IT-Sicherheit als Dienstleistung spart Geld

Die Auswahlkriterien für MSS-Provider im Detail

von - 09.02.2016
Sind die grundsätzlichen Punkte geklärt, lässt sich das Feld potenzieller Service-Partner anhand der folgenden Fragen eingrenzen:
  • Seit wann ist der MSSP tätig?
    2014/2015 waren 40 Prozent der deutschen Unternehmen Opfer von Cyberangriffen (Quelle: KPMG)
    Bei einem Unternehmen, das bereits lange erfolgreich agiert, ist die Wahrscheinlichkeit gering, dass es plötzlich vom Markt verschwindet. „Die Auslagerung an einen MSSP lohnt sich nur, wenn dies für einen längeren Zeitraum erfolgt“, sagt secunet-Manager Müller. „Der MSSP muss über viele Jahre das Sicherheitsniveau aufrechterhalten und verbessern können.“
     
  • Welche Dienstleistungen erbringt der MSSP? Ist er auf preisgünstige Standard-Services oder individuelle Kundenprojekte spezialisiert? „Ein MSSP für standardisierte Services tut sich in der Regel schwer mit individuellen Diensten“, so Müller weiter. „Ein MSSP für kundenspezifische Dienste ist üblicherweise weniger effizient bei der Erbringung von Standard-Services.“ Von großer Bedeutung sei die Fähigkeit, Prozesse des MSSP mit den Prozessen des Kunden zu integrieren, ergänzt Martin Stemplinger von BT: „Im Idealfall beginnt die Arbeit des Providers mit einer Bestandsaufnahme, die auch Bereiche außerhalb der IT einbezieht, um so die Anforderungen definieren zu können.“ Das Portfolio sollte nach Stemplingers Ansicht von standardisierten Services wie Managed Firewall oder Identity Management bis hin zu ausgefeilten Lösungen zur Abwehr von DDoS-Attacken oder dem Erkennen neuartiger Bedrohungen reichen. Neben einem stimmigen Portfolio ist die menschliche Komponente wichtig, meint Sy­man­tec-Stratege Kroll: „Ein Anbieter muss ein ausreichendes Maß an Expertise im Team haben und dies auch in Form von Assessments und Trainings mit dem Kunden teilen.“
     
  • Welche Kundenreferenzen gibt es? Hier ist darauf zu achten, dass die beim Referenzkunden erbrachten Leistungen den Services entsprechen oder zumindest ähneln, die man selbst in Anspruch nehmen will.
    Markus Müller
    Markus Müller
    Bereichsleiter Managed Security Services, secunet Security Networks AG
    www.secunet.com
    „Ein ausführliches Be­ratungsgespräch mit dem zukünftigen Managed-­Security-Service-Provider ist unerlässlich.“

  • Welche Zertifizierungen hat der Dienstleister? Ein wesentliches Dokument ist das ISO/IEC 27001-Zertifikat auf der Basis von IT-Grundschutz. Es weist nach, dass die Systeme im geprüften Unternehmen die Anforderungen der ISO-Norm erfüllen und zusätzlich die Kriterien des IT-Grundschutzes eingehalten werden, wie sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert hat. Auch die Niederlassungen des TÜV – oft selbst Anbieter von Ma­naged Security Services – offerieren eine Reihe von Zertifikaten, die einem Provider eine sichere Infrastruktur und ein vertrauenswürdiges Management bescheinigen, so etwa die Siegel „Trusted Product“, „Trusted Site“ und „Trusted Process“ der TÜV Nord Group (www.tuvit.de) oder die Rechenzentrumszertifizierungen des TÜV Süd. Bei der Überprüfung solcher Siegel muss man jedoch genau hinschauen, sagt BT-Manager Stemplinger: „Es genügt nicht, dass ein Teil des Providers über diese Zertifizierungen verfügt, sondern es sollten konkret die MSS sein.“
     
  • Wie steht es mit Datenschutz und Datensicherheit? Bleiben personenbezogene Daten wie Log-Files in Deutschland oder wenigstens in der EU? Werden die Daten verschlüsselt? Falls ja, wo und mit welchen Algorithmen? Wer besitzt die Schlüssel? Nach dem Safe-Harbor-Urteil des EuGH gehen Unternehmen, die ihre Daten auf Basis dieses Abkommens in den USA hosten, ein hohes Risiko ein. „Es ist davon auszugehen, dass die Verarbeitung von datenschutz­relevanten Daten durch einen MSSP, der nicht explizit die Anforderungen aus dem Datenschutz erfüllt, als nicht zulässig angesehen werden wird. In keinem Fall wird es reichen, wenn ein MSSP die Compliance zu den Safe-Harbor Richtlinien lediglich erklärt“, sagt Markus Müller von secunet. Inwieweit auch MSSP betroffen sein werden, die zwar die Daten in Deutschland oder der EU verarbeiten, aber ihren Stammsitz im EU-Ausland haben, könne noch nicht abgeschätzt werden, so Müller weiter. „Es ist zu befürchten, dass diese MSSP letztendlich dem Auskunftsersuchen ihrer Behörden am Stammsitz nachgeben.“

Fazit

Ohne Sicherheits-Profis dürfte kaum noch ein Unternehmen auskommen, dazu sind die Gefahrenquellen zu komplex und die zu sichernden Infrastrukturen zu unübersichtlich geworden. Mit dem Cloud-Computing ist in den Secu­rity-Services-Markt eine enorme Dynamik und Vielfalt gekommen, die es nicht gerade einfacher macht, das richtige Angebot zu finden.
Um so wichtiger ist es, eine klare Vorstellung vom eigenen Gefährdungsgrad, den unbedingt notwendigen und den nur wünschenswerten Maßnahmen zu haben. Nur dann lässt sich bei der Suche und Beauftragung eines Managed-Security-Service-Providers ein befriedigendes Ergebnis erzielen.
Von einer Vorstellung muss man sich auf jeden Fall verabschieden: Hundertprozentige Sicherheit kann auch der beste MSSP nicht garantieren. Wer dies verspricht, handelt unseriös. Der MSSP der Wahl sollte deshalb nicht nur Abwehrmaßnahmen definieren, sondern auch klar darlegen können, was er im Fall eines erfolgten Cybereinbruchs zu tun gedenkt.
Seite
  1. Teil: IT-Sicherheit als Dienstleistung spart Geld
  2. Teil: Eigene Security Operation Center rechnen sich nicht
  3. Teil: Managed Security Services - was genau ist das?
  4. Teil: Die wesentlichen Vorteile von MSS-Lösungen
  5. Teil: Gefahren des Outsourcings von IT-Security-Aufgaben
  6. Teil: Leistungskatalog für den passenden MSS-Provider
  7. Teil: Die Auswahlkriterien für MSS-Provider im Detail
  8. Teil: „Von einem hybriden Modell rate ich ab“
Verwandte Themen

Mehr zum Thema