IT-Sicherheit: Auslagern oder inhouse organisieren?

Security-as-a-Service ist vor allem für kleine und mittelständische Unternehmen mit bis zu 150 Clients eine attraktive Möglichkeit, die Verwaltung der Sicherheit - und damit auch ein wenig Verantwortung - in dritte, kompetente Hände zu geben. Wer keine eigene IT-Abteilung hat oder keinen externen Systemadministratoren einstellen will und kann, ist damit gut bedient. Zudem müssen Unternehmen ihre Sicherheitskompetenzen auch bei Diensten nicht aus der Hand geben. Ein Kunde kann sich immer noch einen Zugriff auf sein System vorbehalten oder Leserechte erhalten.

Die Erfahrung zeigt aber, dass viele Kunden gerade die vollständige Auslagerung suchen. Doch nicht nur Service Provider oder Distributoren können Sicherheit für Kunden verwalten: Auch Unternehmensadministratoren können die Lösung mit einem eigenen Profil verwenden und Filialen ihres Unternehmens zentral remote schützen.

Mythos 6
Die IT sollte die Anwender dazu ermutigen, zufällig generierte Passwörter zu benutzen und diese alle 30 Tage zu ändern.

Mythos 12
Mit einer Firewall ist ein Netzwerk geschützt.

Mythos 11
Endpoint-Security-Software ist Commodity geworden.

Mythos 10
Der Transfer von sensiblen Daten via SSL ist sicher.

Mythos 9
Neue Software ist nicht sicherer als alte.

Mythos 8
Wir sind kein Angriffsziel.

Mythos 7
Jeder Computervirus macht sich für den Anwender irgendwie bemerkbar.

Mythos 5
Client-seitige Virtualisierung kann die Sicherheitsprobleme der IT-Consumerization lösen.

Mythos 4
Auf die Intelligenz der Masse ist Verlass.

Mythos 3
Der Passwort-Ablaufzyklus (typischerweise 90 Tage) schützt die IT-Systeme.

Mythos 2
Das DDoS-Problem ist mit Bandbreite zu lösen.

Mythos 1
Mehr Sicherheit ist immer besser.

Kunden eines SaaS-Anbieters profitieren von einer Lösung, die unabhängig von Zeit und Ort mit hinreichender Sicherheit den Abwehrstatus des Unternehmens effektiv verwalten und Gefahren abwehren kann. Eine Browser-unabhängige, Cloud-basierte Lösung ermöglicht es, alle Funktionen von einem Smartphone und einem Tablet aus zu bedienen. Im Online-Management-Portal sieht der Administrator auf einen Blick die komplette Gerätelandschaft mit dem Sicherheitsstatus des Systems und der Virendefinitionen.

Ein SaaS-Dienst weist Geräten einzelne Sicherheitsprofile zu. Vordefinierte Profile können auch individuell editiert werden. Die Profile bieten hinreichenden Schutz für verschiedene Nutzungssituationen und sehen verschieden strikte Sicherheitsregeln vor. Ein Laptop im Außeneinsatz, der eine Verbindung mit Netzwerken außerhalb der Büroräumlichkeiten aufnehmen muss, verbietet zum Beispiel dem Anwender in jedem Fall, die Sicherheitseinstellungen zu ändern. Für erfahrene User oder falls dies aus bestimmten Gründen notwendig ist, lässt sich ein anderes Profil wählen, das solche Änderungen erlaubt.

Auch mobile Geräte können verwaltet werden. Schon eine Diebstahlsicherung gibt durch Sperren als gestohlen gemeldeter Geräte einen wichtigen Schutz. Eine Überwachung der mobilen Geräte ist zwar technisch sicher möglich, aber gute Lösungen unterlassen eine solche datenschutzrechtlich nicht erlaubte Vorgehensweise.

Darüber hinaus bietet eine Software-as-a-Service-Lösung einen Überblick über die Konfigurationen eines einzelnen Systems. Zugehörigkeiten zu Gruppen, IP-Adressen oder auch WINS-Name und DNS-Name lassen sich einfach abfragen. Ein Lizenzmanagement erleichtert ebenfalls die einfache Verwaltung dieser sicherheitsrelevanten Geräteeigenschaft, denn nicht mehr lizenzierte Lösungen werden auch nicht mehr upgedatet und so zur Sicherheitslücke.

Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten

BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten

CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten

ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten

EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten

Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten

NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten

Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten

Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten

Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten

ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten

AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten

NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten

Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten

Nach einer einmaligen Einrichtung des Dienstes ist die Verwaltung mit diesen Mitteln denkbar einfach und kostet wenig Zeit. Durch die verschiedenen Ansichten lässt sich schnell erkennen, wo Handlungsbedarf etwa in Sachen Virusdefinition besteht. Die Performance des Netzes wird durch die kleinen Eingriffe im Alltag kaum geschmälert. Sogenannte Neighbourcast-Technologien erlauben die Verteilung eines Updates durch einen Client auf benachbarte Clients und sparen weiter Bandbreite. Verschlüsselte Kommunikation zwischen geschützten Geräten, Servern und dem Portal sorgen für Sicherheit.

Software-Updating per SaaS

Doch Sicherheit ist nicht nur eine Frage von aufgespielten Virus-Definitionen. Nicht aktualisierte Software stellt mittlerweile das Hauptrisiko für die Datensicherheit in Unternehmen dar. Nicht gepatchte Software ist erste Anlaufstelle für gezielte Angriffe. Unterlassene Patches reißen Sicherheitslücken auf. Gerade deshalb stellt Software-Updating einen integralen Bestandteil eines Security-as-a-Service-Angebots dar.

Patching und Updating sind eine lästige Übung. Oft bleibt in der Realität gerade mal für Microsoft-Updates Zeit, während der Aktualisierungsprozess für Anwendungen anderer Hersteller entweder unkoordiniert abläuft oder völlig ausfällt. Ein händisches Updating von Software ist schon für große Unternehmensnetzwerke sehr aufwendig, kleinere Unternehmen sind damit überfordert. Das rechtzeitige vollständige Ausrollen aktueller Software-Updates im ganzen Unternehmen lässt sich nur durchführen, wenn dieser Prozess zentral geregelt, automatisch durchgeführt und überwacht wird. Da ist es oft am besten, wenn er als Software-as-a-Service ausgelagert wird.

Ein Update-Dienst stellt das Aktualisieren von Betriebssystemen und Applikationen in einem Unternehmen jederzeit sicher. Proaktiv erfolgt der Scan der Kundenrechner auf eventuell schon vorhandene sicherheitsrelevante oder auch andere Updates sowie auf installierte Service Packs. Dabei berücksichtigen umfassende Dienste nicht nur Microsoft-Windows-Service-Packs, sondern auch und vor allem die 3rd-Party-Updates, die häufig unregelmäßig erfolgen. Ein Scan Updater unterscheidet zwischen sicherheitskritischen, wichtigen und weniger wichtigen Updates und priorisiert dabei alle verfügbaren Versionen.

Der Administrator triggert nach Erhalt des Statusberichtes dann die entsprechenden Updates an. Auf Wunsch kann die automatische Aktualisierung sofort durchgeführt oder für einen festgesetzten regelmäßigen Termin geplant werden. Bei einer solchen Lösung übernimmt ein Anti-Virus-Client neben der Absicherung gegen Viren und Hacker auch die Softwareaktualisierung. Je nach Bedarf können Gruppen von Rechnern oder auch einzelne Geräte upgedatet werden. Über die durchgeführten Updates lassen sich detaillierte Reportings anlegen.

Updating-Praxis

Was sich nach komplexer Funktionalität anhört, ist in Wirklichkeit für den Administrator oder Dienstleiter denkbar einfach, weil er sich auf eine ständig aktualisierte Datenbank und leistungsfähige Scan-Vorgänge einer Update-Lösung verlassen kann. "Software-Updating-as-a-Service" unterstützt die verschiedensten Betriebssystemumgebungen, Browser, Business-Anwendungen, SQL und .Net Lösungen und auch Virtualisierungslösungen, Mail-Server-Systeme, selbst BlackBerry-Betriebssysteme, DirectX-Umgebungen oder Sun Java Runtime Environments bis hin zu Detaillösungen wie WinRar oder Winzip.

Eine Software-Update-Lösung markiert automatisch Computer, denen kritische Sicherheits-Updates fehlen, auf dem Managementportal. Administratoren können Profile so einstellen, dass kritische und wichtige Sicherheitsaktualisierungen automatisch auf den Computern installiert werden. Um die Performance des Unternehmensnetzwerks nicht mit unnötigen Updates zu belasten, bleibt dieses automatische Aktualisieren sicherheitsrelevanten Patches vorbehalten. Auch lässt sich das Zeitintervall eines Scans und der automatischen Einspielung der neuen Version festlegen.

Zudem können der Aktualisierungsstatus einzelner Computer überprüft und fehlende Software-Updates manuell installiert werden. Spezielle Probleme werde angezeigt: Update-Lösungen geben beispielsweise an, ob eine fehlerhafte Verbindung mit dem Netz, einem Proxie oder der Hersteller-Website Ursache für ein erfolgloses Updating war, und verweisen dann auf die entsprechenden Client-Protokolle. Manche Hersteller-Updates müssen auch aufgrund fehlender Signatur des Anbieters manuell installiert werden. Eine Ansicht des gesamten Netzwerks bietet eine Liste der betreffenden Software, seiner Kategorie, ID und Beschreibung des Updates. So kann man nun überprüfen, welche Aktualisierungen wie im Netz verteilt sind. Datenschutzbestimmungen müssen bei solchen Suchen eingehalten werden.

Bei einer neuen Update-Einstallation können Pilotgruppen zum Test im Netzwerk ausgewählt werden. Das hilft, um den Installationsaufwand abschätzen und eventuelle Probleme früh erkennen zu können. Ist dieser Test dann bestanden, lässt sich das Update großflächig ausrollen.

Mehrwert durch Volllösungen

Für wen lohnt sich überhaupt noch Sicherheit Marke Eigenbau? Vollwertige Lösungen haben natürlich immer noch ihre Berechtigung. Compliance-Regeln können eine eigene Lösung zwingend vorschreiben oder verbessern etwa im Schadenfall die Position eines Unternehmens gegenüber der Versicherung. Banken, Regierungsbehörden oder Hochsicherheitsunternehmen können es sich allein aus politischen Gründen ohnehin nicht erlauben, ihre Sicherheit aus der Hand zu geben.

Volllösungen bieten vor allem ein leistungsfähiges Policy-Management, was gerade für große Unternehmen mit ihren verschiedenartigen Daten von Bedeutung ist. Ein Sicherheitsmanagementsystem kann hier innerhalb von Minuten eingerichtet werden, und ebenso schnell lassen sich alle Richtlinien im Unternehmen verteilen. Wichtig sind hier eine effektive mögliche Automatisierung sowie die zentrale und effiziente Verwaltung von Installationen, Updates, Upgrades und Überwachung. Für die Automatisierung können die Struktur und die Hosts von Active Directory direkt in den Policy Manager kopiert werden. Wichtige Sicherheitsrichtlinien werden automatisch angewendet, wenn neue Hosts zum Unternehmensnetzwerk hinzugefügt werden.

Ein weiterer Vorteil: Wenn schnell manuell verwaltet werden muss, können auch mehrere Administratoren gleichzeitig arbeiten. Ebenso wichtig ist dabei dann die Festlegung der Administratorenrechte - beispielsweise dass sie nur in einzelnen Gruppen tätig werden können. Das schafft Sicherheitshierarchien. (hal)