computerwoche.de

Archiv

Security/Privacy/Trend zum Outsourcing von IT-Sicherheit

Hacker-Abwehr aufstellen

29.03.2002
Hoher Sicherheitsbedarf und Sparzwang kommen dem IT-Security-Outsourcing entgegen. Dieser Spezialmarkt für IT-Dienstleistungen entwickelt sich deutlich. Es gilt, den passenden Service des richtigen Anbieters auszuwählen. Von Peter Klaftenegger*

So schnell wie die positiven Seiten des Internet nehmen leider auch Fähigkeiten und Agressivität der Hacker zu. Schätzungen zufolge wurden weltweit bislang zirka 50000 Viren produziert. Derzeit sind es wohl mehr als zehn Viren pro Tag, die in Umlauf geschickt werden. Die rasante Ausbreitung des Wurms Code Red beispielsweise wirkte wie ein Großangriff. Nach Angaben der Cooperative Association for Internet Data Analysis (Caida, Vereinigung für Internet-Datenanalyse) befiel er in weniger als 14 Stunden mehr als 359000 Server. Auf dem Höhepunkt seiner Ausbreitung wurden pro Minute mehr als 2000 Hosts neu infiziert.

Im Dickicht der SicherheitslösungenViele IT-Fachleute wissen nicht, dass 99 Prozent aller Attacken aus bekannten Schwachstellen und fehlerhaften Konfigurationen resultieren. Dies bedeutet im Klartext, dass 99 Prozent aller Angriffe verhindert werden könnten. Außerdem lässt sich ohne Übertreibung sagen, dass die meisten Netzwerke häufiger von Hackern "inspiziert" werden als von Administratoren, und das mit einem täglich wachsenden Arsenal von Techniken und Tools.

Zuwachs bei Managed-Security-ServicesLaut IDC unterteilen sie sich in drei Gruppen: Zu den Traditional Providers zählen unter anderem Cap Gemini Ernst & Young sowie Global One. Anbieter von Sicherheitsprodukten sind beispielsweise Baltimore oder ISS. Einen besonders hohen Zuwachs verzeichnet die Zahl der reinen Managed-Security-Services-Anbieter. Dazu zählen beispielsweise Firmen wie Counterpane oder Activis. Bei den von IDC untersuchten Marktteilnehmern, die ihre Dienstleistungen auch hierzulande anbieten, handelt es sich um Activis und Vistorm.

Der Giotto-Report für Managed-Security- Services vom September 2001 stellt 17 Sicherheitsservices vor (siehe Tabelle).

Im Folgenden sollen diejenigen Services kurz erläutert werden, die Unternehmen derzeit am häufigsten in Anspruch nehmen.

Security Monitoring und Management für Firewalls:Diese Service-Variante bietet die Möglichkeit, die eigene Firewall extern überwachen und managen zu lassen. Einige Anbieter offerieren den vollen Firewall-Schutz an allen relevanten Punkten des Unternehmensnetzwerks - von einfachen Firewalls bis zu komplexen FW/VPN-Infrastrukturen. Ein derartiges Komplettangebot umfasst bei einigen Anbietern das gesamte Management der Systemplattform. Für Unternehmen bedeutet dies sowohl System-Administration als auch System-Management und regelmäßige Software-Upgrades.

Vulnerability Scanning Services:Mit diesen Services lassen sich Sicherheitslücken im Unternehmensnetzwerk von außen aufspüren, beispielsweise durch Simulation typischer Hackerangriffe. Von der sicheren Website des Anbieters aus können die Unternehmen sämtliche aus dem Internet erreichbaren Systeme, Firewalls, E-Mail-Server und Websites scannen lassen und feststellen, ob Sicherheitslücken bestehen und ob sie gegen bekannte Hacker-Techniken geschützt sind.

Managed Intrusion Detection Services:Diese Dienstleistungen stellen einen erweiterten Schutz gegen interne und externe Angriffe dar. Es handelt sich um Softwarelösungen für die Überwachung der gesamten Kommunikation in Netzwerken. Sie ergänzen die Funktion der Firewall, indem sie sämtliche Datenpakete einer eingehenden Analyse unterziehen und zwischen zulässigem Datenverkehr und echten Angriffen von innen oder außen unterscheiden. Mit Hilfe der Intrusion-Detection Systeme lassen sich anhand von verdächtigen Aktivitäten im Netzwerk Angriffe schon im Vorfeld erkennen und abwehren. Zu den Managed-ID-Services zählen unter anderem Event-Logging, Event-Analyse, Signatur-Updates, Report-Funktionen und Plattform-Management.

Content-Management für den E-Mail-Verkehr:Ein solcher Service bietet die Möglichkeit, den gesamten Prozess der E-Mail-Sicherheitsüberprüfung auszulagern. Der Kunde muss weder Hard- noch Software installieren: Beides befindet sich in den Datenzentren des Dienstleisters, sodass rund um die Uhr, sieben Tage die Woche, alle E-Mails samt Attachments überprüft werden können. Die ein- und ausgehenden E-Mails werden einfach über ein Rechenzentrum des Anbieters weitergeleitet, wo sie nach zuvor festgelegten Benutzungsvorschriften gescannt und von gefährlichen Inhalten, wie zum Beispiel Viren, gesäubert werden.

Endlose Produktion von VirenEin gegen jegliche internen wie externen Gefahren gefeites und vollkommen sicheres Netzwerk kann und wird es nie geben. Dagegen spricht der Einfallsreichtum der Hacker: Die "Produktion" neuartiger Viren und virtueller Schädlinge wird wohl nie ein Ende finden. Zudem fördert die menschliche Neugier die beständige Verbreitung und Aktivie-rung von unliebsamen Gästen. Eine E-Mail mit dem Namen "I Love You" hat nicht zufällig Abertausende von Usern zum Öffnen und Verbreiten des gleichnamigen Virus verleitet. Nichtsdestotrotz gibt es vielfältige Möglichkeiten, solchen Gefahren effektiv zu begegnen und damit enorme Kosten zum Beispiel durch Datenverluste, Nichtverfügbarkeit von Web-Servern, Geschäftsausfall und nicht zuletzt durch Vertrauens- und Imageschaden zu verhindern.

Viele Unternehmen vertrauen einer rein produktbasierenden Security, obwohl eine Firewall allein ebenso wenig Schutz vor Hackern bietet wie zum Beispiel ein Safe hundertprozentigen Schutz vor Einbrechern gewährleisten kann. Beide müssen vom Menschen permanent überwacht und gemanagt werden. In unserer physischen Welt wird das Thema Sicherheit in der Regel Profis, wie zum Beispiel Wachdiensten, Polizei oder Feuerwehr, überlassen. Sobald es aber um Sicherheit in der virtuellen Welt, also um Internet Security, geht, wird häufig versucht, diese intern zu gewährleisten. Doch können viele Administratoren das Management der Firewall aus Zeitgründen nur als Nebenjob betreiben. Indes tauchen jeden Tag neue Sicherheitslücken auf. Einem Angreifer reicht eine einzige Lücke für einen erfolgreichen Angriff, während die Administratoren sämtliche Schwachstellen kennen müssen.

Überleben steht auf dem SpielWirksame IT-Sicherheit erfordert einen hohen personellen und organisatorischen Aufwand sowie erhebliches Know-how - Anforderungen, die intern meist nicht erfüllt werden können oder mit unverhältnismäßig hohen Kosten verbunden sind. Die Scheu vor der Investition in IT-Sicherheit lässt sich mit Hilfe des Outsourcing-Ansatzes zumindest teilweise nehmen: Profis übernehmen Installation, Betrieb und Rund-um-die-Uhr-Überwachung der Sicherheitslösung. Den ersten Schritt jedoch muss jedes Unternehmen selbst machen, also den Stellenwert von IT-Sicherheit für sich definieren, ein festes Budget einplanen und möglichst gemeinsam mit einem Security-Partner eine Policy und den passenden Maßnahmenkatalog aufstellen. Nicht nur die Wettbewerbsfähigkeit steht auf dem Spiel, sondern immer häufiger sogar das nackte Überleben in wirtschaftlich turbulenten Zeiten. (bi)

*Peter Klaftenegger ist Service Delivery Manager der Acivis GmbH in München.

AngeklicktEinem Dienstleister das heiße Eisen IT-Security zu überlassen, fällt machem Verantworlichen bislang noch sehr schwer, wäre aber eine sinnvolle Alternatiuve, um der steigenden Komplexität von IT-Sicherheitsmaßnamen und den damit verbundenen Kosten entgegenzutreten. Ein reiches Spektrum von Services ist im Markt bereits vorhanden; die Anbieter können die unterschiedlichsten Sicherheitslücken aufspüren und schließen.

Den ersten Schritt indes muß das Unternehmen selbst machen, also den Stellenwert von IT-Sicherheit für sich selbst definieren.