IT-Security-Outsourcing: Ja oder Nein?
Wirft man einen Blick in den jährlichen Security-Report von Cisco, fällt auf, dass der Anteil derjenigen Unternehmen, die keinen Aspekt ihrer IT Sicherheit ausgelagert haben, innerhalb eines Jahres von 21 Prozent (2014) auf 12 Prozent (2015) gesunken ist. 53 Prozent der Unternehmen, die Security outsourcen, geben eine gesteigerte Kosteneffizienz als Grund dafür an. 49 Prozent setzen auf ausgelagerte Security Services, um eine unparteiische Sicht auf die Dinge zu gewinnen.
Natürlich hätte jedes Unternehmen gerne die Kontrolle über sein eigenes Security-Programm in den Händen. Aber die meisten Firmen können es sich schlicht nicht leisten, alle Elemente, die beispielsweise ein Security Operations Center (SOC) bietet, selbst zu betreiben, wie Asher DeMetz, Sicherheitsberater bei Sungard Availability Services, weiß: "Für Unternehmen, deren Größe und Risikolevel diese Services erforderlich machen ist es unerlässlich rund um die Uhr Monitoring zu betreiben. Wird eine Attacke nicht rechtzeitig erkannt, können die Folgen verheerend sein."
- Security Operation Center
So sieht es in einem SOC aus. Im Fokus stehen Monitoring und Analytics von Security und IT-Assets. - SOC der CGI Group
Ein weiteres Beispiel für ein Security Operation Center, hier das SOC Toulouse der CGI Group. - SOC für Industrieanlagen
Mit einem Security Operation Center können die IT- und Steuerungsanlagen eines ganzen Industriekomplexes überwacht werden. Siemens hat die Cyber Security Operation Center (CSOC) zum Schutz von Industrieanlagen eröffnet. Sie haben ihren Sitz in Lissabon und München sowie Milford (Ohio) in den USA. - Security-Tacho
In einem SOC werden zahlreiche Informationsquellen zentral ausgewertet, um die aktuelle Sicherheitslage zu ermitteln und um Prognosen für mögliche Attacken abgeben zu können. Wie dies aussehen kann, zeigt zum Beispiel der Sicherheitstacho der Telekom. - SOC Schulung
Security-Analysten können speziell für den SOC-Einsatz geschult und trainiert werden. - Chatbots und Actionbots
Spezielle Chat- und ActionBots wie Artemis können in Zukunft Teile der Aufgaben im SOC automatisieren. Sie sind dann Assistenten der Security-Analysten. - SOC - Nachholbedarf
Studien wie „2017 State of Security Operations“ von HPE zeigen, dass es noch einiges an Verbesserungsbedarf in SOCs gibt. - KI und Security
KI-Systeme wie IBM Watson werden Security-Analysten in den Security Operation Center (SOC) bei der Aufdeckung intelligenter Cyber-Attacken unterstützen.
Carl Herberger, Vice President bei Radware, sieht die sich im Wandel befindliche Bedrohungslage und den Fakt, dass KMUs immer stärker in den Fokus von Cyberkriminellen rücken, als wesentliche Herausforderung für die IT-Sicherheit an: "Ein Ecommerce-Unternehmen hat vielleicht nicht die Möglichkeit, in entsprechend fähige Fachkräfte zu investieren, um Angreifer abzuhalten. Hier helfen Managed Security Services - und das Unternehmen kann sich auf sein Kerngeschäft konzentrieren."
Kennet Westby, President und Mitbegründer von Coalfire rät Unternehmen, bei der Entscheidung über das Outsourcing der IT-Sicherheit insbesondere drei Kriterien zu beachten:
Kompetenz / Kosten: Sie sollten herausfinden, ob Security Services von extern möglicherweise mit höherer Kompetenz und unter geringerem Kostenaufwand realisiert werden können, als es intern der Fall ist.
Kompatibilität: Achten Sie darauf, dass der Managed Security Services Provider Ihrer Wahl mit Ihrer IT sowie Ihren Management- und Security-Teams zusammenarbeitet - und nicht bloß unsichtbarer Zulieferer von IT-Sicherheits-Services ist.
Vertrauen: Dieses Element ist für MSSPs ganz besonders wichtig. Sie sollten sicherstellen, dass Ihr Anbieter in Sachen Security Controls einen Standard an den Tag legt, der das Nötige übersteigt. Schließlich müssen Sie den Mitarbeitern des Managed Security Services Providers im Zweifel sogar mehr vertrauen als Ihren eigenen Leuten.
Security-Analyst Richard Henderson beschreibt das größte Hindernis auf dem Weg zur Auslagerung der IT Security: "Es braucht schon eine Menge Vertrauen und Überzeugungsarbeit, um auf das MSSP-Modell zu wechseln. Aber wie der Boom in diesem Bereich zeigt: Diejenigen Unternehmen, die eine Partnerschaft mit Managed Security Services Providern eingehen, sind begeistert. Jede IT-Sicherheitsabteilung innerhalb eines kleinen oder mittleren Unternehmens sollte sich zumindest über die Möglichkeiten informieren, die ihr mit der Integration von MSSP-Angeboten offenstehen."
Darüber hinaus, so Henderson, sei inzwischen sehr deutlich geworden, dass Fachkräfte im Bereich IT-Sicherheit oft schwer zu finden, schwer zu halten und schwer zufrieden zu stellen sind: "Viele Jobs im Security-Umfeld sind äußerst undankbar. Wenn einmal etwas schiefgeht, kann der Druck, der auf einzelnen Mitarbeitern lastet, immens werden. Wenn das Unternehmen dann noch in einer ‚uncoolen‘ Stadt zuhause ist, kann es wirklich schwer werden, geeignetes IT-Security-Personal zu finden."
- Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind. - Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen. - Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben. - Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern. - Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind. - Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat. - Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko. - Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen. - Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen. - Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
IT-Sicherheit komplett oder in Teilen auslagern?
Stellt sich die Frage: In welchem Umfang sollte man seine IT-Sicherheit outsourcen? Der aktuelle Security Report von Cisco will herausgefunden haben, dass die meisten Unternehmen, die auf eine Partnerschaft mit einem MSSP setzen, mindestens 20 Prozent ihrer sicherheitsrelevanten Aufgaben an Dritte ausgelagert haben. Und: Diese Unternehmen planen für die Zukunft die Nutzung von Managed Security Services zu intensivieren.
Rod Murchison, Vice President Product Management bei Crowdstrike weiß warum: "Einige MSSPs können mit den Lösungen anderer Anbieter per API kommunizieren und machen so maßgeschneiderte Lösungen möglich, die echten Mehrwert bei sinkender Komplexität für die User verwirklichen. Ein solches Level an Integration kann die Kunden von Managed Security Service Providern mit einer perfekt auf ihr Netzwerk zugeschnittenen Kombination aus Schutzmaßnahmen ausstatten."
Doch Managed Security Services Provider können Unternehmen auch dabei unterstützen, eigene Ressourcen aufzubauen - vorausgesetzt, die finanziellen Ressourcen sind vorhanden. Wenn nicht, können MSSPs auch punktuellen Support leisten, wie Scottie Cole von AppRiver weiß: "Ein MSSP verfügt in der Regel über einen größeren Pool von IT-Sicherheitsexperten, die er - je nach den Bedürfnissen und Notwendigkeiten der Kunden und Branchen - zur Problemlösung entsenden kann."
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Boaz Shunami, CEO bei Komodo Security Consulting sieht MSSPs vor allem in den Bereichen Penetration Testing, Threat Intelligence, Incident Response und Forensik im Vorteil. Der Einsatz interner Mitarbeiter sei weit weniger effektiv, weise steilere Lernkurven auf und würde generell mehr Zeit in Anspruch nehmen.
Bei der Entscheidung darüber, ob Sie ihre IT-Sicherheit outsourcen sollen oder nicht, sollten Sie laut Javvad Malik, Security-Berater bei AlienVault nicht nur auf technische Expertise Wert legen: "Bei der Suche nach dem richtigen MSSP spielt auch dessen Unternehmenskultur - beziehungsweise deren Kompatibilität zum eigenen Leitbild - eine große Rolle. In jedem Fall sollten Sie jedoch eine gut informierte Entscheidung treffen - auf Basis Ihres Budgets, der eigenen Expertise und den gewünschten Ergebnissen." (fm)
Dieser Artikel basiert in Teilen auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.