Komplexe Angriffsszenarien bringen IT-Abteilungen an Grenzen. Um Risiken zu vermeiden, ziehen Unternehmen Dienstleister hinzu. Der Security-Provider Indevis gibt Tipps für den Umgang mit Managed Security Services.
1. Grundverständnis aufbauen: IT-Sicherheit ist kein „Off-the-Shelf“-Produkt
Unternehmen sind heute grundsätzlich dazu bereit, in ausgefeilte Security-Technologien zu investieren. Dies ist nur der erste Schritt, um ein angemessenes Schutzniveau aufzubauen. Auch Top-Lösungen muss man konfigurieren und in Betriebsprozesse eingliedern. Security ist ein Drittel Technik, ein Drittel Prozesse, Organisation und Schnittstellen sowie ein Drittel Benutzer-Awareness. Nur wenn Unternehmen alle drei Bereiche gleichermaßen berücksichtigen, kann es gelingen, sich bestmöglich gegen Cyberangriffe zu schützen. Security aus der Steckdose gibt es nicht. Die Herausforderung für IT-Abteilungen besteht darin, den Überblick über zahlreiche Security-Funktionen und -Anwendungen zu behalten, diese miteinander zu integrieren und permanent zu aktualisieren. Eine Mammutaufgabe, die nur die wenigsten Unternehmen intern stemmen können.
2. Interne Security-Strukturen, -Prozesse und -Rollen klar definieren
Damit externe Security-Dienstleister bestmöglich andocken können, gilt es, Security-Prozesse genau zu definieren und interne Rollen festzulegen. Es muss klar sein, wer wofür verantwortlich ist und wer sich kümmert, wenn beispielsweise bei einer Firewall die Policy geändert werden muss. Gelingt dies, ist die Basis für Managed Security Services geschaffen. Fehlen klar definierte Abläufe, kann ein Security-Provider Abhilfe schaffen. Dieser analysiert die Ist-Situation, um eine Best-Practice-Strategie für die IT-Sicherheit zu entwerfen.
3. Service-Affinität fördern: IT-Abteilungen als „Business Enabler“
Mitarbeiter in der IT-Abteilung müssen Verständnis und Affinität für die Zusammenarbeit mit Dienstleistern entwickeln und das Motto „Wir machen alles selbst“ ad acta legen. Stattdessen sollten sie sich als Business Enabler betrachten. Es gilt, die Bedürfnisse der Fachabteilungen zu verstehen und die technischen Voraussetzungen für die Digitalisierung zu schaffen. Kommt die IT-Abteilung dieser Anforderung nicht schnell genug nach, riskieren Unternehmen Sicherheitslücken durch Schatten-IT. Oftmals schaffen sich Fachabteilungen dann Lösungen ohne Rücksprache mit den IT-Kollegen an. So entsteht ein nicht ausreichend geschützter Flickenteppich an Produkten, der die Angriffsfläche für Hacker vergrößert.
4. Absicherung von Cloud-Umgebungen mitdenken
Im Cloud-Zeitalter sollten IT-Verantwortliche, die Security Services auslagern möchten, das Thema Cloud-Migration mitdenken. Cloud Provider bieten nämlich oft nur rudimentäre Sicherheitsfunktionen. Anwendungen, die vorher in einem historisch gewachsenen und gut gesicherten Ökosystem eingebunden waren, finden sich demnach plötzlich in einer völlig neuen Umgebung ohne wichtige Security-Funktionen wieder. So gilt es etwa, Firewalls zwischenzuschalten oder das Zugriffs- und Rechtemanagement zu definieren. Das Problem verschärft sich auch hier, wenn Fachabteilungen oder das Management abgekoppelt handeln und Cloud-Services ohne Rücksprache mit der IT-Abteilung buchen. Zudem ist die Absicherung von Cloud-Umgebungen aufwändig und erfordert tiefgehendes Wissen über die Technologie des Providers. Ein Großprojekt, das IT-Verantwortliche neben dem Tagesgeschäft kaum selbst stemmen können. Security-Provider leisten hier Hilfestellung mit Ende-zu-Ende-Lösungen, die Cloud-Umgebungen absichern.
5. Das Prinzip der geteilten Verantwortung leben
Werden IT-Security-Aufgaben ausgelagert, bedeutet das für ein Unternehmen keinesfalls Kontrollverlust. Ganz im Gegenteil: Es ist elementar wichtig, dass IT-Abteilung und Security-Provider eng zusammenarbeiten. IT-Mitarbeitern im Unternehmen kommt dabei eine koordinative und steuernde Rolle zu, während der Dienstleister operativ und beratend agiert. Beide Seiten müssen das Prinzip der geteilten Verantwortung leben. Um die IT-Infrastruktur des Unternehmens auf hohem Niveau zu schützen, müssen das Wissen über unternehmensinterne Strukturen und Prozesse und hohe Expertise bei Security-Tools zusammenkommen. Nur so gelingt es, IT Security Services passgenau zu entwerfen, zu implementieren und kontinuierlich anzupassen.
6. Security-Provider auf Herz und Nieren prüfen
Zu guter Letzt ist auch Sorgfalt bei der Auswahl des Security-Providers gefragt. Kaum jemand möchte schließlich hochsensible Daten in fremde Hände geben, ohne sich seiner Sache sicher zu sein. Wie gut ein Provider und seine Mitarbeiter qualifiziert sind, lässt sich zum Beispiel bei einem Besuch vor Ort feststellen. Ein guter Security-Provider kann alle Fragen jederzeit beantworten. Zudem definiert er für sämtliche operativen, vertraglichen und prozessbegleitenden Rollen gemäß der ITIL-Best-Practices (Information Technology Infrastructure Library) klare Verantwortlichkeiten und erfüllt die Zertifizierung nach ISO 27001. Somit sind die Security-Standards der europäischen Datenschutzverordnung zum Schutz von Kundendaten erfüllt.
Gute Vorbereitung ist die halbe Miete
Die Komplexität von Hacker-Angriffen und Sicherheitslösungen steigt. Unternehmen müssen sich bewusst sein: Risiken lauern an jeder Ecke, und die Frage bei Cyber-Attacken lautet nicht ob, sondern wann sie stattfinden. Unternehmen sollten sich so gut wie möglich absichern und Handlungsrichtlinien für den Ernstfall parat haben. Dann bleibt der Schaden gering oder lässt sich bestenfalls ganz vermeiden. Wenn Unternehmen intern klare Prozesse definieren, Service-Affinität aufbauen und sich über das Prinzip der geteilten Verantwortung bewusst sind, steht einer erfolgreichen Zusammenarbeit mit einem guten Managed Security Service Provider nichts im Wege. jf
Der Autor
Andreas Mayer ist Founder & Business Development bei indevis, einem Provider für Managed Security Service.