Security-Services im Griff dank Itil

06.06.2006
Von Michael Kuschke
Lagert ein Unternehmen Sicherheitsfunktionen aus, ist ein nachvollziehbares Vorgehen gefordert. Hier erweist sich der Security-Management-Prozess der Information Technology Infrastructure Library (Itil) als hilfreich.
Neben Planung, Implementierung, Evaluierung und Betrieb spielt die Kontrolle eine wichtige Rolle im Zyklus des Security-Managements gemäß Itil.
Neben Planung, Implementierung, Evaluierung und Betrieb spielt die Kontrolle eine wichtige Rolle im Zyklus des Security-Managements gemäß Itil.

Wer sich für Managed Security Services (MSS) entscheidet, vergibt damit eine essenzielle Aufgabe seines Unternehmens an einen Externen. Die IT greift zunehmend zu diesem Mittel: Denn viele, vor allem kleinere IT-Abteilungen können ein adäquates Sicherheitsniveau aufgrund der komplexen Zusammenhänge heute nicht mehr selbst gewährleisten. Die Situation ist vergleichbar mit dem Beauftragen eines Wachdienstes, der einen Unternehmensstandort mit Gelände und Gebäuden schützen soll: Auch hier müssen die Auftraggeber den angemessenen Schutz mit einem begrenzten finanziellen Budget in Einklang bringen.

Hier lesen Sie …

Fazit

Die Itil-Prozesse und Best-Practice-Vorgaben stellen ein sinnvolles Modell dar, wie Anbieter von IT-Sicherheitsdienstleistungen und Kunden beziehungsweise Anwender zusammenarbeiten können. Itil überlässt es jedoch anderen Standards, die Details dieser Zusammenarbeit zu regeln. Ähnlich den übrigen Bereichen des IT-Service-Managements gibt Itil den Rahmen vor, wie Organisation und Prozesse im Sinne der Best Practices optimal betrieben werden können. Wichtig für Unternehmen ist es, Sicherheit als einen Prozess zu begreifen und nicht die Anforderungen als eine Menge von oftmals reaktiven und wenig zusammenhängenden Einzelmaßnahmen umzusetzen. Dies gilt insbesondere für das Outsourcing einer Sicherheitsdienstleistung im Sinne von Managed Security Services.

Mehr zum Thema

www.computerwoche.de/

577044: ISS will verstärkt Security-Services anbieten;

557779: Sicherheit à la Itil;

549448: Outsourcing will gut vorbereitet sein.

Aufgrund der Sensibilität des Themas Sicherheit sind mit jedem einschlägigen Dienstleister eine Reihe von Vereinbarungen notwendig, die einen geeigneten Rahmen schaffen. Geht es um IT, kann das Regelwerk IT Infrastructure Library (Itil) eine Hilfe sein. Es beschreibt auch einen Prozess des Security-Managements. Die Best Practices für das Security-Management sind im violettfarbenen Band der Itil-Bücher beschrieben.

Der Itil-Security-Management-Prozess orientiert sich am so genannten Deming-Vorgehen des "Plan - Do - Check - Act" (Planen, Umsetzen, Kontrollieren, Handeln). Im Security-Management heißt dieser Zyklus "Plan - Implement - Evaluate - Maintain" (Planen, Implementieren, Evaluieren, Betreiben) und wird zusätzlich um den Prozess "Control" für die Überwachung erweitert (siehe Abbildung "Der Security-Management-Prozess nach Itil"). Itil lässt allerdings offen, welche Maßnahmen sinnvoll sind und wie das Risiko-Management im Einzelnen ausgestaltet werden sollte. Das Regelwerk verweist hier auf andere Standards wie BS 7799 beziehungsweise ISO 17799, die in Zukunft in ISO 27001 und folgenden Standards aufgehen werden.

Für Daten wird dabei das Sicherheitsniveau nach dem bekannten "CIA"-Prinzip angewendet:

• Confidentiality: Schutz vor unautorisierter Kenntnisnahme;

• Integrity: Richtigkeit, Vollständigkeit und korrekter Zeitpunkt;

• Availability: Verfügbarkeit.

Sicherheit als Teil der IT-Dienste festschreiben

Betrachtet man, wie Itil das Outsourcing von Sicherheitsdienstleistungen verbessern kann, ist der Ansatz, Sicherheit als Teil der (IT-)Dienste zu betrachten und in alle operativen wie planerischen Prozesse einzubeziehen, von größerem Interesse. Hierbei wird der Prozess zum Management von Security aus der Sicht des IT-Dienstleisters betrachtet.

Die Festlegung von Sicherheitsanforderungen beginnt bei der Definition der Dienstleistungen - also bereits beim Service-Level-Management. Gemäß Itil beschreiben Service-Level-Agreements (SLAs) die zwischen Dienstleister und Anwender beziehungsweise Kunde verabredeten Leistungen. Auf das Wachdienstbeispiel bezogen könnte dies die Zahl der Rundgänge pro Nacht und eine Verfahrensanweisung zur Überprüfung der Türen sein. Jedes SLA definiert unter anderem auch das Sicherheitsniveau einschließlich der jeweiligen Obliegenheiten und Rechte. Hierzu tragen beide Seiten ihren Teil bei: Jedes vom Anwender geforderte Sicherheitsniveau schlägt sich unweigerlich im Preis nieder.

Fordert der Kunde beispielsweise die Überprüfung des eingesetzten Personals nach vorgegebenen Kriterien, so muss klar sein, dass sich sowohl die Überprüfung als auch das gegebenenfalls teurere Personal auf die Kosten für den in Anspruch genommenen Dienst auswirken. Ferner kann kein Dienstanbieter einen vereinbarten Sicherheits-Level ohne die Mitarbeit der Anwender sicherstellen. Gehen die Mitarbeiter beispielsweise fahrlässig mit ihren Zugangsdaten um, kann der externe Dienstleister das nicht kompensieren.

Change-Management ist sicherheitsrelevant

Ist das Sicherheitsniveau in den SLAs festgeschrieben, muss es auch in den anderen Prozessen seinen Niederschlag finden. Hierbei spielt das Change-Management eine zentrale Rolle. Erforderlich ist zum einen die Integration in den allgemeinen Change-Management-Prozess, zum anderen die Nutzung stringenter Change-Prozesse, wenn Veränderungen an den Sicherheits-Dienstleistungen anstehen. Als Teil des Change-Prozesses muss bei allen anstehenden Veränderungen geprüft werden, ob der festgelegte Sicherheits-Level nachher noch gewährleistet ist.

Insbesondere bei Änderungen im Zuge von Notfällen, die häufig selbst durch sicherheitsrelevante Ereignisse (zum Beispiel einen unberechtigten Zugriff durch eine Lücke in der Firewall) ausgelöst werden, sind die Sicherheitsmaßnahmen im anschließenden Review wieder an die ursprünglich vereinbarten Sicherheitslevels anzupassen.

Im Zuge des Security-Management-Prozesses nach Itil bedeutet dies, eine Überprüfung der Sicherheitsmaßnahmen und gegebenenfalls ihre Anpassung. Die verantwortlichen Personen müssen dies im Rahmen der Aufgabe Steuerung ("Control") sicherstellen.

Sicherheit und Wirtschaftlichkeit abwägen

Die eigentliche Sicherheitsdienstleistung, beispielsweise das Bereitstellen einer Managed Firewall, erfordert zwingend einen eigenen, kontrollierten Change-Prozess. Darin sollten unter anderem eine entsprechende Dokumentation und ein geeignetes Reporting enthalten sein. Sind bei der Firewall etwa Ports oder weitere Zielsysteme freizuschalten, ist ein geeigneter Prozess zu definieren. Dieser stellt zum einen sicher, dass nur berechtigte Personen die nötigen Aufträge erteilen. Zum anderen muss der Prozess so flexibel sein, dass auch kurzfristige Reaktionen auf Änderungen möglich sind. Als Vorlage für solche speziellen Change-Prozesse empfehlen sich angepasste Prozessmodelle aus der Best-Practicesammlung der Itil.

Neben der Integration des Security-Managements in die Service-Level-Management- und Change-Management-Prozesse gemäß Itil sind auch alle anderen Itil-Disziplinen mehr oder weniger stark betroffen. Jeder Prozess hat zur Aufgabe, das vorgegebene Sicherheitsniveau aufrechtzuerhalten. So stellt beispielsweise der Prozess des Verfügbarkeits-Managements nach Itil den notwendigen und wirtschaftlichen Grad der Verfügbarkeit von IT-Diensten im Normalbetrieb sicher. Dabei müssen beispielsweise Verfügbarkeit und Wirtschaftlichkeit mit den Sicherheitszielen abgestimmt sein: Eine hohe Verfügbarkeit bedeutet höhere Kosten. Welche Relation gewünscht ist, muss dem Bedarf des jeweiligen Unternehmens entsprechen. (ave)