Beim Outsourcing von IT-Services, insbesondere Commodity-Services wie RZ-Dienstleistungen oder Workplace, gibt es viel Erfahrung, daher ist es inzwischen weit verbreitet, Teile der IT an Service-Provider auszulagern. Bez glich des Outsourcing von IT Security-Services allerdings haben viele Unternehmen aufgrund der hohen Risiken noch Bedenken. Doch ist diese Einstellung in Zeiten st ndig neuer Bedrohungen sowie immer schneller zu aktualisierender Spezialexpertise noch zeitgem ? Diese Fragen werden im Folgenden untersucht. Outsourcing von IT Security-Services Ausgangssituation Nahezu jeder Bereich der IT l sst sich heutzutage outsourcen: Angefangen beim Service Desk, ber das Hosting von Rechenzentren, Webseiten, dem SAP-Betrieb, Datenbanken oder CRM-Systemen, f r jeden IT-Service-Bereich gibt es etablierte Anbieter. Auch im Bereich der IT-Security gibt es inzwischen eine Vielzahl von Anbietern, die unter Anderem das Storage-Backup, Security Information und Event Management (SIEM) oder den Betrieb von Firewalls bernehmen. Doch gerade der Betrieb von Firewalls ist gesondert zu betrachten, stellen doch die Firewalls in der Regel den entscheidenden Schutz vor Angreifern aus dem Internet dar. berblick Firewall-Services Eine Firewall analysiert den Datenverkehr und blockiert oder gew hrt den Datenfluss auf Basis von Regeln, die erlaubten oder unerlaubten Traffic definieren. Next Generation Firewalls bieten zudem Funktionen wie Intrusion Detection (IDS) und Intrusion Prevention (IPS) an, um Angriffe auf das Unternehmensnetz zu erkennen und abzuwehren. Dadurch sch tzen sie einzelne Rechner, Server und Netzwerke vor Angriffen mit Malware, Trojanern oder unbefugten Zugriffen. Je nach Unternehmensgr e kann die Verwaltung und berwachung von Firewalls durch sehr viele Regeln sowie st ndig neuen Angriffsm glichkeiten schnell sehr komplex und zeitaufwendig werden. Das jeweilige IT-Team muss in der Lage sein, mit der neuesten Software und Technologie stets Schritt zu halten. Nur so kann es in der heutigen digital vernetzten Welt das Unternehmen dauerhaft sch tzen. Die entsprechenden Spezialisten sind unter Umst nden durch den Fachkr ftemangel schwer zu bekommen, beziehungsweise zu halten. Hier kommt das Thema Firewall-Administration durch einen Service-Provider ins Spiel: Der Service Provider k mmert sich um Betrieb, Wartung und Administration der jeweiligen Firewall-L sung. Vorteile einer vollst ndigen Ausgliederung Grunds tzlich ist beim Outsourcing von IT Security-Services zu entscheiden, ob der gesamte Firewall-Betrieb oder nur Teile der Betriebsaufgaben abgegeben werden sollen. Je nach Unternehmen sind m glicherweise besonders sensible Bereiche vorhanden, die nicht an einen Provider outgesourct werden k nnen (z.B. in der Medizin). Wird der gesamte Betrieb ausgegliedert, kann dies f r Unternehmen eine Reihe von Vorteilen bringen: Kein Administrationsaufwand Der Provider bernimmt alle Services rund um die Administration der Firewall-L sung. Dazu geh ren beispielsweise Updates, Patch-Management, Best Practice-Konfiguration, Monitoring oder Support. Somit m ssen keine eigenen Spezialisten mehr vorgehalten werden, die stetig ihr Know-how aktualisieren und ausbauen m ssen. Einfache Skalierbarkeit Je nach Anforderung bez glich Traffic oder Administration lassen sich die Firewall-Leistungen hinsichtlich der Provider-Ressourcen schnell nach oben oder unten skalieren. Flexibilisierung der IT-Investitionen Firmen k nnen ihre IT-Investitionen flexibel gestalten. So erfolgt die Abrechnung entweder in einem nutzungsbasierten Mietmodell oder man beschafft die Hardware selbst und kauft nur die Betriebsleistungen ein. Hohe Sicherheit Hat sich ein Service-Provider auf IT-Security-Services spezialisiert und erbringt diese f r mehrere Kunden, so ist er in der Regel professioneller aufgestellt, da er mehr spezialisiertes Personal hat und die Effizienz seines Betriebskonzepts stetig optimiert, um seine Marge zu steigern. Somit ist die Firewall-L sung stets auf dem aktuellen Stand und kann zeitnah mit den neuesten Funktionen ausstattet werden. Diese Vorteile k nnen nur erzielt werden, wenn zwischen Unternehmen und Service-Provider die entsprechenden Vertr ge gut ausgearbeitet und abgestimmt sind: Im Service-Schein m ssen die vom Provider zu bernehmenden Leistungen sowie ihre Qualit t ( ber die Festlegung von SLAs) genau spezifiziert sein, die Schutzmechanismen sollten auf Basis der Ergebnisse eines ganzheitlich etablierten Risikomanagements gestaltet sein. Das interne IT-Security-Team muss im Rahmen des Outsourcings bei den entsprechenden Planungen, Abstimmungen und ggf. in Verhandlungen mit dem k nftigen Service-Provider eingebunden werden, um ein gemeinsames Sicherheitsverst ndnis zu erreichen. Auch wenn die Service-Provider ber ein enormes Sicherheits-Wissen verf gen, kann eine Anpassung an etwaige Unternehmensbesonderheiten durchaus erforderlich sein, anstatt sich rein auf allgemeine Security-Standards des Service-Providers zu verlassen. Sonderfall Produktionsumgebungen Alle genannten Punkte hinsichtlich des Firewall-Betriebs sind bei einigen Unternehmen in bestimmten Bereichen nicht so einfach anzuwenden. Insbesondere bei produzierenden Unternehmen ergeben sich in den Produktionsumgebungen h ufig besondere Anforderungen wie zum Beispiel spezielle lHard- oder Software. Hier ist es oftmals notwendig, eine angepasste Firewall-L sung zu betreiben, die meist besser auf die spezifischen Anforderungen ausgerichtet ist. In Produktionsumgebungen stehen oft sehr alte IT-Systeme, f r die es keine Sicherheitsupdates mehr gibt, ebenso l uft spezielle und sehr alte Steuerungs- oder Mess-Software h ufig nicht auf neuen Betriebssystemversionen. Daher sind diese Bereiche noch besser abzusichern, um nicht nur die Produktion nicht zu gef hrden, sondern auch, um Firmengeheimnisse (z.B. Patente) zu sch tzen. Vorhandene Sicherheitskonzepte m ssen gepr ft und ggf. angepasst werden, da ein anderes Know-How bei der Konzeption und beim Betrieb solcher Firewalls n tig ist. Auch die Firewall-Anforderungen k nnen sich von Standard-L sungen hinsichtlich Verf gbarkeit und Konfigurationsm glichkeiten unterscheiden. Spezifikation der Leistungen Damit sich auch Firewalls f r solche Umgebungen von einem Service-Provider managen lassen, ist eine m glichst genaue Spezifikation in der Leistungsbeschreibung erforderlich, da sich viele Standard-L sungen nicht 1:1 nutzen lassen. Der Service-Provider hat zwar das bessere Wissen, kennt aber etwa die Vor-Ort-Umgebung nicht. Nach einer Vergabe sollte die Provider-Expertise in einem entsprechenden Transition-Projekt genutzt werden, um die aktuelle Firewall-Konzeption und den Betrieb zu pr fen und gemeinsam mit dem Auftraggeber Verbesserungen umzusetzen. Dadurch lernen die Mitarbeiter:innen des Service-Providers die Systemumgebung kennen und k nnen sich auf die Anforderungen einstellen. Anpassungen an diese Firewalls m ssen schnell und pr zise umsetzbar sein, damit es nicht zu Verz gerungen bei der Implementierung oder Ausf llen kommt. Ein Ticketsystem mit angeschlossener Hotline und idealerweise einem Chat f r Change-Requests ist entsprechend einzurichten, um besonders kurze Reaktions- oder L sungszeiten, auch zu ungew hnlichen Arbeitszeiten (etwa am Wochenende) zu erm glichen. Auch m ssen die Kommunikationswege klar geregelt sein, damit die Anpassungen schnell vorgenommen werden k nnen. Die daf r ggf. notwendige Optimierung der Service-Request-Prozesse ist ebenfalls im Rahmen der Transition anzugehen, um die erforderlichen internen Zuarbeiten im Prozess, wie etwa Genehmigungen und Freigaben, zu verbessern. Outsourcing von IT Security-Services Fazit Zusammenfassend l sst sich sagen, dass beim Outsourcing von IT Security-Services, insbesondere beim Thema Firewall, deutlich mehr Punkte zu beachten sind als bei anderen IT-Dienstleistungen. Gerade im Bereich der Produktion ist im Rahmen der Transitionsphase eine enge Zusammenarbeit zwischen Unternehmen und Service-Provider notwendig, um die entsprechenden Umgebungen effizient zu sch tzen. Zudem muss bei der Zusammenarbeit sichergestellt sein, dass es zu keinen Behinderungen im Betrieb, wie etwa Produktionsverz gerungen oder Ausf llen, kommt. Klare Kommunikationsstrukturen und Verantwortlichkeiten sind daher neben Einrichtungs- und Konfigurationsstandards unabdingbar. Der Beitrag Outsourcing von IT Security-Services erschien zuerst auf amendos gmbh.
Die Europäische Bankenaufsichtsbehörde (European Banking Authority, EBA) hat am 25. Februar 2019 die finale Version ihrer Guidelines on Outsourcing (EBA/GL/2019/02) veröffentlicht (EBA-Guidelines oder EBA-Leitlinien). In meinem Blog-Beitrag erkläre ich eu
zum Artikel gehenIn meinem Blog möchte ich mit euch eine kurze Reise in die Welt der Application Security unternehmen und erklären, wie ihr in einer agilen Entwicklung das Thema „Sicherheit“ rechtzeitig adressiert und warum zurzeit niemand um Application-Security-Experten
zum Artikel gehenIn meinem Blog-Beitrag möchte ich mit euch ein paar Gedanken zur Anwendungssicherheit in Microservices-Architekturen teilen. Dabei werde ich auf die Verlagerung von Security-Funktionalitäten in Frameworks und in den Infrastruktur-Stack eingehen und erklär
zum Artikel geheni-net Clear Reports - Security Requirements in Java 7u51 Berlin, Jan 30, 2014 Oracle requires new security permissions in the manifest of .jar files since Java 7 update 51 (see this article). The following components (availability depends on the
Über die Verbindung zwischen dem NFL-Superbowl Finale und IT-Managed Services. Ein Vergleich zum Schmunzeln. Der NFL-Superbowl und Managed Services mögen auf den ersten Blick wie zwei völlig verschiedene Welten erscheinen. Bei genauerer Betrachtung gibt e
zum Artikel gehen