In den Chefetagen steigt die Sensibilität für IT-Sicherheitsrisiken. Aber die IT-Verantwortlichen in den Unternehmen wissen, dass ein solider Schutz nur mit teuren Spezialsystemen und viel Know-how zu erreichen ist. IT-Dienstleister entdecken diese Nische und bieten spezielle Managed-Security-Services an. Doch Unternehmen müssen sich auf ein Outsourcing der IT-Sicherheit vorbereiten.

Die Risiken im Bereich IT-Sicherheit wachsen. Allein das Wissen über Angriffs- und Abwehrtechniken sowie die technischen Systeme für die Gefahrenabwehr auf einem aktuellen Stand zu halten, ist für Unternehmen eine Herausforderung. IT-Sicherheitsexperten sind rar und teuer, nur wenige Unternehmen können den personellen Aufwand eines 24/7-Response-Teams stemmen.
Monatliche Gebühren statt hoher Investitions- und Personalkosten machen Outsourcing wirtschaftlich attraktiv. Der technische Vorteil: Die IT-Dienstleister investieren in moderne Spezialsysteme und verteilen die Kosten auf alle Outsourcing-Kunden. Die Kunden schlüpfen unter den Schutzschirm von Systemen, die sie sich sonst nicht leisten könnten.
 
Risikobewertung
Vor jeder Entscheidung zur IT-Sicherheit steht die Bewertung des Risikos. Sie ermittelt, gegen welche Art von Angriffen man sich vorrangig verteidigen sollte. Nur über die Risikobewertung lässt sich die Wirtschaftlichkeit einer Sicherheitsmaßnahme definieren. Zum Vorgehen bei Risikobewertungen können sich Unternehmen Hilfe und Beratung holen, die Verantwortung dafür trägt aber jedes Unternehmen selbst.
Am Anfang steht meist die Frage: Wie attraktiv ist mein Unternehmen als Ziel? Know-how-getriebene Unternehmen wie Deutschlands mittelständische „Hidden Champions“ sind unter dem Aspekt Wirtschaftsspionage lohnende Ziele für Angreifer aus aller Welt. Andere Unternehmen und Organisationen müssen aufgrund ihrer Produkte, Kunden oder Mitglieder mit politisch motivierten Angriffen rechnen. Wer mit seiner Marke im Rampenlicht der Öffentlichkeit steht, kann zum Ziel von „Script-Kiddies“ und „sportlichem“ IT-Vandalismus werden.
Die Risikobewertung schließt die Einschätzung der potenziellen Schadenshöhen ein. So ist der Zusammenbruch einer Homepage schlecht für das Image, der Zusammenbruch eines Web-Shops als Hauptvertriebskanal oder der Diebstahl zentraler Betriebsgeheimnisse aber eine Katastrophe. Eventuell kommt das Unternehmen bei der Risikobewertung zum Schluss, dass es mit eigenen Ressourcen keinen ausreichenden Schutz aufbauen kann oder dies wirtschaftlich nicht leisten kann oder will. Hier kann das Outtasking oder Outsourcing und die Zusammenarbeit mit externen IT-Security-Experten eine interessante Alternative sein.
 
Neue Rollen meist nicht erforderlich
Für den Aufbau der Prozesse, die Arbeitsteilung und die Kommunikation zwischen Dienstleister und Unternehmen können ITIL-Prozesse den Gestaltungsrahmen bieten. Viele zertifizierte Dienstleister bieten auf Basis des ITIL-Frameworks Blueprints – also bewährte, gut dokumentierte Prozesse und Arbeitsteilungen – an, die man im Bedarfsfall noch kundenspezifisch anpassen kann. Für Unternehmen, die bereits nach ITIL arbeiten, ist das Outsourcing daher sehr einfach durchzuführen.
Und wer noch nicht nach ITIL-Framework arbeitet? Ob Service-Desk, Monitoring/Alarming, Incident- und Change-Management oder Eskalation – die Blueprints des ITIL-Frameworks decken diese Punkte ab und bieten in der Praxis bewährte Lösungen, an denen sich die Unternehmen orientieren können. Viele Unternehmen und IT-Verantwortliche nehmen diese Vorschläge dankend an, weil sie und die Prozessqualität von der Implementierung auf ITIL-Basis erheblich profitieren. Viele Dienstleister können neben ITIL auch branchenspezifische Frameworks oder Ergänzungen wie beispielsweise PCI-DSS (für Kreditkartenabwicklungen) abbilden.
Abstrakt gesehen entstehen beim Outsourcing keine neuen Rollen im Unternehmen. In einer RACI-Matrix (Responsible, Accountable, Consulted, Informed) lassen sich die Aufgaben und Rollen zwischen Unternehmen und Dienstleister klar verteilen sowie Übergabepunkte definieren. Lagert man einen etablierten und bewährten Prozess aus, werden Aufgaben nur verlagert, nicht addiert oder gedoppelt.
In der Praxis gehen mit dem Outsourcing aber eine Schärfung und exaktere Dokumentation der Arbeitsteilung und Verantwortlichkeiten einher. Dies ist nicht zuletzt der Fall, weil der Dienstleister nur das tut, wofür er bezahlt wird, und das Unternehmen nichts zahlen will, was der IT-Dienstleister nicht zuverlässig leistet. Der ökonomische Hebel wirkt hier also zugunsten einer transparenteren und besser dokumentierten Arbeitsteilung. Das gilt auch für die Eskalation: Anders als viele Unternehmen verfügen die meisten IT-Dienstleister über Systeme, die im Bedarfsfall nach zuvor vereinbarten Regeln informieren und alarmieren – automatisch und über individuell definierbare Kanäle (Telefon, E-Mail, SMS etc.).
Generell lässt sich sagen: Große Unternehmen mit etablierten, nach ITIL organisierten Prozessen und IT-Abteilungen werden IT-Security-Services relativ schnell und problemlos auslagern können – einfach weil Unternehmen und IT-Dienstleister bereits ähnlich arbeiten. Eine Auslagerung erfolgt hier meist aus strategischen Überlegungen. In der Praxis wird das Outsourcing aber in den meisten Fällen und Unternehmen dazu dienen, einen zuverlässigen IT-Schutz und transparente Prozesse überhaupt erst aufbauen zu können. In diesen Fällen fehlt es an Kompetenzen, Systemen und Prozessen, und das Outsourcing zielt darauf ab, diese aufzubauen und zu etablieren.
Welche Bandbreite bei Managed-Security-Services heute angeboten wird und wie unterschiedlich die beim Unternehmen verbleibenden Aufgaben sein können, lässt sich an zwei konkreten Managed-Security-Services veranschaulichen: die Abmilderung (Mitigation) von DDoS-Angriffen (Distributed Denial of Service) und Schwachstellen-Scans.
 
DDoS-Abwehr
DDoS stellt eine rasant wachsende Gefährdung für Unternehmen dar. Diese Angriffe lassen sich mit wenig Know-how durchführen und sind zugleich schwer abzuwehren. Werden die Systeme mit Anfragen geflutet, können konventionelle Abwehrsysteme wie Firewalls zwar Schäden an den Servern verhindern, aber die Systeme kollabieren unter der Last der Angriffe. Systeme sind dann über Stunden oder gar Tage nicht erreichbar, Geschäft und Image leiden. Schutz vor solchen Angriffen bietet DDoS-Mitigation. Die Idee dahinter: Die Anfrageflut wird gefiltert und umgeleitet, bevor sie auf die Systeme des angegriffenen Unternehmens prallt.
Wer seine IT-Systeme im eigenen Rechenzentrum betreibt, hat gegen solche Angriffe wenig Chancen. Denn die Internetverbindung der meisten Unternehmen liegt in einem Bereich von 100 MBit/s bis 1 GBit/s. Diese Bandbreiten reichen für DDoS-Mitigation nicht. Die gute Nachricht: Ein Outsourcing der DDoS-Mitigation ist einfach. Wer IT-Systeme bei einem entsprechend ausgestatteten RZ-Betreiber stehen hat, kann sie einfach als Managed-Security-Service hinzubuchen. Der Dienstleister kann die Angriffe über seine Monitoring-Systeme frühzeitig erkennen und in seinem eigenen Backbone Gegenmaßnahmen einleiten, bevor die schädlichen Anfragen auf die Firewall des Kunden treffen. Mit Spezialsystemen wie etwa Arbor Peakflow analysieren Spezialisten den Traffic; damit erkennen sie über Regeln und Heuristiken Botnets wie auch sabotierende Anfragen. Selbst Unternehmen, die ihre IT intern betreiben, können beim Thema DDoS-Mitigation schnell unter den Schutz eines MSSPs (Managed-Security-Service-Provider) schlüpfen. Das Unternehmen muss lediglich den MSSP, der DDoS-Mitigation anbietet, zu seinem ISP (Internet-Service-Provider) machen. Dann fließt der Traffic durch den Backbone des Rechenzentrums, wo der Betreiber ihn analysieren und im Angriffsfall umleiten kann.
Dienste wie DDoS-Mitigation bieten oft eine nach Traffic gestaffelte Abwehrleistung auf Mietbasis: Mit der monatlichen Grundgebühr ist ein definiertes Volumen an schädlichem, zu filternden Traffic abgedeckt. Darüber hinausgehende Maßnahmen verursachen Zusatzkosten. Ein Nutzer dieser Dienstleistung wird nach einer Risikobewertung den zu seiner Bedrohungslage passenden Mix zwischen monatlichen fixen und einzeln anfallenden Kosten wählen. Das Outsourcing selbst ist dann komplett, im Betrieb des DDoS-Mitigation-Services ist das Unternehmen also von allen Aufgaben befreit.
In der Verantwortung des Unternehmens verbleiben allerdings die Sichtung der vom IT-Security-Dienstleister gestellten Reports und die darauf basierenden Entscheidungen über die Weiterentwicklung des Schutzes. Dies kann bedeuten, dass ein Unternehmen die Flatrates der DDoS-Mitigation der wachsenden Zahl von Angriffen oder deren Umfang von Zeit zu Zeit anpasst oder langfristig zu IT-Dienstleistern mit leistungsstärkeren Backbones wechselt.
Ein völlig anderes Bild zeigt sich bei Managed-Security-Services im Bereich Systemanalyse. Ein Beispiel sind Schwachstellen-Scans (Vulnerability-Scans) mittels Softwaresystemen wie etwa Greenbone. Vulnerability Scans sind eine fortlaufende automatisierte Suche nach Sicherheitslücken in den IT-Systemen. Die Ergebnisse der Testprozeduren, die die Sicht eines Angreifers simulieren, erläutern wöchentliche oder monatliche Berichte dem Auftraggeber. Derlei Scans sind skalierbar: Es lässt sich allein der Angriff von außen simulieren, oder man führt Tiefenscans durch. Diese gehen von der Überwindung erster Sicherheitsschwellen aus und suchen innerhalb des Netzwerks nach weiteren Schwachstellen bis hin zum Scan von Clients. IT-Verantwortliche, die einen solchen Scan regelmäßig oder in wachsender Detailtiefe durchführen lassen, erhalten wertvolle Informationen für die kontinuierliche Verbesserung und die Härtung ihrer Systeme.
Die Konsequenzen für das Unternehmen sind ganz andere als bei Services wie der DDoS-Mitigation. Hier ist zwar der Managed-Security-Service selbst ausgelagert, für das Unternehmen verbleiben aber sehr umfangreiche Aufgaben: Es muss auf die Analyse reagieren und jedes Reporting wie auch jedes Abstimmungstreffen mit dem Dienstleister generiert praktisch ein Aufgabenpaket und neue Projektpläne für unternehmensinterne IT-Teams. Eventuell fallen auch Aufgaben für weitere IT-Dienstleister im Bereich Betrieb oder Entwicklung an.
Selbst durchführen oder zukaufen – diese Entscheidung fällt auch im Bereich IT-Security zunehmend zugunsten des Outsourcings aus. Zu komplex, zu teuer sind Anschaffung und Betrieb der erforderlichen Spezialsysteme. Viele Managed-Security-Services setzen bei der Verbindung zum Internet an. Daher kann ein entsprechend qualifizierter, als ISP agierender RZ-Betreiber sie erbringen, ohne dass das Unternehmen zunächst an den eigenen Systemen etwas ändern muss. Dies bringt den Unternehmen den Vorteil eines schnell und wirksam erhöhten Schutzes ihrer IT-Infrastruktur sowie sinkender Schadens- und Haftungsrisiken. Unternehmen, die ein erweitertes Outsourcing ihrer IT-Infrastruktur anstreben, sollten klugerweise bei der Evaluierung der IT-Dienstleister den Aspekt Managed-Security-Services als Auswahlkriterium aufnehmen.
Gibt das Unternehmen durch das Outsourcing Aufgaben und Kompetenzen im Bereich IT-Betrieb ab, ist es ratsam, im Unternehmen selbst die Kompetenzen für das Management von Dienstleistern und Projekten auszubauen. Diese Personen sollten Erfahrungen im Aufbau und in der Betreuung von Dienstleisterbeziehungen haben. Die Instrumente der Führung von internen Teams und externen Dienstleistern sind unterschiedlich – aber hier wie dort gilt: Nur sorgfältig und zielführend ausgewählte, gut geführte und gut kontrollierte Teams machen einen exzellenten Job. Hinzu kommt, dass das Zusammenspiel zwischen internen und externen Teams sinnvoll orchestriert sein will. Nur im gut funktionierenden Zusammenspiel lässt sich das Niveau der IT-Sicherheit maximieren.

Beispiel aus einem Vulnerability-Scan: Reports zeigen Schwachstellen auf und ordnen sie nach ihrem Gefahrenpotenzial beziehungsweise der Dringlichkeit von Updates und Gegenmaßnahmen. Bild: Greenbone Networks

Beim Outsourcing der DDoS-Mitigation werden Datenströme, die von Botnets hereinkommen, vor der Firewall des Kunden umgeleitet. Bild: Noris Network