im WAN | |
| Wie ist die Kommunikation zum Provider gesichert? | |
| Ist der Zugang zum Provider nur über eine gesicherte und verschlüsselte VPN-Anbindung möglich? |
Tabelle 1: Grundlegende Maßnahmen zur Sicherung des IT-Datenverkehrs gelten auch im ASP-Umfeld
Generell ist beim Querschnittsthema Sicherheit die zugrunde liegende Architektur in ihrer Gesamtheit zu betrachten. Die per Checkliste adressierten Fragen betreffen daher sowohl die einzelnen Objekte als auch ihre Einbindung in das Gesamtsystem sowie die unterschiedlichen Dimensionen einer Architektur. Hierdurch wird eine Orientierungshilfe zur Identifikation der Differenz zwischen der vorhandenen und der erforderlichen Sicherheit gegeben. Auf Basis solcher Fragen, die als Leitlinie zur Analyse der sicherheitsrelevanten Fragestellungen anzusehen sind, kann der ASP-Interessent letztlich eine Gesamtbewertung durchführen. Die Bewertung der Fragen und Anmerkungen obliegt stets den Beteiligten der konkret angedachten ASP-Dienstleistung: Denn allem voran können die Relevanz möglicher Sicherheitsmaßnahmen und die Notwendigkeit des Erreichens bestimmter Sicherheits-Level nicht allgemeingültig vorgegeben, sondern nur individuell ermittelt werden.
Dr. Axel Garbers (a.garbers@bitkom.org) ist Bereichsleiter "Digitale Medien und E-Dienste" beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM).
![[externer Link]](../../images/link.gif)
www.bitkom.org/de/publikationen/1357_30308.aspx www.bitkom.org/de/publikationen/1357_30774.aspx www.bitkom.org/de/publikationen/1357_25976.aspx
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#3, Seite 20
| 