IT-Sicherheit bleibt Sisyphusarbeit

Kontrollieren Sie Provider auf ihr Security-Management!

| Autor / Redakteur: Christian Ebert* / Ulrike Ostler

Sicherheit braucht ständige Aufmerksamkeit und leichter wird die Aufgabe ohnehin nicht. Auch wer IT-Service-Provider nutzt, darf Security-Themen nicht komplett aus der Hand geben.
Sicherheit braucht ständige Aufmerksamkeit und leichter wird die Aufgabe ohnehin nicht. Auch wer IT-Service-Provider nutzt, darf Security-Themen nicht komplett aus der Hand geben. (Bild: mokee81/Folotia.com)

Vorhandene Rechenzentrumskapazitäten modernisieren und aus-bauen – vor dieser Aufgabe stehen momentan viele Unternehmen. Doch immer mehr wollen nicht mehr ausschließlich auf ein eigenes Rechenzentrum setzen, sondern zumindest Teile ihrer Infrastruktur und Applikationen an einen IT-Dienstleister auslagern: An zentralen Weichenstellungen bezüglich der IT-Sicherheit kommt dabei niemand vorbei.

Mehr denn je benötigen Unternehmen heute eine leistungsfähige IT, die ihre Geschäftsprozesse optimal unterstützt. Der rasante technische Fortschritt und der intensive Wettbewerb in allen Marktsegmenten erfordern eine permanente Evaluation und Aktualisierung der vorhandenen Ausstattung. Bei einer Bestandsaufnahme zeigt sich immer häufiger, dass Unternehmen nicht willens oder in der Lage sind, die für eine Modernisierung erforderlichen technischen und personellen Investitionen in ein eigenes, modernes Rechenzentrum zu tätigen.

Eine hohe Verfügbarkeit, Performance und Sicherheit zu gewährleisten sind ambitionierte Ziele, die nicht jedes Unternehmen mit den vorhandenen Mitteln problemlos erreichen kann. Einige haben daher bereits Teile ihrer IT-Infrastruktur an IT-Service-Provider ausgelagert – andere befinden sich in der Planungsphase.

Ein zentraler Aspekt bei einem solchen Migrationsprojekt ist eine Checkliste, mit der Unternehmen prüfen können, ob der Service-Provider die vorrangigen organisatorischen und technischen Anforderungen im Hinblick auf Verfügbarkeit sowie Zukunftsfähigkeit und vor allem hinsichtlich der IT-Sicherheit erfüllt.

Organisatorische IT-Sicherheitsmaßnahmen

Eine wichtige Rolle bei den organisatorischen IT-Sicherheitsmaßnahmen spielt das bei einem Service-Provider implementierte Information-Security-Management-System (ISMS). Darin sollten Regeln und Prozesse definiert sein, mit denen der Service-Provider die Informationssicherheit steuert, überwacht und fortlaufend optimiert.

Unternehmen sollten sich das ISMS eines Service-Providers genauestens erläutern lassen. Am ISMS entscheidet sich, wie wirksam der Service-Provider die Anforderungen bezüglich der Vertraulichkeit, Verfügbarkeit und Integrität der Daten umgesetzt hat und sicherstellt, dass diese Vorgaben auch eingehalten werden.

Die Güte des ISMS lässt sich beispielsweise an dessen Zertifizierung überprüfen, das heißt die vorhandenen Sicherheitszertifikate und Auditierungen werden zu einem bedeutsamen Auswahlkriterium im Entscheidungsprozess. Service-Provider können anhand eines ISO-27001-Nachweises, wie er vom TÜV oder anderen dazu berechtigten Auditoren ausgestellt wird, belegen, dass ihre Prozesse und Verfahren die geforderten Sicherheitsstandards erfüllen. Die implementierten Abläufe sollten sich am Modell einer kontinuierlichen Verbesserung ausrichten und den vier Schritten Plan, Do, Check, Act folgen, wie sie in der Qualitätsmanagementnorm ISO 9001 festgelegt sind.

Technische IT-Sicherheitsmaßnahmen

Organisatorische und technische IT-Sicherheitsmaßnahmen sind zwei Seiten der einen Medaille. Eine wichtige Säule unter den technischen Vorkehrungen eines Service-Providers bildet die logische Segmentierung von Netzen und die Überwachung des Traffics an den Netz-übergängen durch Firewalls. Ein modularer Aufbau der Zonenarchitektur ermöglicht den Security-Administratoren, bei Bedarf flexibel neue Sicherheitszonen einzurichten.

Ergänzendes zum Thema
 
QSC unterstützt Tchibo

Der Autor, Christian Ebert, ist Chief Information Security Officer bei QSC in Köln.
Der Autor, Christian Ebert, ist Chief Information Security Officer bei QSC in Köln. (Bild: QSC)

Wichtig ist beispielsweise auch, ob der Service-Provider mit Vulnerability Scannern gezielt nach Sicherheitslücken sucht. Noch besser ist es, wenn er sich nicht nur auf das Know-how seiner internen IT-Sicherheitsspezialisten verlässt, sondern in regelmäßigen Abständen auch die Erfahrung von externen White-Hat-Hackern nutzt. Sie über-prüfen anhand von Penetrationstests das vorhandene Sicherheitsniveau und entdecken so zuvor unerkannte Sicherheitslücken.

Eine wichtige Rolle spielen schließlich noch Intrusion-Detection-Systeme, mit denen Service-Provider in der Lage sind, Cyber-Angreifer früh-zeitig zu erkennen und Abwehrmaßnahmen einleiten zu können. Wer plant, bestimmte Applikationen und Aufgaben an einen Service-Provider auszulagern, sollte sich mit einer Checkliste den passenden Mix an IT-Sicherheitsanforderungen zusammenstellen und prüfen, inwieweit einzelne Anbieter diese Vorgaben erfüllen können.

* Christian Ebert ist Chief Information Security Officer bei QSC in Köln.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43884274 / Software)