Vergleich von Managed Security Services

Managed Services sind nützlich: Sie nehmen sich eines der wichtigsten Prinzipien im wirtschaftlichen Leben zum Vorbild, nämlich das der Arbeitsteilung. Jene Urzeiten sind schließlich vorbei, in denen jeder alles können musste. In unserer modernen, hochkomplexen Welt ist "Do-it-yourself" nur noch etwas für Heimwerker und Hobbys. Da spielen Kosten oft keine Rolle und keine Mühe wird gescheut.

Wer aber, wie jede wirtschaftlich denkende Organisation, aufs Geld achten muss, der wird sich um alle Kosten Gedanken machen müssen – seien sie auch noch so versteckt. Gerade die indirekten, auf den ersten Blick nicht sichtbaren Kosten haben es in sich. Sie sind oft schwer zu messen, werden von den beteiligten Parteien in ihrer Höhe und ihrer Struktur häufig sehr unterschiedlich bewertet und aus "politischen" Gründen schon mal gerne unter den sprichwörtlichen Tisch gekehrt.

Dabei bieten die versteckten Kosten für eigene Sicherheits-Services ungeahntes Sparpotenzial und sind ein Schatz, den es möglichst schnell zu heben gilt, um aus Konkurrenten "Bewunderer" zu machen. Wer solche Kosten als erster verstehen lernt, kann sich früher als andere nach Möglichkeiten umsehen, um ihre Ursachen zu beherrschen und seine effektive Belastung zu senken. Der Begriff "Total Cost of Ownership" beschreibt diese Idee äußerst prägnant und hat sich deshalb gut eingebürgert, vor allem in der Welt der Controller und Beratungsunternehmen.

Überraschenderweise profitieren gerade die kleineren und mittleren Unternehmen am meisten vom Kostensenkungspotenzial, das Managed Services bieten. Für sie ist jeder Service besonders teuer, der im eigenen Haus für andere Abteilungen erbracht werden muss. Fast immer benötigen sie mehrere Mitarbeiter, die während der Geschäftszeiten oder sogar vielfach rund um die Uhr und auch am Wochenende die Leistungen bereithalten müssen. Solche nicht zum Kerngeschäft gehörenden Dienstleistungen binden Arbeitskraft, Kapital und Wissen.

Bei Managed Security Services (bekannteste Ausprägung sind die Managed Firewall Services) geben IT- oder Netzwerk-Organisation die Security-Arbeit ab. Geht dieser abgespaltene Teil an einen Dienstleister, findet also ein Outsourcing statt, lässt sich das erwähnte Potenzial zur Senkung der Kosten für diese Security-Arbeit realisieren.

Der Begriff "Arbeit" mutet hier vielleicht auf den ersten Blick etwas seltsam an, aber in der Tat sind hier intellektuelle, organisatorische und in der Regel auch handwerkliche Fertigkeiten gefragt – Managed Security Services haben nichts mit besonderen Begabungen, Kunst oder gar Zauberei zu tun. Viel davon ist reine Routine (z. B. das regelmäßige Auswerten von Log-Files). Was aber nicht heißen soll, dass man zur Bewältigung dieser Aufgabe nicht auch eine gewisse Expertise benötigt. Ein auf Security-Outsourcing spezialisiertes Unternehmen wird mit der Zeit immer mehr Auftraggeber betreuen und Erfahrungen aus verschiedenen Projekten sammeln können. Dies kommt umgekehrt auch wieder jedem einzelnen Auftraggeber zugute.

Wenn Managed Security Services mehr Qualität bei weniger Kosten versprechen: Wo liegt dann das Problem? Warum zeigen sich solch hohe Hemmschwellen? Aller bisherigen Erfahrung nach muss ein Interessent für solche Dienstleistungen zunächst folgende grundsätzliche Fragestellungen erkannt und bejaht haben:

Benchmarking

Um zu einem passenden Angebot zu finden, bietet sich eine vergleichende Bewertung (Benchmarking) zwischen eigenen Leistungen und Anforderungen sowie den verschiedenen Dienstleistern an. Es empfiehlt sich, mithilfe eines Fragenkataloges eine Matrix aufzubauen, in der für jedes Angebot eine eigene Spalte existiert. Die eigenen Anforderungen sollte man in einer separaten Spalte aufzeichnen und die einzelnen Merkmale entsprechend der individuellen Anforderungen gewichten.

Anschließend sollte man für alle vorhandenen Merkmale Punkte vergeben und diese aufsummieren, um zu einer geschlossenen Bewertung (Ranking) der einzelnen Angebote zu kommen. Eine andere Möglichkeit besteht darin, durch Korrelation dasjenige Angebot zu finden, das am besten die eigenen Anforderungen erfüllt.

Die Aufzählung der Merkmale im nachfolgenden Kasten kann naturgemäß keinen Anspruch auf Vollständigkeit erheben. Sie entstand aus langjähriger Erfahrung mit Managed Security Services und durch den Vergleich von Leistungsbeschreibungen etlicher Anbieter. Für die eigene Betrachtung gilt es, eventuell neue oder bereichsspezifische Merkmale hinzuzufügen.

----------Anfang Textkasten----------

Checkliste

Kategorie 1: Ereignisse und Alarme

Werden Ereignisse aus verschiedenen Quellen (Firewall-Log, IDS usw.) wissensbasiert miteinander korreliert und zu Alarmen verarbeitet?
Wird die daraus entstehende Wissensbasis auf alle angeschlossenen Kunden übertragen?
Können kundenspezifisch neue Ereignisse vereinbart werden?
Können Alarme kundenspezifisch priorisiert werden?
Wie viele Prioritätsstufen für Alarme gibt es?
Gibt es außer automatisch generierten auch manuell ausgelöste Alarme?
Wird die entstehende Liste von Alarmtypen ständig erweitert?

Kategorie 2: Maßnahmen

Wird ein detaillierter, kundenspezifischer Notfallplan vereinbart?
Können im Notfallplan die Reaktionen bezogen auf jeden Typ von Alarm frei vereinbart werden?
Was passiert bei Überschreitung einer definierten maximalen Reaktionszeit für einen Alarm?
Können individuelle Eskalationsprozeduren und -stufen bis hin zum Top-Management vereinbart werden?
Kann vereinbart werden, dass bei Gefahr im Verzug bestimmte Gegenmaßnahmen selbstständig eingeleitet werden?
Wie lange dauert es typischerweise, bis die Benachrichtigung über eine erfolgte Gegenmaßnahme erfolgt?
Sind verschiedene Benachrichtigungswege in Abhängigkeit vom Typ eines Alarms möglich?
Wenn Benachrichtigungen über Maßnahmen per E-Mail übermittelt werden sollen: Geschieht dies ausreichend stark verschlüsselt?

Kategorie 3: Service-Level-Vereinbarungen

Gibt es eine Hotline-Rufnummer, die 24 Stunden am Tag an allen Tagen im Jahr durch eine Person besetzt ist?
Gibt es Ersatz für gestörte Hotline-Rufnummern bzw. Fax-Rufnummern und werden diese Ersatz-Rufnummern auf davon getrennten Wegen herangeführt?
Muss der Kunde abhängig von Tageszeit oder Problemstellung unterschiedliche Rufnummern wählen, um Hilfe zu erhalten?
Innerhalb welcher maximalen Zeitdauer werden Änderungswünsche bzw. Anfragen angenommen?
Werden Änderungswünsche vor der Durchführung daraufhin bewertet, ob sie die Sicherheit gefährden?
Werden Änderungswünsche nach ihrem Aufwand (Menge je Zeitraum, Komplexität) abgerechnet oder erfolgt die Bezahlung pauschal?
Innerhalb welcher maximalen Zeitdauer werden Änderungswünsche durchgeführt?
Werden für Änderungswünsche vorher Testfälle definiert und nach der Änderung auch durchgeführt und bewertet?
Innerhalb welcher maximalen Frist werden Anfragen beantwortet?
Was passiert, wenn eine der definierten maximalen Fristen überschritten wird?

Kategorie 4: Legitimation

Werden Anfragen und Änderungswünsche nach ihrer Relevanz für die Sicherheit eingruppiert?
Können einzelne Rollen innerhalb der Kundenorganisation definiert werden?
Auf welchen Wegen (telefonisch, schriftlich, per E-Mail, per Web-Interface usw.) ist die Legitimation und die Authentisierung von Anfragen und Änderungswünschen möglich?
Wie werden verschiedene Mitarbeiter trotz identischer Rolle getrennt legitimiert?
Durch welche Maßnahmen unterstützt der Anbieter die Organisation der Legitimation (Beispiele für Struktur, Policies, Formulare, usw.)?
Wie wird jede einzelne Authentisierung und Legitimation nachvollziehbar und unwiderlegbar dokumentiert?
Wie wird wirkungsvoll verhindert, dass sich eine Person selbst legitimiert?
Wie enden Legitimationen?

Kategorie 5: Reporting und Dokumentation

Wird der Kunde regelmäßig über alle Ereignisse und Alarme informiert?
Wie viele verschieden detaillierte Typen von Reports sind verfügbar?
Sind die Report-Zeiträume frei definierbar?
Wie sind Trends bei Sicherheitsvorfällen erkennbar?
Welche grafischen Auswertungen sind möglich?
Auf welchen Wegen werden Reports und andere Dokumentationen übermittelt (per Post, per E-Mail, per Fax, per Web-Interface in Echtzeit)?
Wenn die Übermittlung von Reports und anderen Dokumenten über das öffentliche Internet geschieht: Passiert dies ausreichend stark verschlüsselt?
Liegen Netzwerkpläne und alle Dokumente über die Installation der Firewall in jedem SOC vor (s. a. Kat. 7)?
Welche Möglichkeiten gibt es, online und jederzeit auf Reports zuzugreifen?
Auf welche weiteren Quellen (Wissensbasis, Mailing-Liste) kann online zugegriffen werden?

Kategorie 6: Security-Personal

Wie wird der Betrieb 24 Stunden am Tag und an allen Tagen im Jahr sichergestellt?
Wie wird sichergestellt, dass für jeden Alarm das Vier-Augen-Prinzip durchgehalten wird?
Wie lange dauert es mindestens, bis Mitarbeiter im Schichtbetrieb wieder zusammen in einer Schicht arbeiten?
Handelt es sich um dauerhaft angestelltes Personal?
Nach welchen Richtlinien wird das Personal vor der Einstellung, während der Anstellung und nach Beendigung des Arbeitsverhältnisses überprüft?
Durch welche Maßnahmen wird das Personal zur strikten Geheimhaltung verpflichtet?
Ist das Personal zur Einhaltung des Fernmeldegeheimnisses gemäß § 85 TKG verpflichtet?
Kann das Personal per Video überwacht werden?

Kategorie 7: Security Operation Center (SOC)

Wie viele, zum Schutz gegen Totalausfälle geografisch verteilte, Security Operation Centers (SOC) sind vorhanden?
Wie sind die Gebäude, in denen die SOCs untergebracht sind, physisch gesichert (Einbruch, Brand, Blitzschlag, Wasser usw.)?
Wie wird verhindert, dass ein SOC von außen einsehbar ist (Monitore, Unterlagen usw.)?
Wie ist das SOC gegen elektromagnetische Abstrahlung nach außen geschützt?
Wie ist der physische Zutritt zum SOC abgesichert (Anzahl Sicherheitstüren, Vereinzelungsschleusen, biometrische Systeme usw.)?
Wie können sich Interessenten einen Eindruck von der Arbeit im SOC verschaffen?
Geschieht dies kontrolliert?
Auf welche Weise ist sichergestellt, dass zwischen Firewall und SOC eine zu 100 % verfügbare Verbindung besteht?
Wie viele voneinander unabhängige Telefon-, Fax- und Datenverbindungen über verschiedene Telekommunikations-Anbieter existieren zu einem SOC?
Wie wird eine räumliche, personelle und netzwerktechnische Abgrenzung zwischen SOC und übrigen Abteilungen des Anbieters gewährleistet?

Kategorie 8: Datensicherung

Nach welchen Prozessen werden alle anfallenden Daten gesichert?
Wie lange kann auf die Rohdaten aus den Firewall-Logs zugegriffen werden?
Nach welchem RAID-Level ist die Datenbank für die Speicherung der anfallenden Daten redundant ausgelegt?
Auf welchem Medien-Typ findet die Sicherung der Datenbank statt?
Wie oft werden diesen Medien gewechselt?
Wo und wie werden diese Medien gelagert?
Wie kommen diese Medien sicher in das Lager?
Wann werden die gesicherten Daten gelöscht?

Kategorie 9: Datenschutz

Ist nachvollziehbar, wer welche Änderung an Daten vorgenommen hat?
Werden Änderungen an Daten manipulationssicher zeitgestempelt?
Werden anfallende Daten bei jedem Transport kryptographisch stark verschlüsselt?
Wie werden die gesicherten Daten auf den einzelnen Medien gelöscht?
Findet die Vernichtung von Akten und Daten nach dem Bundesdatenschutzgesetz (BDSG) statt?
Wie ist sicher gestellt, dass die Nutzdaten des Kunden nicht unbefugt mitgelesen werden?
Ist der Anbieter zu Legal Interception verpflichtet?

----------Ende Textkasten----------

Andreas Englisch (andreas.englisch@bt.com) ist Product Manager Remote Access & IPSec bei BT Germany (British Telecommunications).