Die Fülle des Angebots im Bereich Managed Security Services (MSS) ist Chance und Problem zugleich. Denn es gibt fast so viele unterschiedliche Interpretationen des Begriffs wie Offerten. Unternehmen, die sich für MSS entscheiden, sollten deshalb Kompetenzen und Referenzen der Anbieter genau prüfen. Ist der Dienstleister wirklich ein breit aufgestellter Risikomanagement-Spezialist, der die Risikominimierung ganzheitlich, das heißt mit unterschiedlichen Maßnahmen (onsite und über die Cloud) und aus unterschiedlichen Blickwinkeln (lokal und global), angeht? Oder ist er einer unter den vielen Security-Anbietern, die gerade einmal ein paar Firewall-Einstellungen, einen VPN-Router und ein paar Security-Software-Pakete einspielen und verwalten können? Und last but not least: Liegt das Rechenzentrum des Dienstleisters in Deutschland, in der Schweiz oder sogar in einem anderen Land?
Managed Security Services als neue Banken für Daten
Wenn wir über Risikomanagement sprechen, sprechen wir über Datenmanagement beziehungsweise Datenschutz. Daten werden heute immer mehr zum dominierenden, branchenübergreifenden Erfolgsfaktor. Der Schutz sensibler und geschäftskritischer Informationen sollte deshalb beim Risikomanagement der Unternehmen höchste Priorität erhalten. Adäquate Schutzmaßnahmen sind komplex und erfordern großes Fachwissen in mehreren Disziplinen: in der IT-Security, bei den Prozess-Spezifika der jeweiligen Branche sowie in Bezug auf die regulativen Rahmenbedingungen. Nicht zuletzt benötigt ein effizienter Schutz von Unternehmensdaten selbst eine umfangreiche und topaktuelle Sammlung von Risikodaten, die Aufschluss über potenzielle Angriffsarten und häufig benutzte sowie sich dynamisch verändernde Angriffsvektoren geben.
Für immer weniger Unternehmen rechnet es sich deshalb, die notwendigen Ressourcen und Kapazitäten zu unterhalten - beispielsweise ein eigenes Security-Monitoring- und Incident-Response-Team für adäquates Risikomanagement. Versierte Fachkräfte in diesem Bereich sind rar, und das Geld für entsprechende Investitionen wird vermehrt in das Kerngeschäft investiert - und das ist in der Regel nicht die IT-Sicherheit. Wird ein Unternehmen gezielt angegriffen, hören Kriminelle nicht einfach auf, sobald sie die gewünschten Primärziele erreicht, also die gewünschten Informationen erbeutet haben. Im Gegenteil: Sie setzen ihre Angriffe fort, um weitere Daten zu erhalten, und schrecken auch nicht vor Kollateralschäden zurück. Immer mehr Unternehmen erkennen die Vorteile von Managed Security Services und verlagern daher ihr Risikomanagement.
Managed Security Services: die Anforderungen
MSS-Anbieter sollten in der Lage sein, sich flexibel an die aktuelle Bedrohungssituation anzupassen. Zudem müssen sie flexibel auf neue Faktoren in der Prozesskette - beispielsweise Änderungen beim Datenschutz oder bei Compliance-Richtlinien - reagieren können. Diese Prozesse sollten so gestaltet sein, dass sich jederzeit Branchenspezifika und staatliche Regularien integrieren lassen. Es wird immer wichtiger, die individuellen Geschäftsprozesse und die Abhängigkeiten der IT eines Unternehmens im Risikomanagement zu kennen und in der Analyse zu beachten.
Beispiele für die branchenspezifische Ausrichtung von Prozessen und Richtlinien sind die Absicherung von Datenüberwachungs- und Steuerungssystemen in der Automobilindustrie, die Umsetzung von BaFin-Richtlinien im Bankenumfeld, HIPAA im Gesundheitswesen oder die PCI DSS-Richtlinien bei Kreditkartenunternehmen. Dass Cyber-Kriminelle durchaus branchenspezifisch vorgehen, beweist eine aktuelle Studie der NTT Group: Demnach richteten sich 18 Prozent aller 2014 detektierten Angriffe auf den Finanzsektor. Weiterer Beleg für diese Vorliebe sind die 240 Fälle von Kreditkartenbetrug durch Phishing, die derzeit der Schweizer Bundesanwaltschaft vorliegen.
Security Operations Center brauchen lokalen Support
Beliebt ist derzeit die Errichtung von Cyber-Abwehrzentren zur Absicherung der Unternehmen aus der Ferne. Security Operations Center (SOC) sind sicherlich sinnvoller Teil vieler Security-Strategien. Den optimalen Risikoschutz können sie in aller Regel jedoch nur in engem Zusammenspiel mit dem Servicenehmer liefern. Wichtig ist auch hier das hybride Setup, um reibungslose Abläufe mit dem Rechenzentrum und dem Netzbetrieb des Kunden im Change-Prozess und für das Incident Response Management zu gewährleisten. Während der Bereitstellungsphase der Services gilt es für den MSS-Anbieter, die Prozesse des Kunden mit den Best Practices aus dem SOC zu verbinden und dafür auch die eigenen Mitarbeiter vor Ort mit einzubeziehen.
Globale Schadsoftware-Erkennung zur Gefahrenabwehr
Die Präsenz des Managed-Security-Services-Dienstleisters vor Ort und die Rund-um-die Uhr-Überwachung durch Spezialisten im Security Operations Center sollten bei einem ganzheitlichen MSS-Ansatz durch eine global ausgerichtete Threat-Intelligence-Lösung, durch ein Security-and-Information-Management (SIEM)-System sowie durch Security-und-Health-Monitoring-Tools ergänzt werden. Hybride SOC-Ansätze werden am besten kombiniert, um über Remote- und Onsite-Leistungen ein effizientes und proaktives Incident Detection Management zu ermöglichen. Ein wichtiger Baustein dabei ist die Threat-Intelligence-Lösung, die nur schwer lokal und individuell aufzusetzen ist. Hier sind die Faktoren Personal, Datenzugriff, Sichtbarkeit und Pflegeaufwand entscheidend für die Belastbarkeit des Services. Öffentliche Threat Feeds stehen zwar allen zur Verfügung, ein globaler Managed-Security-Services-Anbieter sollte aber in der Lage sein, diese Feeds mit eigenen Daten und einer effizienten Korrelation anzureichern.
Neben eigenen Honeypots und Botnet Watchern sollten auch Patterns aus historischen Daten, die Intelligence aus verschiedenen Projekten sowie individuelle Signaturen und Regeln in die Analyse einfließen. Angegriffene Unternehmen verfügen oftmals nicht über die Ressourcen, die erforderlich wären, um hier dynamisch auf Veränderungen der globalen Bedrohungslage zu reagieren, oder erhalten die wichtigen Informationen erst, wenn es bereits zu spät ist, da IT-Security nicht zu ihrem Kerngeschäft zählt. Das Ziel von Managed Security Services besteht somit darin, den Kunden mit hoch entwickelten Analyseverfahren von einem reaktiven in einen proaktiven Modus zu überführen. Nur wenn die unterschiedlichen Security-Maßnahmen und -Prozesse mit intelligenter Bedrohungsanalyse verbunden werden, profitieren Unternehmen von einem ständig aktualisierten und damit hochaktuellen Abbild der weltweiten Bedrohungslandschaft. Dies versetzt sie proaktiv in die Lage, das aktuelle Gefahrenpotenzial einzuschätzen und adäquat darauf zu reagieren.
So gelingt das Outsourcing der IT-Security
Unternehmen, die sich für Managed Security Services entscheiden, tun dies nicht nur, um CAPEX durch OPEX zu ersetzen, sondern weil sie sich dazu entschlossen haben, ihr Risikomanagement auf ein breiteres Fundament zu stellen. Allerdings sollten sie darauf achten, die richtigen Kriterien festzulegen. Dazu zählt auch, dass der Anbieter nicht nur eine globale Malware-Datenbank unterhält, sondern die daraus gewonnenen Informationen analysiert, anreichert und unter lokalen Gesichtspunkten einsetzt. Denn nur mit dieser Verbindung gelingt die Abwehr von Angriffen rund um die Uhr und lässt sich die Entscheidung zur Auslagerung der IT-Sicherheit intern wie extern langfristig vertreten. (fm)