Managed Security Services (MSS) erfreuten sich insbesondere nach der Finanzkrise großer Beliebtheit, versprachen sie doch Kostensenkungen. Außerdem sind sie ein Rettungsanker im Sturm der ständig neuen Sicherheitsbedrohungen. Denn um sich gegen diese nur mit eigenem IT-Personal zur Wehr zu setzen wäre sehr teuer. Vom latenten Mangel an Expertise ganz abgesehen: Zu erfinderisch sind die Cyber-Gangster, als dass ein kleines Team von firmeneigenen Fachleuten Schritt halten könnte mit der sich ständig wandelnden Bedrohungslage.
IT-Sicherheitsprofis in Unternehmen fühlen sich zudem überfordert von immer neuen Techniken, die es zu schützen gilt. Wie aus einer Studie der (ISC)2 hervorgeht, werden inzwischen in vielen Unternehmen private Clouds im eigenen Rechenzentrum oder SaaS-Angebote genutzt. 70 Prozent der Befragten gaben aber an, mehr und andere Fähigkeiten zu benötigen, um diese Cloud-basierten Techniken hinreichend zu sichern.
Was also liegt näher, als diesen kritischen Teil der eigenen IT auszulagern und die Kosten dadurch zu senken, dass die vorhandenen Mitarbeiter sich anderen, weniger kleinteiligen Aufgaben als dem Auswerten von Firewall-Logs zuwenden können? Eine vom Softwarekonzern Symantec beauftragte Umfrage ergab, dass 61 Prozent der befragten Unternehmen in Managed Security Services eine Lösung für die genannten Schwierigkeiten sehen. Es gibt inzwischen zahlreiche Angebote, die auch für mittelständische Kunden. maßgeschneidert sind
Dabei rangiert das Überwachen kompletter Kundennetzwerke aus der Ferne weit oben in der Gunst der Mittelständler. Mitüberwacht werden alle PCs, Notebooks, Firewalls, Server und andere wichtige Komponenten. Typischerweise greifen solche Kunden auf solche Dienste zurück, die maximal 50 Server im eigenen Rechenzentrum betreiben. Ebenfalls weit oben auf der Wunschliste der Kunden: Spam-Filterung und kostengünstiges Online-Backup.
Sicherheit aus dem Baukasten
Diese Dienste gibt es bei Unternehmen wie Message Labs (Anti-Spam) oder Verio Europe (Online-Backup) von der Stange und somit preisgünstig. Aber auch Angebote wie das Überwachen kompletter Infrastrukturen gibt es schlüsselfertig. Anbieter wie GFI oder Kaseya schnüren Software- und Dienstleistungspakete für Systemhäuser, die diese wiederum an ihre (mittelständischen) Kunden verkaufen können. An die Endkunden direkt vertreiben die genannten Anbieter nicht.
Foto: Kaseya
Sowohl GFI als auch Kaseya sind unter anderem auf Monitoring-Lösungen zum Überwachen ganzer Netzwerke spezialisiert. Verändert sich einer der überwachten Parameter - dazu gehören Punkte wie Festplattenplatz auf einem Server oder der Zustand der Firewall oder des E-Mail-Servers -, schlägt die Software Alarm. Dieser Alarm rüttelt in diesem Fall aber nicht die IT-Mannschaft des Kunden wach, sondern geht beim Systemhaus ein, das den Managed Service erbringt. Je nach Schweregrad des Alarms wird dann ein Vor-Ort-Einsatz beim Kunden veranlasst.
Dadurch, dass die Systemhäuser auf professionelle Produkte und Dienste zurückgreifen, ergibt sich auch für den Kunden ein Vorteil: die so erzielbare hohe Verfügbarkeit. So ist sichergestellt, dass die Alarmzentrale erreichbar ist und die Alarmauswertung an die zuständigen Betreuer geleitet wird.
Gängige Preis-Leistungs-Modelle
In der Regel bekommen Kunden Pakete mit unterschiedlichen Leistungsklassen zum Festpreis. Die Kosten sind also planbar, die jeweilige Leistung auch. Gängig sind unterschiedliche Preis- und Leistungsmodelle wie:
-
Ein einfaches Überwachen von E-Mail-Server und Backup-System zum Mindestpreis. Fällt nichts Ungewöhnliches vor, bekommt der Kunde einmal pro Monat einen professionell gestalteten Report.
-
Die mittlere Ausbaustufe bringt beispielsweise noch das Monitoring der Aktualität der beim Kunden installierten Antivirensoftware und einen Check, ob alle notwendigen Software-Updates für Windows und die darauf installierten Anwendungen installiert wurden. Die Reports werden wöchentlich abgegeben.
-
Das Rundum-Sorglos-Paket bietet noch ein Inventarisieren aller Infrastrukturkomponenten, wertet die Füllstände von Serverfestplatten sowie die Drehzahlen von Gehäuse- und Prozessorlüftern aus und beinhaltet auch den eventuell notwendigen Vor-Ort-Service.
-
Abgerechnet wird je nach Anbieter pro Server und Monat oder pro installierten Agenten (Client oder Server). Der Preis pro Agent richtet sich zumeist nach der Zahl der überwachten Funktionen.
Unterschiedliche Ansätze, gleiches Ziel
An sich kann es dem Kunden von Managed Services ja egal sein, wie die Diensteanbieter das Versprochene umsetzen und einhalten. Dennoch ist ein Blick auf die technischen Details vielleicht ganz erhellend. GFI nutzt bei seinem Max Remote Management eine Mischung aus Agenten, die lokal auf Servern und PCs/Notebooks zu installieren sind, und einem von GFI selbst (und nicht etwa dem Systemhaus) betriebenen Server. GFI garantiert ständige Erreichbarkeit des Servers. Fiele dieser aus, würden Alarme nicht erkannt, und die lokalen Partner könnten die dem Kunden versprochenen Reaktionszeiten nicht einhalten.
Foto: GFI Software
GFI sorgt auch dafür, dass der Reporting-Server immer die aktuellen Versionsstände von allen gängigen Antivirenprogrammen kennt. Nur so kann erkannt werden, ob die Signatur der AV-Anwendung auf einem Client oder Server beim Kunden veraltet ist. Ähnliches gilt für Windows-Sicherheits-Updates.
Der Systemhauspartner konfiguriert auf diesem Reporting-Server alle für den jeweiligen Kunden wichtigen Schwellenwerte: Ab welchem Füllstand beziehungsweise ab wie vielen belegten GByte wird bei Serverfestplatten alarmiert, was passiert bei Backup-Fehlern? Die Angabe des Speicherplatzes in absoluten Zahlen hat den Vorteil, dass aus dem Ruder laufende Datensicherungen rechtzeitig erkannt werden. Ebenso als Indikator dienen Angaben über die sich verändernde Drehzahl von Lüftern. Vorteil für den Kunden: Sein Partner warnt ihn aktiv, bevor ein handfestes Problem entsteht. Dies setzt natürlich voraus, dass das Systemhaus die Werte auch zu deuten weiß.
Foto: Kaseya
GFI Max Remote Management wertet zusätzlich zu den von den Agenten gelieferten Statusmeldungen auch SNMP-Traps beliebiger anderer Geräte wie Drucker aus. Auch Linux-basierte Server und PCs oder Firewalls lassen sich so unabhängig vom Windows-Agenten erfassen.
Systemhäuser, die mit Kaseya zusammenarbeiten, betreiben den Status-Server selbst. In diesem Fall ist also das Systemhaus dafür verantwortlich, dass die Meldungen der Agenten zuverlässig erfasst werden.
Auch die rechtliche Sicherheit gewinnt
Abseits aller finanziellen Anreize, die Managed Security Services bringen mögen, helfen sie auch beim Erfüllen von rechtlichen und regulatorischen (Compliance-)Notwendigkeiten. Hierzulande schreibt das Gesetz Geschäftsführern, Vorständen und Aufsichtsräten etliches vor in Sachen IT-Sicherheit: wirksame Schutzmaßnahmen gegen (Hacker-)Angriffe von außen, Abwehren von Malware, Einhalten der datenschutzrechtlichen Pflichten, regelmäßige Backups, Berücksichtigen von Handlungsanleitungen, Best Practice-Vorgaben und Wirtschaftsprüfungsstandards.
Werden diese Vorschriften missachtet, drohen unter anderem zivilrechtliche Schadensersatzansprüche von Geschädigten gegen das Unternehmen und Geldbußen. Dazu kommen ein schlechteres Kreditrating, der Verlust des Versicherungsschutzes oder der Ausschluss bei der Vergabe öffentlicher Aufträge. Obendrein warten noch Straftatbestände wie das Ausspähen von Daten, das Verletzen des Post- oder Fernmeldegeheimnisses oder der Verrat von Geschäfts- und Betriebsgeheimnissen. Werden Namen von Mitarbeitern und Kunden oder persönliche E-Mail-Adressen gespeichert, muss auch das Bundesdatenschutzgesetzes (BDSG) befolgt werden. Dessen Paragraf 9 schreibt vor, dass diverse Kontrollen einzurichten sind, darunter Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Verfügbarkeitskontrolle, Datentrennung oder Eingabekontrolle.
Bei Verstößen werden nicht die IT-Verantwortlichen belangt, sondern zuerst die genannten Führungspersonen. Daher schlafen alle Beteiligten ruhiger, wenn kritische IT-Sicherheitsthemen von einem Dienstleister betreut werden. Diesen kann der Kunde - ein entsprechendes Vertragswerk vorausgesetzt - im Problemfall haftbar machen. Bevor es so weit kommt, muss das jeweilige Unternehmen klären, welche Aufgaben künftig extern erledigt werden sollen: Geht es um die Überwachung der Firewalls aus der Ferne oder um Backup und E-Mail-Archivierung? Oder sollen Spam und Malware abgewehrt werden, geht es um strategische Beratung rund ums Risikomanagement oder um das Abklopfen von selbst entwickelten Anwendungen auf mögliche Sicherheitslücken (Penetration Testing)?
Backups sind Vorschrift
Nur wenige Unternehmensverantwortliche wissen, dass auch Backups inzwischen gesetzlich vorgeschrieben sind. Immer wieder zitiert in diesem Zusammenhang wird ein Urteil des Oberlandesgerichts Hamm vom 1. Dezember 2003. Diesem zufolge gehöre es "im gewerblichen Anwenderbereich heute zu den vorauszusetzenden Selbstverständlichkeiten, dass eine zuverlässige, zeitnahe und umfassende Datenroutine die Sicherung gewährleistet".
Foto: GFI Software
Unternehmen müssen ihre IT-Infrastruktur demnach gegen unbeabsichtigte Informationsveränderungen sichern. Das heißt: Unbefugte dürfen unter keinen Umständen Daten verändern können. Heikle Daten (Buchhaltungsunterlagen oder digitale, rechtsverbindliche Erklärungen) sind hinreichend gegen Angriffe von außen zu schützen. Tägliche Backups sind demnach unabdingbar, um die Vorgaben zu erfüllen. Vollsicherungen sollten mindestens einmal pro Woche passieren.
Werden die Backups nicht regelgerecht angefertigt, ist dem betroffenen Unternehmen im Falle eines durch Datenverlust entstehenden Schadens ein "haftungsüberdeckendes Mitverschulden" anzukreiden. Das hat unter Umständen zur Folge, dass es keinen Versicherungsschutz gibt, wenn verlorene Daten mangels Backup nicht wiederhergestellt werden können.
Hybrider Backup-Ansatz
Wenn ein Unternehmen mit dem Thema Backup keinen externen Dienstleister beauftragen will, dann sollte zumindest ein hybrides Backup-Konzept in Betracht gezogen werden. Bei diesem wird ein lokales Backup mit einem Cloud-Dienst kombiniert.
Es ist also eine erschwingliche Möglichkeit, Daten sicher auszulagern, ohne dabei in zusätzliche Storage-Hardware investieren zu müssen. Die Online-Sicherung ergänzt das lokale Sicherungskonzept, um bei einem Komplettausfall der Hardware auf eine externe Sicherung aller Daten und Systeme zugreifen zu können. Das Wiederherstellen einzelner Dateien oder kompletter System-Images erfolgt dabei aus der Cloud-Umgebung.
Ideal ist das Konzept für kleine oder mittelständische Unternehmen: Stehen im Enterprise-Umfeld in der Regel kritische Systeme in räumlich getrennten Rechenzentren und werden repliziert, bleibt den Administratoren in kleineren Firmen oft nur, eine aktuelle Bandkopie bei sich zu Hause aufzubewahren. Mit dem Auslagern in die Cloud verschwindet dieser fehlerträchtige Schritt aus dem Backup-Prozess.
Rechtlich sichere Partnerwahl
Soll sich ein externer Dienstleister um die Datensicherung des Unternehmens kümmern, müssen erneut rechtliche Vorgaben beachtet werden. Ähnlich sieht es aus bei Managed VPNs, Managed Firewalls oder dem Analysieren von Logfiles durch Dritte. In all diesen Fällen stehen dem Managed-Security-Service-Partner die vom Gesetz geschützten persönlichen Daten der Kunden und Mitarbeiter des Unternehmens offen. Dabei spielt es keine Rolle, ob die Datensicherung per Cloud-Dienst passiert ober ob die Daten lokal beim Kunden gespeichert sind. Denn die Mitarbeiter des Dienstleisters haben jederzeit Zugriff auf die Bestände.
Ein Auftraggeber muss sich nach Paragraf 11 BDSG dann von den Fähigkeiten und der technischen Organisation des Dienstleisters überzeugen, wenn im Rahmen des Projekts Zugriffe auf personenbezogene Daten nicht auszuschließen sind. Auch gilt es, unbefugte Zugriffe auf die gespeicherten Daten, deren unerlaubte Weitergabe und eigenmächtige Änderungen zu unterbinden.
Überhaupt sind personenbezogene Daten ein organisatorisches Problem bei Outsourcing-Projekten: Ein Unternehmen, das solche Daten speichert, muss die Betroffenen jederzeit und kostenlos schriftlich über Inhalt der Daten und Zweck der Speicherung informieren. Hat ein Dienstleister Zugriff, kann dieser Anbieter ebenfalls zur Auskunft verpflichtet sein.
Fazit
Trotz dieser zu umschiffenden Klippen sind Managed Security Services aus Sicht des Unternehmens ein Gewinn. Denn die Melange aus ständig neuen Gefahren und den komplexen Compliance-Richtlinien und Gesetzen macht professionelle Hilfe quasi unverzichtbar.
Bei Projektstart hilft die Erfahrung der externen Partner, schnell sicherzustellen, ob alle Prozesse der aktuellen Rechtslage entsprechen. Läuft das Projekt erst einmal, ist der Partner in der Pflicht, sich um neue Gesetze und Vorgaben beziehungsweise deren Einhaltung zu sorgen. Führungsmannschaft und IT-Team des Kunden können sich dann wieder auf ihre eigentlichen Aufgaben konzentrieren. (mje)