Von: Isabel Radwan
"Noch immer betrachten viele Unternehmen IT-Sicherheit vor allem als Kostenfaktor", beklagte Bundeswirtschaftminister Werner Müller noch vor einem Jahr. Daran scheint sich wenig geändert zu haben, wie eine Studie der Unternehmensberatung Arthur Andersen ergab. Nur 40 Prozent der Befragten wollten überhaupt etwas für Sicherheit ausgeben; die veranschlagte Summe belief sich maximal auf fünf Prozent des IT-Etats. Zumindest in Branchen mit hochsensiblen Daten wie Banken, Krankenkassen oder Versicherungen scheint jedoch langsam ein Umdenken einzusetzen. Viele Firmen nehmen außerdem verstärkt die Hilfe von spezialisierten Dienstleistern in Anspruch. Nach einer Untersuchung der Marktforscher von IDC sollen in Westeuropa die Ausgaben für derartige Services 2004 über vier Milliarden Dollar betragen, die Analysten der Yankee Group erwarten ein weltweites Wachstum auf 1,8 Milliarden Dollar im Jahr 2005. Bevorzugte Outsourcing-Bereiche sind Firewallmanagement, E-Mail-Absicherung und Intrusion-Detection-Systeme. Am Beispiel einer großen deutschen Versicherung, die nicht namentlich genannt werden will, soll im Folgenden gezeigt werden, wie das Outsourcing einer IT-Sicherheitsinfrastruktur an einen Managed-Security-Provider aussehen kann.
Der Dienstleister Activis sichert für das Unternehmen sechs Niederlassungen mit insgesamt 6500 Mitarbeitern ab. "Der Kunde legt auf ein effizientes Zusammenspiel der drei Bereiche Unternehmensregeln, Sicherheitsmanagement und Sicherheitstechnik großen Wert", erklärt Peter Klaftenegger, Service Delivery Manager von Activis Deutschland, "denn nur so lässt sich ein hoher Sicherheitsstandard gewährleisten." Die Policy entscheidet über Art und Einsatz der verschiedenen Sicherheitsvorkehrungen in den einzelnen Abteilungen sowie auch über Zugangsberechtigungen und Nutzungsbegrenzungen. Das Management stellt die permanente Kontrolle der Sicherheitsstrukturen sicher und aktualisiert sie regelmäßig. Die Überwachung erfolgt rund um die Uhr. Hard- und Softwarekomponenten stammen unter anderem von Cisco, Checkpoint, Nokia und Sun.
Zentraler Zugriff über VPN
Das Kommunikationsnetz der Versicherung besteht aus mehreren Intranets, die jeweils zu einer Niederlassung beziehungsweise zur Hauptverwaltung gehören. Für den Zugriff auf das zentrale Warenwirtschaftssystem nutzen alle Standorte ein Virtual Private Network (VPN). Zugang zum Internet erhalten die Mitarbeiter nur über die Zentrale. Verkaufsbüros greifen über Standleitungen oder Wählverbindungen auf den Datenbestand zu. Die Firewallsysteme werden zentral administriert. Web- und Mailserver befinden sich in einer "Demilitarisierten Zone" (DMZ). Die Firewalls schotten somit Netze mit unterschiedlichem Schutzbedarf voneinander ab: das firmeninterne LAN, das Management-LAN, die DMZ sowie das Internet.
Das Serviceangebot von Activis ist modular aufgebaut. So kann die Versicherung ihr Sicherheitspaket auf die aktuellen Bedürfnisse und die Budgetsituation abstimmen. Derzeit nutzt der Kunde fünf Servicestufen, die vom Verfügbarkeits- und System-Monitoring über Suspicious Behavior Detection und Reporting bis hin zum Security-Policy-Management reichen. Die Verantwortlichen bei Activis überwachen die Verfügbarkeit der Firewalls, analysieren Angriffe wie Port- oder Host-Scanning, registrieren Anmeldungen und erstellen täglich Berichte. Außerdem konzipieren sie gemeinsam mit dem Kunden eine effiziente Firewall-Policy und gewährleisten, dass die vorab festgelegten Sicherheitsgrundsätze eingehalten werden. Darüber hinaus überprüft und bewertet der Serviceprovider intern angeforderte Änderungen (Change Requests). Nur autorisierte IT-Verantwortliche können nach entsprechender Identifizierung über eine verschlüsselte Verbindung auf den geschützten Bereich der Activis-Website zugreifen und Modifikationen in Auftrag geben. Alternativ können sie Änderungen auch per Fax einreichen.
Vermarktung erfolgt über Partner
Der Provider bietet seine Managed-Security-Services über Distributoren und Value-Added-Reseller (VAR) an. Ansprechpartner ist der jeweilige Wiederverkäufer, der gemeinsam mit dem Auftraggeber einen Installationsleitfaden erstellt. Dieser enthält sämtliche Parameter für die geplante IT-Sicherheitsstruktur. Auf Basis des Leitfadens wird ein Kundenhandbuch erstellt, die so genannte "Rote Bibel". Es sammelt alle relevanten Informationen zur IT-Sicherheitsstruktur des Kunden. Außerdem werden in diesem Handbuch regelmäßige Vorgehensweisen und Aktivitäten beschrieben, aber auch Eskalationspläne mit Reaktionszeiten. Des Weiteren enthält die Rote Bibel die Parameter zu den einzelnen Servicemodulen, sämtliche IP-Adressen und die festgelegten Ansprechpartner beim Kunden. Aufgrund dieser Informationen konfiguriert Activis die so genannte "Security Service Appliance" (SSA) und implementiert sie. Der Anbieter benötigt für diesen letzten Schritt zirka 14 Tage.
Bereitschaftspläne sichern Informationsfluss
Bei der SSA handelt es sich um eine Kombination aus Hard- und Softwarekomponenten, die beim Kunden vor Ort installiert wird. Sie analysiert die Logfiles und sendet diese verschlüsselt via Internet an das Security Management Center (SMC) von Activis, wo Spezialisten sie auswerten. Bei technischen Problemen mit der Standleitung sorgt eine zusätzliche ISDN-Verbindung dafür, dass die Mitarbeiter im SMC das Kundennetz weiter überwachen und managen können. Die Auswertung der meist sehr umfangreichen Firewall-Logfiles erfolgt in der SSA, sodass sicherheitsrelevante Ereignisse nahe an der Datenquelle erkannt werden. Zusätzlich minimiert dieses Vorgehen den Datenaustausch zwischen Activis und seinen Kunden und spart so Bandbreite.
Activis steht im ständigen Kontakt mit dem Leiter der IT-Abteilung in der Versicherung sowie den zuständigen Administratoren in den verschiedenen Niederlassungen. Neben der IT-Abteilung erhält auch das Management sämtliche Sicherheitsreports. Bei kritischen Vorfällen wie abnehmendem Festplattenplatz, Überlastung einer Firewall oder bei Angriffen aus dem Internet informieren die Mitarbeiter im SMC gemäß dem Eskalationsplan zunächst die zuständigen Systemadministratoren. Kommt der Kontakt innerhalb eines festgelegten Zeitraumes nicht zustande, wird - je nach Dringlichkeit und Schwere des Vorfalls - ein alternativer Ansprechpartner aus einer anderen Abteilung eingeschaltet. Die Versicherung stellt hierzu eine monatliche Bereitschaftsliste zur Verfügung. Sollte auch dieser Kontaktaufbau fehlschlagen, wird das Management alarmiert. Droht ein Vorfall die Firewall außer Betrieb zu setzen oder die Sicherheit zu verletzen, und ist kein Administrator erreichbar, leiten die Sicherheits-experten selbstständig die notwendigen Notfallmaßnahmen ein.
Manchen Kunden reichen die beschriebene Funktionen allerdings nicht aus. So wollen einige Unternehmen das Management ihrer Firewalls komplett auslagern, weil sie beispielsweise über keinen IT-Spezialisten im Haus verfügen. Das Angebot umfasst deshalb zusätzlich das Management der Systemplattform und Service Level Agreements. Zusätzlich kann Activis den gesamten E-Mail-Verkehr überwachen. Der Kunde muss hierzu keine Soft- oder Hardware installieren. Weitere Bausteine sind unter anderem das Managed Vulnerability Scanning (VSS), ein Vulnerability Assessment Service (Found Scan) sowie Managed Intrusion Detection.
Fazit
Angesichts der zunehmenden Gefahren aus dem Internet müssen sowohl große Konzerne als auch kleinere Unternehmen professionelle Maßnahmen ergreifen, um ihre IT-Infrastruktur zu schützen. Die Kosten für eigenes Fachpersonal und die Anforderungen an deren Know-how steigen dabei kontinuierlich. Anbieter von Managed-Security-Services können durch integrierte Dienstleistungspakete helfen, je nach Sensibilität der Daten, internem Wissen und finanziellen Gesichtspunkten den optimalen Schutz zu erhalten. (haf)
Zur Person
Isabel Radwan
ist freie Journalistin aus München.