Thought Leadership
Das kürzlich in Kraft getretene IT-Sicherheitsgesetz ist besonders für kritische Infrastrukturen als Herausforderung zu werten: Ob Krankenhaus oder Behörde, völlig neue Konzepte müssen aufgesetzt werden, die mit einem Zeit- und oftmals auch erheblichem Kapitalinvestment gleichgesetzt werden.
Doch wenn sich die Alarme der Firewalls häufen, Anomalien und verdächtige Vorgänge im Netzwerk angezeigt werden, ist jeder verantwortliche Administrator dankbar für technologische Unterstützung bei der Sammlung von wichtigen Informationen zu Angriffen und Gefahren. Bislang jedoch berät er sich mit seinen Kollegen darüber, ob die Geschäftsführung bei Angriffen informiert, ein Budget für einen Audit beantragt oder doch erstmal abgewartet werden sollte, obwohl die Gefahren und Bedrohungen täglich steigen. Eine Lösung im Sinne einer nationalen oder regionalen Sicherheitsstrategie ist das allerdings nicht.
Wann sollten Spezialisten das Ruder übernehmen?
Die erfolgreichsten Geschäftsmodelle orientieren sich am maximalen Kundennutzen. Güter und Dienstleistungen werden maßgeschneidert geliefert, sind zeitlich stets verfügbar und hinsichtlich ihrer Kosten der Nutzungsdauer angepasst, also zum Beispiel geleast. In vielen IT-Umgebungen werden die netzwerk- und sicherheitsrelevanten Bereiche als Querschnittsmaterie eher nebenher „mitgemacht“. Das erkennt der Auditor oder Pen-Tester dann auch an Fehlkonfigurationen und dem Vorhandensein längst bekannter Schlupflöcher. Antiviren-Software und Firewall-Systeme werden selbst betreut, aber die Anforderungen steigen massiv. Auch wenn die Produkte immer mächtiger werden, oft gaukeln sie hohe Sicherheitslevels vor, die aus verständlichen Gründen nicht nachhaltig sind. Spätestens bei der Analyse sogenannter Advanced Persistant Threats, beim Einsatz von Honey-Pot-Systemen und bei der Korrelierung der Log-Daten oder bei forensischen Untersuchungen sollten Spezialisten das Ruder übernehmen.
Bei Angriffen und schwerwiegenden Vorfällen reichen die Kenntnisse sowie Personal-Ressourcen jedoch meist nicht mehr aus und externe Anbieter sind – ebenso wie bei Pen-Tests und Audits – gefordert. Die Gefahr von Insellösungen ohne Mehrwerte steigt, die Anzahl der Berater und Lieferanten nimmt zu – es entsteht eine Ansammlung zu vieler Dienstleister und Produkte, die nicht kompatibel und kostenineffizient sind, verschiedene Ansätze verfolgen oder dank stark wechselndem Personal eher zu Mehrkosten und gestiegenen Fehlerraten statt zu weniger Cyber-Bedrohungen führen.
Ausweg: Managed Security Services
Vertrauenswürdige IT-Dienstleister, die über nachweisbares Know-how und einschlägige Erfahrung verfügen, bieten eine eingespielte Infrastruktur (Help-Desk), ein attraktives Leistungsportfolio (variable Abrechnungssysteme bis hin zur 24/7-Bereitschaft) und einen direkten Draht zu den Software-Herstellern, die die notwendigen Lösungen für den Schutz des Unternehmens führen. Spätestens bei der Analyse von Log-Daten oder bei forensischen Untersuchungen wird offensichtlich, dass auch das Firewall Management oder die Verschlüsselungssysteme womöglich in professionelle Hände gehören. Manchmal genügt es auch nicht, sich „sicher zu sein“, sondern man muss dies auch nachweisen. Mit dem neuen IT-Sicherheitsgesetz wird genau das auch jeder kritischen Infrastruktur abverlangt. Gerade diese IT-Umgebungen sollten hochsicher und redundant ausgelegt sein. Ein Partner, der alle Bereiche der IT-Security abdeckt, darüber hinaus über Projektmanagement-Fähigkeiten verfügt und die Wertschöpfungskette bis zum „bitteren Ende“ (Stichwort „Business Continuity Management“) abdeckt, ist zunehmend schwer zu finden – vor allem dann, wenn er auch auf geringere Budgets eingehen soll.
Managed Security Services bilden hier einen Ausweg, der allerdings einen vertrauenswürdigen Dienstleister voraussetzt. Dabei werden alle Aufgaben, die zum Aufbau und zur Wahrung des vollumfänglichen IT-Schutzes erforderlich sind, ausgelagert. Nicht nur bei echten Notfällen, sondern auch für die täglichen Checks, Regeländerungen sowie die Überwachung greift ein Admin dabei aus der Ferne (per Remote) auf die Unternehmenssysteme zu und steuert wichtige Aufgaben wie bspw. das Vulnerability-Management und den Honey-Pot-Betrieb, das Power-Management und den Eingriff bei eventuellen Alarmierungen, das Security Information und Event- sowie das Log-Management oder auch die Aufrechterhaltung des Schutzes bei Advanced Persistent Threats.
Bereits vorhandenes Know-how abrufen
Für kritische Infrastrukturen bringt das einige Vorteile mit sich: Statt die IT-Mannschaft entweder aufstocken oder mit zu viel Arbeit belasten zu müssen, können Ressourcen auf andere wichtige Projekte sowie Planungen aufgeteilt und damit nicht nur Zeit, sondern auch Budgets eingespart werden. Auch das erforderliche Know-how liegt beim Dienstleister bereits vor und ist somit nicht mehr alleinige Sache der internen IT-Abteilung. Durch vorher festgelegte Konzepte und durchgespielte Szenarien muss zudem nicht mehr auf die Freigabe einer Geschäftsleitung oder ähnliches gewartet werden, bis ein notwendiger Eingriff möglich ist – und dann direkt durch das Help-Desk durchgeführt werden kann.
Bei aller Verwaltung von außen: Komplett frei von Verantwortung ist ein Unternehmen oder das Umfeld einer kritischen Infrastruktur dennoch nicht. Ein Ansprechpartner aus der IT-Abteilung muss für den Bedarfsfall bereitgestellt werden – ebenso wie die passenden Software-Lösungen. Bei Letzterem allerdings kann auch auf externe Beratung gesetzt werden, und zwar bestenfalls durch denjenigen, der später für die Lauffähigkeit der Systeme verantwortlich zeichnen soll.
Jürgen Kolb, Managing Director iQSol GmbH
