Das Outsourcing von Sicherheitsanwendungen in die Cloud hat ohne Zweifel Vorteile. Aber die Schmidt + Clemens GmbH & Co. KG (S+C) begegnet ihm jedoch mit Skepsis. Trotzdem lässt er die Infrastruktur extern betreiben.
S+C fertigt Systeme aus Edelstahlguss und Schmidekomponenten. Foto: S+C
Für S+C gehört Sicherheit mit ihren Ausprägungen in die eigene Obhut. Das über 130 Jahre alte Familienunternehmen, Hersteller von Systemen aus Edelstahlguss und Schmiedekomponenten, baut deshalb auf eine eigene IT-Sicherheitsinfrastruktur. Sie wurde allerdings mit externer Unterstützung durch einen Sicherheitsdienstleister konzipiert und errichtet. Von diesem Serviceunternehmen lässt S+C sie auch betreiben betreiben und kontinuierlich weiterentwickeln.
Mangelnde Transparerenz
Die Abneigung gegen eine externe Security-Verantwortung ist tief verwurzelt. Als das Thema "verlässliche IT-Sicherheits-Infrastruktur" vor zweieinhalb Jahren akut wurde, zweifelte Thomas Taterra, Leiter der Informationstechnologie bei S+C, keinen Moment: "Managed Security Services aus einer Cloud zu beziehen, war für unser Unternehmen nie ein Thema gewesen." Und dies, obwohl das Unternehmen genau darauf achtet, dass sich die Kosten für die höhere Sicherheit der Geschäftsdaten stets in engen Grenzen halten.
"Aus unserer Sicht kann ein externer Cloud-Anbieter zwar vertraglich verpflichtet werden, die geforderten Sicherheitsmaßnahmen einzurichten und zu betreiben", erläutert Taterra, "aber welche Sicherheitslücken dort durch mangelnde technische Vorkehrungen oder durch unzureichende personelle Überwachung tatsächlich entstehen, das hätte sich unserer Kenntnis entzogen." Solche Risiken haben durch die virtualisierte IT, die dem Cloud Computing zugrunde liegt, noch zugenommen. "Damit hätten wir zu keiner Zeit gewusst, wo innerhalb der externen Wolke die für unsere Sicherheit relevanten Daten verarbeitet und abgelegt werden - vielleicht sogar zwischenzeitlich auf Servern und Speichern im Ausland", erläutert der IT-Leiter.
Eine zentrale Sicherheitsstruktur
Eine eigene, professionell ausgerichtete Sicherheits-Infrastruktur war und ist S+C schon aus einem Grund wichtig: Die Informationen im Produktionsumfeld, die global im Zugriff stehen müssen, sind äußerst geschäftskritisch und hoch sensibel. Dazu zählen Daten zu den verwendeten Materialien, zu Produktionsverfahren und zu Patenten.
Die Private Cloud des Unternehmens umfasst, neben der Zentrale in Lindlar bei Köln auch Standorte in Großbritannien, der Tschechischen Republik, in Spanien, Malaysia, Saudi-Arabien und Brasilien. Für die richtige Ausrichtung und Bestückung der Sicherheitsinfrastruktur holte S+C den Sicherheitsspezialisten Twinsec ins Haus, der damalige Status-quo ausgiebigen Penetrationstests unterzog.
Mögliche Bedrohungen von innerhalb und außerhalb des Unternehmensradius wurden simuliert, um den technischen Sicherheitslücken im Einzelnen auf die Spur zu kommen. "Anschließend wurde jede mögliche Bedrohung mit direkt oder indirekt spürbaren finanziellen Folgen für das Unternehmen ins Verhältnis zu den Aufwendungen für die technischen und personellen Sicherheitsvorkehrungen gesetzt", so Twinsec-Geschäftsführer Michael Sieben: "Der Zugewinn an Sicherheit und der damit verbundene Aufwand müssen für S+C im budgetvertretbaren Verhältnis stehen."
Aus den Ergebnissen der Schwachstellenanalyse wurde das Sicherheitskonzept für den globalen Geschäftsauftritt von S+C erstellt und eine in Lindlar zentralisierte Sicherheitsinfrastruktur formiert. Dazu gehören saubere Netzstrukturierung, Firewalls, Anti-Virus- und Anti-Spam-Schutz, Content-Analyse, Geräte-Kontrolle, VPNs (Virtual Private Networks) und abgesicherte, weltweite WLANs. Nur der Viren- und Spam-Check für E-Mails wird außerhalb der Stuktur, am Standort Kaiserau, vorgenommen. Den Empfängern an den einzelnen Standorten werden die elektronischen Nachrichten und Anhänge anschließend über stark verschlüsselte VPNs zugestellt.
10 Tipps für Ihre Sicherheit
10 Tipps für Ihre Sicherheit Das Thema Sicherheit wird in Firmen oft noch bagatellisiert. Lesen Sie hier, wie Sie das Risiko einfach senken können.
Tipp 1: Führen Sie eine Risikoanalyse durch Es gibt zwar keine absolute Sicherheit, aber Planung ersetzt den Zufall und den Unfall durch Irrtum. Durch eine Risikoanalyse erlangen Sie selbst zumindest etwas Klarheit über mögliche Gefahren, und gehen nicht blind und ungeschützt Risiken ein. Wertvolle Hinweise auf was Sie dabei achten müssen, erhalten Sie zum Beispiel über http://www.nifis.de (NIFIS-Siegel) oder über das Bundesamt für Informationssicherheit (BSI). Auch ein Blick in das Bundesdatenschutzgesetz (BDSG), speziell §9 und dessen Anlage helfen weiter.
Tipp 2: Informationssicherheit beginnt von oben Vorgesetzte müssen in punkto Informationssicherheit voranschreiten und eine Vorbildfunktion erfüllen. Allerdings dürfen die Mitarbeiter nicht überrannt und mit Vorschriften "drangsaliert" werden. Vielmehr müssen ihnen Sicherheitsgefahren und -probleme immer wieder angemessen bewusst gemacht werden. Die Maßnahmen sollten dabei benutzerfreundlich und fehlertolerant sein. Mitarbeiter dürfen dies nicht als bloße Schikane empfinden.
Tipp 3: Passwörter und Benutzernamen einrichten Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon alleine aus dem Bundesdatenschutzgesetz (Nummer 5 der Anlage zum §9 BDSG) und den Regeln der ordnungsgemäßen Buchführung. Je größer die Mindestlänge ist, desto sicherer ist das Passwort. Beachten Sie aber, dass zu viele Stellen oder die Forderung nach sehr kryptischen Passwörtern eher kontraproduktiv ist, wenn aus technischer Sicht auch wünschenswert.
Tipp 4: Virenscanner und Firewall sind ein Muss Ohne Virenscanner und mindestens eine Firewall zwischen Internet und Intranet darf heute kein IT-System mehr betrieben werden. Denken Sie auch daran, dass diese Systeme auf jedem Rechner aktuell vorgehalten werden und regelmäßig kontrolliert werden müssen. Darüber hinaus sollten Unternehmen nicht von der irrigen Annahme ausgehen, dass der alleinige Einsatz dieser Systeme ihre Datenverarbeitung und geschäftskritischen Anwendungen sicher macht. Diese Maßnahmen heben die Angriffshürde zwar an, verhindern aber eben nicht alle Arten von Attacken.
Tipp 5: Daten regelmäßig sichern Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Firmen sollten ferner der Versuchung widerstehen, die Datensicherungen im Serverraum zu lagern.
Tipp 6: Erstellen Sie einen Notfallplan In einem Notfallplan sollten Firmen klar regeln, welche Maßnahmen in welchem Schadens-, Fehler- oder Angriffsfall von wem unternommen werden. In diesem Notfallplan sollten ferner alle wichtigen Telefonnummern stehen, zum Beispiel die des IT-Dienstleisters oder Hardwarelieferanten. Nur wenn vorher definiert ist, wer was wann macht und machen darf, ist eine schnelle und verlustarme Reaktion auf Vorfälle möglich.
Tipp 7: Private E-Mail- und Web-Nutzung regeln Unternehmen sollten für die private E-Mail- und Web-Nutzung ihrer Mitarbeiter auf Basis der Firmeninfrastruktur gemeinsam mit dem Betriebsrat eine entsprechende Betriebsvereinbarung erstellen. Der Ausschluss der privaten Nutzung ermöglicht weitgehende Filtermöglichkeiten, um Angriffswege über E-Mail oder infizierte Web-Seiten zu verhindern.
Tipp 8: Mobile Datenträger absichern Mobile Datenträger wie Laptops, USB-Sticks oder auch Smartphones sind notwendige Arbeitswerkzeuge, die in der IT-Security-Strategie des Unternehmens unbedingt Berücksichtigung finden müssen. Ein Verbot wäre wenig sinnvoll. Unternehmen sollten diese Geräte aber vor Verlust unter dem Aspekt der mobile Security sichern. Dies geschieht am einfachsten durch Verschlüsselung der Datenspeicher, soweit möglich.
Tipp 9: Server und Netzwerk schützen Die physikalische Infrastruktur ihres Unternehmens, das heißt, Server, Netzwerk, etc., sollte der Wichtigkeit entsprechend gesichert sein. Ein Server in der Besenkammer lädt zum Missbrauch ein. Auch ist eine sichere Betriebsumgebung schon alleine aus technischen Gründen notwendig. Firmen sollten auch überdenken, welche Personenkreise Zugang zu diesen Räumen haben sollen. Der "normale" Mitarbeiter benötigt keinen physikalischen Zugriff auf die Server, externe Wartungstechniker sollten überwacht werden.
Tipp 10: Zugriffsregel erleichtern Adminstration Das Erstellen von Zugriffsregeln für Firmendaten auf den Servern fordert schon Punkt 3 der Anlage zum § 9 BDSG. Es ist aber auch nicht einzusehen, wieso jeder Mitarbeiter Zugriff auf alle Daten haben soll. Unternehmen sollten deshalb klare Sicherheitskonzepte mit Gruppenregeln definieren, welche die Administration vereinfachen.
Security-Mechanismen in Arbeit
S+C hat seinen Hauptsitz in Lindlar bei Köln. Foto: S+C
Auf dieser Sicherheitsbasis will Taterra bald weitere Security-Mechanismen wie IdM (Identity Management), SSO (Single Sign-on) sowie SIEM (Security Information and Event Management) aufbauen können. Für die Installation dieser Sicherheitsanwendungen und anschließend für ihren Betriebs sowie ihre beständige Aktualisierung und Weiterentwicklung wird wiederum Twinsec verantwortlichsein.
S+C ist sich der Qualität des Zusammenspiels von IT-Sicherheits-Infrastruktur und flankierenden Sicherheitsdiensten heute schon sicher. Das belegt die ISO 27001-Zertifizierung, auf die das Unternehmen gemeinsam mit seinem Sicherheitsdienstleister zielstrebig hinarbeitet.
Die Komplexität der Sicherheitsinstallation ist allerdings nicht geringer geworden. Ganz im Gegenteil! Der damit verbundene Aufwand war für Taterra ein Grund mehr, die Komplettbetreuung in externe Hände zu legen: "Dies alles mit eigenen Sicherheitsspezialisten zu bewerkstelligen, wäre für uns mit viel zu hohen Kosten verbunden gewesen." Das liegt unter anderem daran, dass die meisten der Sicherheits-Tools proprietärer Natur sind. Sie müssen einzeln mit viel Spezialwissen unter herstellerspezifischer Oberfläche sowie mit anbietereigenen Funktionen und administriert werden.
Die beliebtesten Security-Suiten
G Data InternetSecurity 2012 G Data InternetSecurity 2012 gehört der diesjährigen neuen Genaration von Security-Suiten an. Noch immer bietet die Software Anti-Malware, Anti-Spam und eine Zwei-Wege-Firewall. In Version 2012 wurde das Outlook-Plugin überarbeitet, das für Spam- und Malware-Erkennung zuständig ist. Weiterhin liegt dem Paket eine Jahreslizenz für G Data MobileSecurity bei, mit der sich Android-Smartphones überwachen lassen.
Panda Internet Security 2012 Panda Security hat seine Security Suite konsequent weiterentwickelt. Die Version Panda Internet Security 2012 setzt noch stärker auf die Cloud als bisherige Versionen der Software. Da alle Nutzer gemeinsam Informationen über das Verhalten von potenzieller Schadsoftware sammeln und diese Informationen in der Cloud geteilt werden, soll ein noch besserer Schutz vor unbekannten Bedrohungen gewährleistet sein. Die integrierte Firewall bietet in der aktuellen Version eine verbesserte Überwachung von WLAN-Netzwerken. Eine virtuelle Tastatur macht das Eingeben von Login-Daten sicherer. Zudem gibt es die Option den Browser in einer Sandbox auszuführen, dadurch soll die Sicherheit beim Surfen steigen. Der Multimedia-Modus sorgt für eine geringe Systembeeinträchtigung beim Betrachten von Videos, Hören von Musik oder beim Spielen.
Avira Internet Security 2012 Avira Internet Security 2012 bietet Rundumschutz für das heimische System. Neben dem bekannten Antivirus-Modul, sind auch Tools gegen Phishing- und Spam-Attacken an Bord. Zusätzlich hilft Avira Internet Security 2012 bei der Datensicherung und besitzt überdies noch eine Kindersicherung. Mit dieser überwachen Sie die Internetaktivitäten des Nachwuchses. Sollten trotz FireWall, Drive-by-Download-Schutz und Echtzeit-Programm-Scanner doch einmal Schadcode auf den Rechner gelangen entfernen Sie diesen bequem und automatisch mit Hilfe der Generischen Reparatur. Für den schlimmsten Fall ist ein Rescue-System mitgeliefert, so retten Sie wenigstens Ihre Dokumente und Dateien. Dank weiter reduzierter Hardwareanforderungen soll Avira Internet Security 2012 auch problemlos auf Netbooks oder ähnlich schwachen Rechnern laufen.
Kaspersky Internet Security 2012 Mit der der Generation 2012 halten nun auch in der Kaspersky Internet Security Cloud-Funktionen Einzug. Das Kaspersky Security Network getaufte System lässt sich optional zuschalten und schickt Informationen über erkannte Bedrohungen, laufende Programme uvm. an Kaspersky Lab, wo die gesammelten Daten aller Programmteilnehmer ausgewertet werden. Auf diese Weise finden Warnungen zu etwaigen Schadprogrammen schneller den Weg zum Anwender, als es über normale Virensignatur-Updates der Fall wäre.
BitDefender Total Security 2011 Das Komplettpaket von BitDefender, Total Security 2011, soll vor allen gängigen Gefahren durch Malware, Hacker, Phising und Co. schützen, bietet jedoch auch zusätzliche Funktionen wie die Kindersicherung, Backup-Features und selbst eine Leistungsoptimierung an, die gängige Tune-up-Programme zu ersetzen vermag.
Symantec Endpoint Protection Symantec Endpoint Protection soll eine umfangreiche Sicherheitslösung für Endgeräte sein. Die Security Suite kann sowohl auf virtuellen Systemen, als auch auf physischen genutzt werden. Die unterschiedlichen Schutzmechanismen werden in eine gemeinsame Verwaltungkonsole integriert um die Administration der Sicherheitssysteme zu erleichtern. Die Symantec Endpoint Protection umfasst Antiviren-Funktionalität, Anti-Spyware-Tools, eine Firewall, ein Intrusion Prevention System sowie eine Anwendungsverwaltung. Die Security Suite ist sowohl für Windows als auch für Mac Betriebsysteme verfügbar. Symantec verspricht Umsteigern eine nahtlose Migration auf das neue System. In der aktuellen Version ist besonders der Schutz der virtuellen Systeme verbessert worden. Die Hardwareanforderungen sind moderat. Ein 1,0 GHz-x86-Prozessor in Verbindung mit 512 MByte Arbeitsspeicher sind ausreichend. Intel Itanium CPUs oder PowerPC Geräte werden nicht unterstützt. Auf der Festplatte belegt Symantec Endpoint Protection 900 MByte Speicherplatz. Die Preise für die Security Suite sind sehr stark von Ihren Bedürfnissen abhängig, umfangreiche Informationen finden Sie auf der Symantec Webseite. Dort finden Sie auch eine Testversion zum Herunterladen. Auch Zugang zur Symantec Connect Online Community ist auf der Herstellerwebseite zu finden.
Kaspersky PURE Kaspersky PURE offeriert dem Benutzer eine besonders breite Palette an Programmfunktionen, die über die gewöhnlichen Eigenschaften einer Security-Suite hinausgehen. Neben den normalen Sicherungsfunktionen wie Anti-Malware, einer Firewall und Web-Filtern bietet Kaspersky PURE eine Sicherungsfunktion zum Backup und der Wiederherstellung von Daten an. Weiterhin verschlüsselt das Programmpaket sensible Dokumente oder vernichtet unwiderruflich vertrauliche Daten. Mit dem integrierten Passwort-Manager sind Zugangsdaten sicher aufbewahrt.
Norton 360 5.0 Anti-Malware, Zwei-Wege-Firewall, PC-Tuning: Norton 360 5.0 verspricht dies alles. Doch die Werkzeuge, die der Software zur Verfügung stehen, sind damit noch nicht erschöpft. Weitere Funktionen sind Routinen zur automatischen Datensicherung und - wiederherstellung, ebenso wie ein zwei Gigabyte großer Online-Tresor für Persönliches. Auch um die E-Mail-Sicherheit kümmert sich Norton 360 5.0 und wickelt Malware-Nachrichten, Phishing-Mails und elektronischen Werbemüll ab. Abschießend sind noch die Kinder-Schutzfunktionen der Software zu erwähnen, die das Beaufsichtigen des Nachwuchses erleichtern.
Avira SmallBusiness Suite Die Avira SmallBusiness Suite besteht im Grunde aus mehreren Avira-Produkten und richtet sich an kleine bis mittelgroße Unternehmen. Workstations auf Windows-Basis genießen mit Avira AntiVir Professional idealen Malware-Schutz, Dateiserver erhalten mit Avira AntiVir Server Schutz. Am E-Mail-Gateway setzen die beiden Avira-Produkte AntiVir Exchange und AntiSpam an. Die Verwaltung der gesamten Software geschieht über das Avira Security Management Center. Während der gesamten Vertragslaufzeit sind alle Updates und Upgrades inkludiert.
F-Secure Business Suite F-Secure will IT-Sicherheit zu einer einfachen Angelegenheit für Unternehmen machen, weshalb eine Reihe bekannter F-Secure-Produkte in der Business Suite gebündelt werden. Enthalten ist Schutz-Software für Windows- und Linux-Workstations, ebenso wie für Windows- und virtualisierte Citrix-Server. Exchange Server werden des Weiteren mit einem eigenen Software-Paket bedacht. Für Firmen mindestens ebenso wichtig: Die Verwaltung. F-Secure Policy Manager heißt die Software die alle F-Secure-Produkte administriert.
60 bis 80 Prozent gespart
Die von S+C propagierte Form der Managed Security Services wurde also weitgehend in Form von Dienstleistungen direkt an der Sicherheitsinfrastruktur umgesetzt. Sie hat sich schon heute ausgezahlt. Laut Geschäftsführer Henning Kreisel spart S+C mit der Rund-um-Betreuung 60 bis 80 Prozent seiner Personalkosten im IT-Sicherheitsbereich. Das entspricht zwei Administratoren.
Thomas Taterra: "Clouds sind ein Hype." Foto: S+C
IT-Leiter Taterra taxiert den externen Sicherheitsdienst zusammengenommen auf etwa zwei Manntage im Monat. Dazu kämen der zeitliche Aufwand für die aktuell noch laufenden Projekte - nochmals rund zwei Manntage pro Monat. Konzeption und Errichtung der IT-Sicherheits-Infrastruktur, inklusive der Penetrationstests und Schwachstellenanalyse im Vorfeld, hätten zirka 30 Manntage in Anspruch genommen.
Als Vorteile der Sicherheitsstruktur nennt der T-Leiter die höhere Qualität der Security-relevanten Informationen, verbesserte Alarmierungs- und Informationsprozesse sowie verlässlichere Audits, Reports und Revisionen. Die beiden in der Zentrale verbliebenen Sicherheitsspezialisten könnten sich nun auf rein koordinative Aufgaben im Einklang mit der globalen Sicherheitsstrategie von S+C konzentrieren.
Vorsicht vor altem Wein
Aus Taterras Sicht gibt es vor allem einen triftigen Grund, warum die Sicherheit der Daten, eine Kernkompetenz des Unternehmens, keinesfalls außer Haus gegeben werden sollte: "Nicht der Cloud Provider, sondern das Unternehmen steht letztlich für Sicherheit einschließlich Datenschutz und Compliance in der Haftung."
Die Lücke zwischen Ausführung und Haftung lasse sich auch nicht durch noch so ausgefeilte und vertraglich detailliert fixierte SLAs (Service Level Agreements) für Managed Security Services aus der Wolke schließen: "Diese Haftung kann nur in absoluter Privatsphäre und unter eigener Regie, also innerhalb einer Private Cloud, rechtsverbindlich sichergestellt werden."
Für Taterra sind externe Clouds ohnehin ein Hype, alter Wein in neuen, virtuellen Schläuchen quasi: "Und den sollte man gerade im hochsensiblen Feld der IT-Sicherheit nur mit äußerster Vorsicht verkosten." (qua)