E-Mail-Sicherheit outsourcen

Mehr Sicherheit, weniger Aufwand

17. Dezember 2006, 23:00 Uhr | Edi Kopajtic/wj Edi Kopajtic arbeitet als IT-Fachjournalist in München.

E-Mail-Sicherheit entwickelt sich zu einem der zentralen Security-Themen in den Unternehmen, denn Bedrohungen und Belästigungen wie Phishing, Pharming, Spam und Spyware nutzen mit Vorliebe die elektronische Post als Einbruchskanal. Das Outsourcing der Abwehr lohnt sich, wenn es mit Bedacht geschieht.

Wer an E-Mails denkt, kommt heute von selbst zumindest auf das Thema Spam. Mitarbeiter verlieren
durch das manuelle Aussortieren der unerwünschten Nachrichten wertvolle Arbeitszeit. Dabei ist
nicht nur die Anzahl der unerwünschten E-Mails deutlich gestiegen: Die Attacken haben auch eine
neue Qualität bekommen. Spam und Virenangriffe sind heute oft eng miteinander verknüpft, und neue
Schädlinge werden immer schneller entwickelt und verbreitet. Hinzu kommen neue Angriffsmethoden wie
Pharming und Spear Phishing, die von den Abwehrmechanismen erkannt und unschädlich gemacht werden
müssen. Aufgrund der zunehmenden Belästigung und Bedrohung müssen sich IT-Verantwortliche in
Unternehmen zum einen die Frage stellen, ob bereits installierte Spam- und Virenschutzlösungen den
neuesten Bedrohungen technisch gewachsen sind und ob sie tatsächlich immer noch die beste Lösung in
wirtschaftlicher Hinsicht darstellen.

Im Sicherheitsbereich steht inzwischen immer häufiger die Frage an, ob eine Inhouse-Lösung
angeschafft werden oder ein Managed-Service-Anbieter engagiert werden soll. Ob Softwarekauf oder
Outsourcing – der Trend geht zu integrierten Lösungen, die sowohl Spam- als auch Virenschutz
bieten. Diese Lösungen können schädliche Angriffe über E-Mail besser bekämpfen und lassen sich vom
Nutzer auch einfacher verwalten als getrennte Systeme. Für Unternehmen sind sie zunehmend die
bessere Wahl, auch wenn die aktuellen Angebote noch einen sehr unterschiedlichen Grad an
Integration aufweisen. Einen Mittelweg zwischen Software und Managed Service bieten Appliances als
leicht zu administrierende Kombination aus Hardware und Software.

Die Entscheidung für Software, Appliance oder Managed Service ist mehr eine Frage der
Wirtschaftlichkeit und des Anspruchs an das Sicherheitsniveau. Managed Services können dabei
inzwischen erfolgreich punkten. Geringer Administrationsaufwand, moderate und exakt kalkulierbare
Kosten sowie ein garantiert hohes Sicherheitsniveau sprechen für das Outsourcing. Damit die
Beziehung zwischen Outsourcing-Partner und Kunde auch funktioniert, verpflichtet sich der
Dienstleister vertraglich zur Bereitstellung seiner Leistungen. Dies erfolgt in der Regel durch die
Vereinbarung von Service Levels. Insgesamt sind Managed Security Services also ein überzeugendes
Konzept, doch ist dieses Konzept tatsächlich für jedes Unternehmen geeignet?

Technische Voraussetzungen

Die technischen Voraussetzungen dürften die meisten Unternehmen erfüllen, ohne zusätzliche
Investitionen tätigen zu müssen. Für die Nutzung von E-Mail-Security-Diensten sind lediglich
mindestens eine eigene E-Mail-Adresse und ein eigener SMTP-E-Mail-Server mit fester IP-Adresse
erforderlich. In der Regel wird beim Kunden bereits eine Firewall installiert sein, mit der die
Verbindung zwischen der Monitoring-Infrastruktur und dem Mailserver des Kunden abgesichert werden
kann. Bei Unternehmen, die sich für webgestützte Security-Dienste entscheiden, ist ein
existierender interner Proxy-Server zwar hilfreich, aber nicht notwendig. Der Service lässt sich
auch über die Browser-Einstellungen aktivieren.

Durchsatz ist nicht entscheidend

Die Leistungsfähigkeit des Netzwerks, also der mögliche Datendurchsatz, ist weit weniger
ausschlaggebend als viele Kunden womöglich denken. Die Netzwerküberwachung wirkt sich – so etwa der
Anbieter Messagelabs – nur unwesentlich auf die Performance der Anwendungen aus. Bezogen auf das
erzielte hohe Sicherheitsniveau ist der "Performance-Nachteil" insgesamt vernachlässigbar.

Entgegen der Annahme vieler Unternehmenskunden eignen sich Managed Services zudem nicht nur für
Netzwerke mit mehreren 100 oder 1000 Clients. Bereits ab einer Größe von zehn Benutzern kann es
sich lohnen zu kalkulieren, ob ein Managed Service nicht günstiger ist als eine eigene
Inhouse-Lösung.

Der entscheidende Vorteil der Alternative Outsourcing spiegelt sich aber nicht nur in den
direkten Kosten wider. Auch die Minimierung des Administrationsaufwands spielt eine wichtige Rolle.
Managed Services für E-Mail-Sicherheit können außerdem dank flexibler Skalierbarkeit bei Bedarf
problemlos "mitwachsen".

Gerade für kleine und mittelständische Unternehmen stellt das Outsourcing deshalb eine
erhebliche Erleichterung dar, da sie die komplexer werdenden Bedrohungen ohnehin kaum mehr mit
ihren internen Ressourcen zu bewältigen vermögen. Die IT-Manager wiederum können die Verantwortung
für die E-Mail-Sicherheit in die Hände erfahrener Sicherheitsspezialisten legen. Die dadurch frei
gewordenen Kapazitäten werden in der Regel schon dringend benötigt, um die unternehmensweite
IT-Infrastruktur und die Arbeitsplätze der Mitarbeiter besser betreuen zu können.

Der rechtliche Aspekt

E-Mail-Verwaltung, Internetnutzung und Sicherheitslösungen spielen auch eine wichtige Rolle,
wenn es darum geht, rechtliche Bestimmungen zu erfüllen. Zahlreiche neue Richtlinien sind im
letzten Jahrzehnt nach und nach zunächst in den Vereinigten Staaten und in den vergangenen Jahren
auch in Europa eingeführt worden. Die Überwachung der von Mitarbeitern gesendeten und empfangenen
E-Mails ist für Unternehmen zu einer zunehmend kritischen und herausfordernden Aufgabe geworden.
Dies gilt vor allem in Bezug auf Gesetze wie Basel II, Sarbanes-Oxley, die Datenschutz-Direktiven
der EU und den Rechtsrahmen für die elektronische Kommunikation, welche Unternehmen die
Verantwortung für Sicherheit, Geheimhaltung und Zuverlässigkeit von Daten aufbürden. In jedem Fall
sollten Unternehmen einen wirksamen Schutz vor Viren, sonstigen bösartigen Programm-Codes,
Spam-Mails und unerwünschten Inhalten sicherstellen. Des Weiteren gilt es Maßnahmen zu ergreifen,
um persönliche Informationen zu schützen, die sich auf Kunden und Angestellte beziehen.

Rechtskonformität

Viele Unternehmen scheuen noch eine hundertprozentig rechtskonforme E-Mail-Verwaltung, da sie
diese als zu teuer, zu kompliziert und zu zeitaufwändig einschätzen. Häufig fehlen die internen
Ressourcen, um die vielfältigen Aufgaben zu bewältigen. E-Mail-Security-Dienste großer Managed
Service Provider sind aber fast immer auch auf eine rechtskonforme E-Mail-Verwaltung ausgelegt, da
die Anbieter sonst kaum eine Chance hätten, sich lange am Markt zu halten. IT-Verantwortliche und
Unternehmer werden so unterstützt, rechtliche Bestimmungen, die sich auf die Archivierung,
Anfertigung von Sicherungskopien und Bereitstellung von E-Mails beziehen, ohne großen
Personalaufwand zu erfüllen. Die Ausgliederung eines geschäftskritischen IT-Bereichs wie der
E-Mail-Sicherheit kann folglich auch unternehmensrechtlich eine sinnvolle Entscheidung sein.

Präventive Sichereit

Der effektivste Ansatz zur Gefahrenabwehr ist die proaktive Kommunikationsüberwachung auf
Internetebene. Nur an diesem Punkt, an dem der gesamte E-Mail-Verkehr gefiltert wird, ist es
möglich, verdächtige E-Mail-Herkunft, mögliche Sicherheitslücken und neue schädliche Programm-Codes
zu analysieren. Managed Security Services wehren potenzielle Sicherheitsbedrohungen präventiv ab,
bevor sie das Netzwerk des Unternehmens überhaupt erreichen können. Auf diese Weise können sich
Unternehmen besonders effektiv vor den ständig wechselnden Bedrohungsszenarien schützen.
Betriebssysteme und Anwendungen müssen zudem regelmäßig mit aktuellen Updates und Patches versehen
sein, damit keine Schwachstellen ausgenutzt werden können. Auch für Unternehmen, die für diese
aufwändige Aufgabe keine internen Ressourcen blocken oder die Gefahr gar nicht erst in ihr eigenes
Netzwerk vordringen lassen möchten, ist das Managed-Security-Konzept eine gute Lösung. Es
gewährleistet ohne eigenen Arbeitsaufwand, dass die Schutzmaßnahmen auf dem neuesten Stand
sind.

Der immer schnellere Wettlauf zwischen Virenschreibern und Spam-Verbreitern auf der einen Seite
und der IT-Security-Branche auf der anderen Seite stellt außerdem immer höhere Anforderungen an die
Anbieter. Vor allem die groß angelegten, global ausgeführten Angriffe verlangen eine komplexe
Infrastruktur, die weltweit präsent ist und regionale Ereignisse schnell eindämmen kann, bevor sie
sich lawinenartig verbreiten. Nach dem gern zitierten Grundsatz "Think global, act local" gilt es
globale Bedrohungsszenarien bereits im Vorfeld zu erkennen und zu verhindern, dass die lokalen
Arbeitsplätze der Kunden angegriffen werden. Diesem hohen Anspruch können nur große Anbieter
gerecht werden.

Fazit

Unternehmen, die sich für einen ausgelagerten "Wachdienst" entscheiden, bleiben unabhängig von
technischen Entwicklungen und müssen sich auch über mögliche zukünftige Änderungen der gesetzlichen
Richtlinien der E-Mail-Nutzung keine Gedanken machen. Die frei werdenden Kapazitäten in der
IT-Administration können anderweitig sinnvoll genutzt werden. So rückt die Betreuung operativer
Systeme wieder in den Mittelpunkt, während der Aufwand für das Sicherheitsmanagement auf reduziert
werden kann. Daraus resultiert ein entscheidender Mehrwert im Tagesgeschäft – bei einem konstant
hohen Sicherheitsniveau.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+