ICT & Technik

IT-Security-Infrastruktur

Höhere IT-Sicherheit zu tieferen Kosten

01.10.2010
Die Informationstechnologie (IT) ist stetem Wandel unterworfen und birgt Sicherheitsrisiken. Eine Folge davon: Nicht mehr ob, sondern nur noch wie die IT-Security der Infrastrukturen sichergestellt wird, haben die Unternehmen zu entscheiden. Statt auf den teuren Eigenbetrieb zu setzen, sind Managed Security Services zur sinnvolleren Alternative geworden.
PDF Kaufen

Der gesicherte Zugriff auf die Datenbestände und Prozesse eines Unternehmens – auch von ausserhalb – ist in heutigen Firmen nicht mehr wegzudenken. Dabei spielt es keine Rolle, ob von Konzernen oder KMU die Rede ist. Alle Betriebe haben aufgrund einer immer höheren Anzahl IT-gestützter Prozesse, neuer gesetzlicher Anforderungen und zunehmender Komplexität in den Abläufen und Infrastrukturen mit Sicherheitsbedrohungen zu kämpfen. Zusätzlich stellen rasant wachsende IT-Gefahrenpotenziale wachsende Ansprüche und Herausforderungen an die Security-Abteilungen.

Das Wie ist entscheidend

Wer hier mithalten will und nicht abwartet, bis seine IT-Infrastrukturen Opfer von Cyberkriminellen oder Saboteuren geworden sind, muss die notwendigen aktuellen Sicherheits-Services zur Verfügung stellen können – Antiviren- und Antispamschutz, wie sie mittlerweile zum Basisangebot vieler Internet Service Provider gehören, reichen längst nicht mehr aus. Denn angesichts von sozialen Netzwerken, Cloud-Computing oder virtualisierten Infrastrukturen, um nur wenige Beispiele zu nennen, muss der Schutz der unternehmenseigenen IT-Systeme weit über das blosse Auffinden und Unschädlichmachen von Schwachstellen hinausgehen. Kurz, die Unternehmen stehen heute nicht mehr vor der Frage, «ob» sie eine sichere IT-Infrastruktur aufbauen wollen, sondern müssen vielmehr entscheiden, «wie» sie in ihren Betrieben die vielfältigen IT-basierten Lösungen sicher verfügbar machen wollen.

Alternative zum Selbermachen

Angesichts der rasant bedrohlicher werdenden Sicherheitslage in der IT ist es gefährlich, auf professionelle Unterstützung zu verzichten und einfach den bisherigen, oft eher laxen Umgang mit der IT-Security weiter zu pflegen. Überall dort, wo die IT-In­frastrukturen nicht direkt die Kernkompeten­zen eines Unternehmens ausmachen und der Betrieb sowie der Unterhalt der Security selbst betrieben werden muss, haben sich deshalb speziell qualifizierte Managed Security Service Provider (MSSP) etabliert. Sie decken mit ihren Dienstleistungen den gesamten operativen Security-Bereich ab und adressieren beispielsweise Firmen, deren Unternehmensfokus nicht primär auf der Informatik liegt, die aber dennoch von professionellen Security-Angeboten profitieren wollen. Nicht zuletzt KMU, die in der Regel die Security im Teilzeitjob erledigen lassen und keine Kapazitäten haben, um teure Ressourcen mit Technik und Manpower aufzubauen und zu unterhalten, finden bei den MSSP kompetente Unterstützung. Zudem werden all jene Unternehmen angesprochen, deren Kerngeschäft von garantierter Verfügbarkeit der Infrastrukturen abhängig ist, oder die gängigen Compliance-Anforderungen wie ISO 27001, SAS 70 oder Finma (Eidgenössische Finanzmarktaufsicht) einzuhalten haben. Auch angesichts des Umstands, dass das Recruiting von Security-Spezialisten schwierig geworden ist, empfiehlt es sich, das Management der IT-Infrastrukturen an die Security-Spezialisten eines MSSP ins Auge zu fassen. Sie liefern mit ihren Angeboten ein fundiertes Wissen über Netzwerkmechanismen und Compliance-Vorschriften sowie detailliertes Verständnis der IT-Infrastrukturen und -Komponenten.

KMU sind attraktive Opfer

Unbestritten ist, dass immer mehr Unternehmen mit IT-Bedrohungen zu kämpfen haben. Das ist einer der Gründe dafür, dass in der IT-Branche die Security zu den am schnellsten wachsenden Marktbereichen gehört. Hacker-Angriffe können schnell Millionenschäden verursachen, weil die betroffenen Unternehmen nachträglich Schutzmassnahmen ergreifen müssen und oft zu Schadenersatz verpflichtet werden. So kann etwa für ein KMU ein erfolgreicher Angriff auf die IT-Infrastruktur schnell einmal das Aus bedeuten. Dabei ist grundsätzlich kein Unternehmen zu klein, um Ziel eines Angriffs zu sein. Denn längst haben sich die Cyberkriminellen so aufgestellt, dass sie ganz ähnlich wie andere solide Industrien einen schnellen «Return on Investment» anstreben. Das bedeutet, Hacker suchen ihre Angriffswege dort, wo sie mit dem geringsten Aufwand die wertvollsten Informationen ergattern können. Da viele KMU den Schutz ihrer Infrastrukturen notgedrungen vernachlässigen und die eigenen Ressourcen meistens nicht à jour halten können, sind sie nicht selten attraktivere Opfer für Angriffe als Grossunternehmen.

Ein «typisches Setup» einer auszulagernden Security-Infrastruktur gibt es nicht. Das Outtasking von MSS wird in der Regel für jedes Unternehmen individuell massgeschneidert. Weil bei jedem Kunden die IT-Infrastrukturen spezifische Eigenarten des Unternehmens zu spiegeln haben, müssen die nötigen Security-Services darauf angepasst werden. Unter anderem sind Infrastrukturdesign, Security-Produkte, Verfügbarkeits- und Reaktionszeiten projektspezifisch zu definieren.

Verantwortung nicht teilbar

Obwohl die IT-Sicherheit der Kundenumgebung teilweise oder ganz in den Händen des MSSP liegt, bleibt dennoch der jeweils auslagernde Kunde verantwortlich für das IT-Risk-Management seines Unternehmens. Der MSSP funktioniert gewissermassen als ausführendes Organ für den ausgelagerten operativen Betrieb der Security-Infrastruktur eines Unternehmens. Die Sicherheitsdienste, um ein Bild zu gebrauchen, sind dabei mit Medikamenten vergleichbar: Sie setzen zwar die richtige Diagnose und passende Dosierung eines Arztes voraus, ob aber jemand, der Hilfe braucht, nicht doch lieber eine eigene Therapieform wählt, ist letztlich seine eigene Entscheidung.