Chaos im Security Management: Ist Outsourcing die Lösung?

ZDNet: In den Prospekten Ihres Unternehmens heißt es, dass ein Managed Security Service „nur dann wirklich effektiv sein kann, wenn er an spezielle Geschäftsbedingungen und deren Weiterentwicklung angepasst ist.“ Wann ist ein MMS besser geeignet als gekaufte und intern eingesetzte Software? Mit anderen Worten: Handelt es sich hierbei um einen Versuch, die Managed Security Services anzupreisen, ohne dabei Ihrem Geschäft mit Security-Software zu schaden?




Johnson: Wir unterscheiden strikt zwischen diesen beiden Angeboten. Der Service arbeitet unabhängig mit den Systemen verschiedener Anbieter, darunter auch Symantec. Diesen Bereich behandeln wir in gewisser Weise separat: Was auch immer der Kunde für sein Geschäft oder seine speziellen Anforderungen benötigt, wir führen es für ihn aus. Wir fangen bei unseren Kunden nicht mit Systemen anderer Anbieter an, um sie dann von einem Symantec-Produkt zu überzeugen. Das kommt bei uns nicht vor.

Was uns bei den meisten Kunden begegnet, ist die folgende Situation: Sie haben die entsprechenden Software-Lösungen, Firewalls und Intrusion Detection-Systeme gekauft. Wenn sie dann jedoch beginnen, die Intrusion Detection-Daten ernsthaft auszuwerten, stellen sie fest, dass das Problem ihre Fähigkeiten bei Weitem übersteigt und dass mehr Zeit und Ressourcen nötig sind, als sie für den Einsatz der Anwendungen aufwenden wollten. Da gehen auf einmal zehntausend Warnmeldung gleichzeitig ein, von denen nur fünf vermutlich ernst zu nehmen sind und nur zwei tatsächlich umgehende Maßnahmen erfordern. Das Problem ist dabei, dass Sie weder die Zeit noch die Ressourcen haben um herauszufinden, welche der Meldungen wirklich relevant sind. Also brechen Sie in planlose Hektik aus oder Sie tun einfach gar nichts. Denn auch das kommt häufig vor: Die Software wird installiert und beginnt Warnmeldungen auszuspucken, auf die niemand reagiert, weil keiner weiß, was zu tun ist.

Als schließlich Managed Security Services von annehmbar großen Unternehmen angeboten wurden, sagten sich die Kunden: „Wir müssen uns auf unsere Tätigkeit konzentrieren. Unser Kerngeschäft ist – was auch immer – jedenfalls nicht Systemsicherheit. Wir müssen also in unserem Kerngeschäft am Ball bleiben und unsere Ressourcen hierfür einsetzen. Dann werden wir unsere verbleibenden Security-Mitarbeiter zur Anpassung der Security-Architektur an die geplanten neuen Anwendungen und Prozesse für E-Commerce oder Unternehmensstrukturen einsetzen. Dabei werden wir dafür sorgen, dass diese sich fachlich bestens auskennen, so dass wir in der Lage sind, Anfragen unseres mit dem Security-Management beauftragten Partners optimal zu beantworten und entsprechende Schritte zur Umsetzung jeglicher Maßnahmen auszuführen.“

Wir hatten damit gerechnet, dass vor allem Unternehmen mittlerer Größe auf Outsourcing zurückgreifen würden. Mittlerweile betreuen wir 55 Fortune 500-Unternehmen, Tendenz steigend. Darunter sind auch viele große Versicherungen. Nach den Gründen für ihr Outsourcing gefragt, argumentierten diese: „Wir kennen uns bestens im Risiko-Management aus. Wenn wir ein Risiko mit einem Experten teilen können, so dass wir uns um das Versicherungsgeschäft kümmern können, während dieser unser Sicherheitsrisiko beseitigt, weshalb sollten wir das nicht tun?“

ZDNet: Heutzutage verlagern Unternehmen ihr Geschäft zunehmend auf Telearbeiter mit mobilem Netzwerk-Zugriff. Inwiefern erschwert dies die Absicherung der Unternehmen?

Johnson: Erheblich. Viele Unternehmen lagerten Tätigkeiten aus, ohne sich zu fragen, welche Auswirkungen dies auf ihr Netzwerk haben könnte. Sie gingen dabei allein nach kaufmännischen Gesichtspunkten vor: Was kostet mich dieser Vorgang und welches Ergebnis bringt er? Dabei ließen sie völlig außer Acht, dass all die neu gekauften PDAs echte Daten empfangen, die man mit der entsprechenden Ausstattung abfangen kann.

Was wir zunehmend feststellen: Wir setzen uns in die Empfangshalle eines Unternehmens und schalten dort ein kleines Tool ein. Mit diesem können wir mobile Übertragungen abfangen, ohne dass der Kunde es bemerkt. Eine Infrarotschnittstelle wird auf einen Empfänger ausgerichtet und sendet Daten an diesen. Doch wer kann diese Daten sonst noch empfangen? Viele Unternehmen sind sich nicht bewusst, dass an einen bestimmten Empfänger gerichtete Übertragungen auch von zahlreichen anderen Personen und Geräten empfangen werden können.

Mobile Anwendungen verleihen dem Begriff der Abgrenzung eine völlig neue Bedeutung. Als man noch mit Firewalls und einem Netzwerk arbeitete, konnte man in gewisser Weise sagen: „Die Grenze verläuft um unser Netzwerk.“ Vor ungefähr einem Jahr erkannten wir schließlich, dass die Grenze um die Netzwerke unserer Kunden verläuft, da diese mit unserem Netzwerk verbunden sind. Und heute gibt es überhaupt keine Abgrenzungen mehr. Es geht zu wie im Wilden Westen. Daher muss vom Client über den Gateway bis hin zum Server jede Ebene hinsichtlich ihrer wichtigsten Bedrohungen und Schwachstellen abgesichert werden.

 

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Chaos im Security Management: Ist Outsourcing die Lösung?

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *