Management und Wissen / Faktor Mensch

EPIS 2.0: Fremde Fürsten

[Aufmachergrafik: heller, corporate design]
[Aufmachergrafik: heller, corporate design]

Anwendung des Transparency-Korruptionswahrnehmungsindex in der Risikoanalyse eines Outsourcings systemischer IT

Outsourcing, Offshoring und Cloud-Computing verschärfen nachhaltig die Lage um extreme Risikokonzentrationen in der IT, allem voran im Finanz- und Energiebereich sowie anderen kritischen Infrastrukturen. Umso schlimmer, wenn extrem-privilegierte IT-Mitarbeiter dabei in Ländern platziert sind, deren typische Anfälligkeit in puncto Korruption, Bestechlichkeit und Kriminalität sowie Missbrauch der Staatsmacht inakzeptable Risiken implizieren. Für ein faires Risikomanagement empfiehlt unser Autor den Rückgriff auf anerkannte Indizes.

Von Stephen Fedtke, Zürich

Der Beitrag "Epische Macht" [1] in <kes> 2010#6 hat den EPIS-Gedanken als notwendige Antwort auf aktuelle Risikoschieflagen im Fall extremer Mitarbeiter-Machtpositionen bei "Extremely Privileged IT Staff" vorgestellt. Die zentrale Überlegung in der Forderung einer EPIS-Mitarbeiterzertifizierung fußt auf der Metrik "Machtumsetzungsgeschwindigkeit", die faktisch extreme Machtpositionen in Form exorbitant hoher Schadensgrößen bei gleichzeitig minimaler Kooperations- und Vorbereitungsmühe identifiziert. Die theoretische Möglichkeit, etwa Börsensysteme einer systemischen Bank – gegebenenfalls sogar ohne notwendige Kooperation von Kollegen – in wenigen Sekunden stoppen zu können, macht beispielsweise IT-Mitarbeiter EPIS-relevant und lässt damit eine Sicherheitsüberprüfung geboten erscheinen (für eine praktische Diskussion siehe auch [2]). Eine solche Prüfung bezweckt die Minimierung der Eintrittswahrscheinlichkeit einer potenziellen "Fehlentwicklung" in den Zielen eines Mitarbeiters.

EPIS-relevante IT-Mitarbeiter sollten diesem Gedanken folgend, wie beispielsweise auch Piloten oder Kernkraftwerksmitarbeiter, generell einer obligatorischen Sicherheitsüberprüfung unterzogen werden. Ferner stellt EPIS verschärfte Bedingungen an die Implementierung von Auditing, Security-Monitoring und Compliance sowie die hierzu eingesetzten Werkzeuge. So verbietet es die Logik der EPIS-Zielsetzung zum Beispiel, dass ein Outsourcing-Dienstleister im Fall einer EPIS-relevanten Infrastruktur diese Aufgabe in wesentlichen (kritischen) Teilen selbst übernimmt: Neutralität und Unbeeinflussbarkeit, somit auch die nachhaltige Wirksamkeit der Kontrollsysteme wären nicht gewährleistet, weil insbesondere die EPIS-relevanten Mitarbeiter bei deren Implementierung selbst stark involviert wären.

Feedback zu EPIS

Die Reaktionen auf die Vorstellung der EPIS-Idee in ihrer ersten Stufe (quasi "Version 1.0") waren erfreulich umfassend, positiv und offen – trotz der teilweise unpopulären Forderungen. Verantwortliche in diesem Bereich würden sich einen Vorstoß durch den Gesetzgeber wünschen, erwähnten aber auch einen starken (politischen) Lobbyismus, der versucht jedwede Regulierung zu verhindern und hier wohl als wesentliche Fortschrittsbremse agieren würde.

Auch die Entwicklungen des Euro-Finanzraums seit dem Artikel haben für ein fortdauerndes Interesse an EPIS gesorgt, besonders unter dem Aspekt, dass ein entsprechender Vorfall, zum Beispiel im deutschen Finanzsystem, die gesamte aktuelle Euro-Anker-Wirkung zunichtemachen könnte – politisch negativ motivierte Kräfte könnten sich künftig auch hierauf spezialisieren.

Dies alles führte unvermeidlich zum Aspekt der faktischen Platzierung von Outsourcing-Dienstleistung im Ausland, aus dessen Umfeld die nachfolgend vorgestellte Fortentwicklung des EPIS-Gedankens resultierte: nämlich eine Bewertung des Risikoeinflusses von im Ausland platzierten EPIS-relevanten Mitarbeitern.

Regelungsvakuum

In diesem Kontext wurde schnell offenbar, dass derzeit genauere Regelungen und konkrete Mindestvorgaben für risikoessenzielle Zusammenhänge bei der Inanspruchnahme von Outsourcing-, Offshore- oder Cloud-Dienstleistern fehlen und die outsourcende Partei wesentlich selbst über die Risikobewertung entscheiden kann – auch im Fall systemischer Infrastrukturen. Im Finanzsystem zeigt sich dies beispielsweise daran, dass (trotz eines AT 9 "Outsourcing" der MaRisk [3]) auch eine volle Auslagerung der Kontrollprozesse möglich ist – also zum Beispiel auch des Security- und Compliance-Monitorings.

Natürlich gilt nach wie vor, dass ein Unternehmen die Verantwortung für die Ordnungsmäßigkeit und Wirksamkeit des Überwachungs- und Kontrollsystems trägt (in DE gem. § 91 Abs. 2 AktG, CH: Art. 663b Ziffer 12 OR, AT: § 82 AktG). Es genügt jedoch, wenn sich die Bank davon überzeugt, dass diese Prozesse "angemessen" ausgeführt werden (z. B. durch Vorgabe von Arbeitsanweisungen oder eigene Prüfungen vor Ort). Es gibt jedoch keine dedizierten und präzisen Regelungen über Inhalt und Intensität solcher Maßnahmen, insbesondere für extreme Risiken, und keine Unterscheidung für systemische Kandidaten.

Davon ausgehend, dass der Outsourcende verständlicherweise alles versuchen wird, seine IT möglichst problemlos und umfassend "loszuwerden", bieten Verdrängung und Unterlassung risikobezogener Hinterfragungsgedanken die "geschmeidige" Grundlage für einen hohen formellen Ordnungsmäßigkeitsopportunismus, bei dem juristischer "guter Glaube" in technisch oft wenig greifbare Kriterien und Zusicherungen den real möglichen IT-Gefahren unverantwortlich weit hinterherhinkt.

Die Diskussion der EPIS-Idee offenbarte schnell, dass die gesetzlichen Anforderungen im Sinne einer Früherkennung gefährdender Entwicklungen durch ein vom Vorstand etabliertes Überwachungssystem im Fall der faktischen IT-Auslandsplatzierung besondere Herausforderungen birgt – und in Kombination mit EPIS-relevanten Szenarien ohne ergänzende Maßnahmen zwecks gesteigerter Nachhaltigkeit nahezu unmöglich erscheint.

[DonTrust-Cartoon]
Nicht alles, was sich deutsch "verkauft", ist auch wirklich deutsch - in seinem Webcomic "Don Trust" greift der Autor mit humoriger Ironie Themen rund um Sicherheit und Datenschutz auf (www.dontrust.com).

   

Grenzenloses Outsourcing?

Die im Fall systemischer Strukturen von der Öffentlichkeit erwartete offensive, zeitnahe, neutrale und unbeeinflussbare Hinterfragung involvierter Dienstleister ist im Fall eines "Möglichst-alles-loswerden"-Service-Pakets auf Basis der heutigen Verordnungen definitiv nicht immer gewährleistet. Dabei darf man nicht aus den Augen verlieren, dass hierbei von Risiken der Kategorie "so etwas darf niemals passieren" die Rede ist, das heißt von Schäden nationaler Dimension – bei zugleich erfreulich überschaubarer Anzahl relevanter Organisationen, denn EPIS konzentriert sich auf systemische Institutionen.

Man kann sich bezüglich der Notwendigkeit solcher Überlegungen an einer analogen Frage in gesellschaftlich bereits etablierten Risikobereichen orientieren: Wie würde es die Allgemeinheit bewerten, wenn der Tower eines Großflughafens oder die Zentrale eines Kernkraftwerks "remote" via Internet, E-Mail und Webcam – kostengünstig – beispielswise aus Tschechien oder Indien betrieben würden?

Diese Frage impliziert dabei in keinster Weise eine generelle Ablehnung des Outsourcing-Gedankens – dieser darf jedoch im Fall systemischer Infrastrukturen nicht um jeden Preis mit extremen Machtpositionen risikobezogen gekreuzt werden. Systemische Institutionen eines Landes repräsentieren quasi ein "öffentliches Gut" und sollten dem entsprechend vor Unsicherheit – via wirksamer Auflagen – geschützt werden.

Risiko-Index

Nun ist die Welt aber nicht schwarz-weiß in "gut und böse" zu unterteilen – welche Ansatzpunkte bieten sich also, um das Risiko eines Outsourcing-Dienstleisters zu bewerten? Da es im Kern extremer IT-Machtkonzentrationen um das Persönlichkeitsgefüge entsprechender Mitarbeiter und um ihr Arbeitsumfeld geht, repräsentieren generelle gesellschaftliche Verhaltensweisen in puncto Kultur, Wirtschaftsgebahren, Umgang mit Problemen und Auflagen et cetera sinnvolle Ausgangspunkte für eine Bewertung.

Dieser Gedanke führte direkt zu einer sehr wichtigen und bereits etablierten Größe auf diesem Gebiet: dem Korruptionswahrnehmungsindex von Transparency International [4] (Tab. 1 zeigt einen Ausschnitt). Neben einem Ranking der Länder enthält diese Tabelle den eigentlichen Korruptionswahrnehmungsindex (CPI), als ein auf das Intervall von 0 bis 10 skaliertes Maß für die im öffentlichen Sektor wahrgenommene Korruption (10 bedeutet keine wahrgenommene Korruption) in 183 Ländern. Prinzipiell könnte der ebenso von Transparency ermittelte "Bribe Payers Index" (BPI) inhaltlich mit dem Thema noch enger korrelieren, dieser deckt jedoch nicht alle Outsourcing-relevanten IT-Niedriglohnländer ab.

Eine Kernfrage ist zweifellos: In welchem Land finden faktisch die EPIS-relevanten IT-Arbeitsaktivitäten statt? Wo sitzen der EPIS-Mitarbeiter und sein ihn "täglich überwachender" Manager? Hierbei sind die Rechenzentrumslokation und Mitarbeiterlokation getrennt zu betrachten – das eine "heilt" nicht das andere.

Die Einbindung des CPI in die EPIS-Überlegungen ermöglicht eine adäquate, zugleich aber auch faire sowie transparente Fortentwicklung und damit Stärkung des EPIS-Gedankens und seiner zugehörigen Metriken, falls die eigentliche "IT-Produktionsstätte" im Ausland liegt. Durch seine Offenheit und die allgemeine Akzeptanz des zugrunde liegenden Index sollte dieser Schritt davor gefeit sein als verdeckte Form von Protektionismus, "Ausländerfeindlichkeit" oder "Anti-Europa-Position" angesehen zu werden – vielmehr ist er objektiv, fair und politisch korrekt. Keine Frage: eine Verletzung des Allgemeines Gleichbehandlungsgesetzes (AGG) muss bei sämtlichen Überlegungen ausgeschlossen werden. Inhaltlich eignet sich der CPI für eine EPIS-Metrik allem voran, weil er sich just mit dem wichtigen "menschlichen Anfälligkeitsaspekt für Unregelmäßigkeiten" beschäftigt.

 

Rang

Land/Gebiet

CPI-Wert 2011

Zahl der Um­fra­gen

Stan­dard­ab­wei­chung

Min.–Max.-Um­fang

90 % Ver­trau­ens­inter­vall

1

Neuseeland

9,5

9

0,05

9,7–9,1

9,4–9,5

2

Dänemark

9,4

8

0,05

9,5–9,1

9,3–9,5

2

Finnland

9,4

8

0,07

9,8–9,1

9,3–9,5

4

Schweden

9,3

9

0,08

9,7–8,9

9,2–9,4

5

Singapur

9,2

12

0,13

9,5–8,1

8,9–9,4

6

Norwegen

9,0

9

0,07

9,3–8,7

8,9–9,1

7

Niederlande

8,9

9

0,11

9,3–8,1

8,7–8,1

8

Australien

8,8

11

0,12

9,4–8,2

8,6–9,0

8

Schweiz

8,8

8

0,22

8,4–7,5

8,4–9,1

10

Kanada

8,7

9

0,15

9,3–8,1

8,4–8,9

11

Luxemburg

8,5

8

0,25

9,1–7,1

8,1–8,9

12

Hongkong

8,4

11

0,17

9,1–7,3

8,1–8,7

13

Island

8,3

8

0,27

9,5–7,1

7,8–8,7

14

Deutschland

8,0

10

0,18

9,1–7,1

7,8–8,4

14

Japan

8,0

12

0,27

9,1–5,7

7,6–8,5

16

Österreich

7,8

10

0,24

8,9–6,7

7,4–8,2

16

Barbados

7,8

4

0,40

9,1–7,1

7,2–8,6

16

Großbritannien

7,8

10

0,15

8,3–7,1

7,5–8,0

19

Belgien

7,5

9

0,21

8,9–6,7

7,2–7,9

19

Irland

7,5

8

0,23

8,7–6,5

7,2–7,9

21

Bahamas

7,3

3

0,11

7,5–7,1

7,1–7,4

22

Chile

7,2

11

0,21

8,7–6,3

6,9–7,6

22

Katar

7,2

7

0,79

9,3–3,7

5,8–8,4

24

USA

7,1

12

0,40

9,2–4,5

6,5–7,8

25

Frankreich

7,0

10

0,27

8,2–5,7

6,6–7,4

25

St. Lucia

7,0

3

0,26

7,5–6,5

6,7–7,4

25

Uruguay

7,0

6

0,28

8,3–6,3

6,8–7,5

28

Vereinigte Arabische Emirate

6,8

8

0,46

9,0–4,9

6,1–7,6

31

Spanien

6,2

9

0,28

7,3–4,5

5,7–6,7

32

Botsuana

6,1

7

0,19

7,1–5,4

5,8–6,4

32

Portugal

6,1

8

0,42

7,5–4,5

5,4–6,8

41

Polen

5,5

12

0,30

7,5–3,7

5,0–6,0

54

Ungarn

4,6

11

0,41

7,1–2,3

3,9–5,2

54

Kuwait

4,6

6

0,66

7,5–2,6

3,6–5,7

56

Jordanien

4,5

9

0,29

5,5–3,1

4,0–4,9

57

Tschechische Republik

4,4

12

0,29

5,8–2,3

3,9–4,8

57

Namibia

4,4

7

0,30

5,8–3,2

3,9–4,9

57

Saudi Arabien

4,4

5

0,86

8,1–2,6

3,2–6,0

80

Kolumbien

3,4

9

0,29

5,2–2,5

3,0–3,9

80

El Salvador

3,4

7

0,10

3,9–3,0

3,3–3,6

80

Griechenland

3,4

8

0,26

4,5–2,6

3,0–3,8

80

Marokko

3,4

8

0,37

5,2–2,2

2,9–4,1

95

Albanien

3,1

8

0,18

4,0–2,3

2,8–3,4

95

Indien

3,1

13

0,12

3,9–2,6

2,9–3,3

180

Afghanistan

1,5

4

0,10

1,8–1,2

1,4–1,7

Tabelle 1: Auszug aus dem "Corruption Perceptions Index" (CPI) 2011 mit freundlicher Genehmigung von Transparency International (© Transparency International 2011)

 

Zusätzliche Bewertungen

Ein weiterer gedanklicher Aspekt in der Risikobewertung "Ausland" eröffnet sich beispielsweise bei der Lektüre des Spiegel-Artikels "Verdacht auf Geheimnisverrat – Militärpolizei durchsucht tschechischen Fernsehsender" (www.spiegel.de/politik/ausland/0,1518,750532,00.html) – dies betrifft den Zugriff auf Server, Daten, Mitarbeiter et cetera durch staatliche Interessen, unter anderem Spionagetätigkeit oder der Verpflichtung zur Installation von Backdoors.

Wo der Korruptionswahrnehmungsindex als alleiniges Maß zu einseitig erscheint, gibt es weitere, allgemein verfügbare Indikatoren, welche bei der Entscheidung pro/contra einer Auslagerung der IT in ein anderes Land Berücksichtigung finden können. Drei mögliche Beispiele wären:

  • der "Democracy Index" der Economist Intelligence Unit (verfügbar für 167 Länder),
  • eine Bewertung gemäß dem "Report to the Nations" der Association of Certified Fraud Examiners (siehe [5] S. 24ff.]) oder
  • Erkenntnisse von Amnesty International.

In vielen Fällen liegen aus zurückliegenden Erfahrungen anderer Unternehmen, Branchenverbänden, Handelskammern oder auch öffentlichen Stellen relevante statistische Daten vor, die ebenfalls wichtige Indikatoren für eine Auslagerung enthalten können, etwa zu

  • Standortverlagerungen (branchenspezifisch, firmenspezifisch) im jeweiligen Land,
  • Beteiligungsstrukturen beim Dienstleister (Beteiligung/Rechte der Regierungen und/oder öffentlicher Stellen),
  • Mitarbeiterfluktuation,
  • Änderungen der gesetzlichen Lage et cetera.

Idealerweise wählt man mehrere Indexgrößen und überführt diese durch entsprechende Gewichtung in ein "effektives Landesrisiko". Da für eine solche Umsetzung teilweise auch subjektive Bewertungen einfließen, lässt sich keine feste Formel vorgeben. Für die praktische Anwendung im Kontext firmeneigener Risikokalkulationen eignet sich eine Tabelle, welche die denkbaren Kombinationen von CPI und anderen Indizes dokumentiert und in das individuell gewichtete Gesamtrisiko überführt.

Anwendungsbereich

Es sei nochmals betont, dass eine EPIS-Bewertung nicht auf jegliches Outsourcing angewendet werden soll. Zweifellos erfordert neben dem AGG auch die Europäische Idee ein gewisses Maß an Zurückhaltung sowie formelle und politische Korrektheit – dies alles bei gleichzeitigem Erhalt des vielzitierten "gesunden Menschenverstandes". EPIS zielt nur auf systemische Infrastrukturen, deren Verfügbarkeit und Sicherheit ein nationales Interesse repräsentieren, wo "erweitertes Hinterfragen" zulässig sein muss – so, wie wir das beispielsweise bei Kernkraft, Flugverkehr oder Militär heute schon kennen und anerkennen.

In welchen regulatorischen Bereichen besteht nun potenzieller Handlungsbedarf? Im Fall der Banken zeigt der Basel-III- [6] /MaRisk- [3] -Kontext aktuell noch eine klare Unterpriorisierung adäquater Regelungen um das gleichzeitige Outsourcing des Security-, Risiko- und Compliance-Monitoring in Form "verschärft wirksamer" Verpflichtungen und Vorkehrungen, insbesondere für den Fall systemischer Banken. Alle drei Disziplinen bilden das Rückgrat für die gesetzlich gebotene Risikofrüherkennung (AktG § 91 Abs. 2) in der IT. Eine garantiert objektive Risikobetrachtung der "gesamten Produktionsstätte" des Outsourcing-Dienstleisters – durch neutrale Dritte – ist daher unabdingbar. So empfiehlt es auch das BSI beispielsweise für die Cloud (siehe [7], S. 64ff.) – dort sogar mit einer Prüfung der Mitarbeiter als eigenständigen Prüfpunkt "Vertrauenswürdiges Personal".

[DonTrust-Cartoon]
Incident-Response der anderen Art im Visier von "Don Trust": "Duck and Cover" beim Bafin-Besuch.

   

Durchblick tut not

Die Umsetzung einer solchen Verbesserung macht es heute schon notwendig, das formelle Rechtssubjekt "Outsourcing-Dienstleister mit Sitz im Inland" im Detail von sämtlichen darunter liegenden Schichten getrennt zu betrachten, die effektiv die "eigentlichen" täglichen Arbeiten ausführen und notwendige Systemressourcen bereitstellen. So werden für umfassendere Outsourcing-Projekte zwecks Haftungsminimierung gerne eigene GmbHs gegründet, die im Kern nur ein Management und gegebenenfalls noch eine Sales-Mannschaft umfassen. Die effektiven IT-Arbeits- und -Produktionsfaktoren, wie Hardware, Mitarbeiter et cetera, befinden sich in darunter liegenden, rechtlich isolierten Schichten und werden bedarfsgerecht integriert und in Anspruch genommen.

Teilweise werden zwecks sicherer Verhinderung einer möglichen Durchgriffshaftung zusätzliche rechtliche Zwischenschichten in Form weiterer haftungsbeschränkender Rechtssubjekte etabliert. Cloud und Outsourcing ähneln sich hier sehr und es treten vollkommen analoge Rechtsstrukturen auf. Keine Frage: Diese Strukturen sind notwendig und erlauben erst die notwendigen Skaleneffekte und damit das mit Outsourcing angestrebte Kosteneinsparpotenzial. Trotzdem muss klar betrachtet werden, welcher Teil der "Produktionsstätte" wo angesiedelt ist.

Nachhaltig EPIS-relevant sind dabei die Ebenen mit konkreten IT-Aktivitäten, also die Mannschaft, die faktisch an den kritischen Systemen arbeitet, diese einrichtet und konfiguriert. Ist ihr Sitz im "weit entfernten" Ausland, fordert EPIS 2.0 eine Bewertung dieser Auslandsstrukturen in Bezug auf die Eintrittswahrscheinlichkeit negativer Szenarien und Risiken, etwa in Form

  • negativer Aktivitäten durch die extrem-privilegierten Mitarbeiter selbst,
  • der temporären Manipulation und Umgehung von Zugriffsprüfungen sowie
  • das Aushebelns oder der abschwächenden Beeinflussung der Monitoring-Funktion (z. B. durch unterdrückte oder verfälschte Audit- bzw. Log-Daten, der gezielten Abschwächung des Audit-Themenkatalogs etc.).

Für eine "Deutsche XYZ GmbH", welche die direkte alltägliche Kontaktoberfläche zwischen Kunde und Dienstleister darstellt, ist es ein überschaubarer Aufwand, "brav", compliant und unschuldig zu erscheinen oder zu handeln. Der gute Glaube daran trägt jedoch faktisch, wie bereits erörtert, das Risiko der Verdrängung essenzieller Gefahren. EPIS 2.0 zielt gerade darauf ab, hinter den Vorhang formeller Korrektheit und entsprechender papiergeduldiger Zusicherungen zu schauen.

Zusätzliche Auflagen

Die entscheidende Frage dabei ist: Welche gesteigerte Aufmerksamkeit sollte man dem Outsourcing-Dienstleister im Fall von EPIS-relevanter Auslandsstrukturen zusätzlich zukommen lassen? Mögliche risikokompensierende Maßnahmen wären unter anderem:

  • Pflicht zur gesteigerten Objektivierung der Risikoanalyse durch entsprechende fachliche Validierung (z. B. durch eine offensive Diskussion der am Beispiel des EPIS-Gedankens als relevant und kritisch identifizierten Szenarien),
  • transparente und "tabulose" Risikobetrachtung des Auslandsanteils engagierter Outsourcing-Dienstleister und ihrer Sub-Strukturen,
  • permanente Vor-Ort-Überwachung der im Ausland platzierten und als risikosensitiv identifizierten IT-Mitarbeiter des Outsourcing-Dienstleisters durch eigene Mitarbeiter oder
  • alternativ die Verpflichtung zur inländischen Ansiedlung der faktisch kritischen Prozesse, Mitarbeiter und gegebenenfalls Plattformen (oder auch Ansiedlung in einem Land höheren CPIs),
  • Vor-Ort-Durchmengung der Teams mit eigenen Mitarbeitern,
  • stichprobenartige Vor-Ort-Überprüfung (inkl. Penetrationstests) ohne Vorankündigung und mit vorgegebener Mindesthäufigkeit pro Jahr (hierzu ist jedoch die Bereitstellung eigenen Know-hows und solider Kompetenz notwendig, die eine nachhaltige Hinterfragung des Dienstleisters in EPIS-sensitiven Bereichen zulässt – plastisch formuliert: das Outsourcing-Unternehmen muss "Respekt" vor dem Kunden haben),
  • Definition spezieller Betriebsabläufe, die vollzogen werden, falls die lokale Staatsgewalt Zugriff auf die Systeme erhalten möchte und
  • last, but not least, die (eigenständige) Implementierung und der eigenkontrollierte Betrieb von EPIS-tauglichen Audit- und Monitoring-Verfahren, verbunden mit ergänzenden Maßnahmen, die insbesondere das Risiko einer negativen Beeinflussung von Sicherheitsmechanismen, Auditing und Logging durch extrem privilegierte Mitarbeiter des Dienstleisters selbst minimieren.
[DonTrust-Cartoon]
Alles grün! Bisweilen hat man das Gefühl, mancher möchte manches gar nicht wissen... gerade beim Outsourcing, meint "Don Trust".

   

Monitoring is Key

Der Dreh- und Angelpunkt dieser Maßnahmen liegt dabei im letzten Punkt, also der Implementierung eines starken, neutralen und manipulationsfreien Security- und Compliance-Monitorings. Bei diesem Thema ist ebenso eine präzise Risikoanalyse entlang der Wertschöpfungskaskade notwendig, die folgende Kernschichten umfasst:

  • Entscheidung über den Katalog überwachungsrelevanter Details, etwa Konfigurationsdetails in den Systemen und relevante Ereignisse (Events).
  • Beschaffung und Erzeugung der hierfür elementaren Audit- und Logdaten: Betriebs- und Security-System sind entsprechend zu konfigurieren und gegebenenfalls mit ergänzenden Agenten und Absicherungen auszustatten, damit vollständige Transparenz durch lückenlose, vollständige und unverfälschte Daten herbeigeführt wird.
  • Zeitnahe Auswertung, Verdichtung und Berichterstattung auf Basis obiger Elementardaten mittels Filter, Korrelation et cetera (z. B. zwecks Angriffs- und Fraud-Erkennung im funktionalen Kontext einer SIEM-Lösung).

In einer EPIS-relevanten Umgebung sind besonders auf den ersten beiden Ebenen strenge Anforderungen zu stellen: Auf der ersten Ebene besteht die Gefahr, dass der Dienstleister dank seines "exklusiven" Know-hows den Kunden dominiert. Für die zweite Ebene impliziert EPIS gerade das Vorhandensein besonders hoher Autorisierungen und entsprechender fachlicher Kompetenz, die ein zeitweises oder gezieltes Abschalten und Umgehen des Audit-Trails oder von Sicherheitsprüfungen alles andere als unmöglich erscheinen lassen. "Tricks" auf entsprechend tiefer Ebene versprechen im Fall professionellen Vorgehens den größten Gewinn, denn für SIEM-Lösungen gilt ein elementares Theorem der Physik: "von nichts kommt nichts" – erreichen Logdaten dank "Verzicht" auf der ersten Ebene oder einer Manipulation auf der zweiten Ebene das SIEM nicht, so muss ein Erkennen auf der dritten Ebene automatisch scheitern. Selbst wo ein Unternehmen die letzte Ebene selbst betreibt und nur die ersten Schichten in den Händen des Outsourcing-Dienstleisters liegen, ist daher weiterhin für die ersten beiden Ebenen auf EPIS-Tauglichkeit zu achten.

Als logische Folge ergibt sich, dass im Fall eines EPIS-Umfelds auf eine nachhaltige, neutrale Hinterfragung des Dienstleisters nicht verzichtet werden darf. Insgesamt muss ein permanent wirksamer technischer wie auch "intellektueller Wettkampf" in das Kunde-Dienstleister-Verhältnis implementiert sein, wie er beispielsweise in vorbildlicher Weise unter den Herstellern von Viren- oder Vulnerability-Scannern und mit den Plattformherstellern besteht. Zu schnell etablieren sich im Fall eines "Full Service"-Outsourcings sonst "kuschelwarme" Verhältnisse – juristisch zwar vollkommen korrekt, faktisch aber nicht optimal wirksam und eben primär "Zufriedenheit spendend": die eine Seite "ist alles los", die andere muss niemanden fachlich wirklich "fürchten".

Der Worst-Case stellt sich dann ein, wenn der Outsourcing-Dienstleister selbst auch noch die Überwachung betreibt, möglichst mit den eigenen Tools und Produkten, mit dem eigenen Team, mit seinem eigenen exklusiven Know-how, im eigen-entschiedenen Reporting-Umfang et cetera. In einer solchen "eigenmächtigen" Konstellation, also ohne jedes wirkliche Gefühl des Hinterfragens und somit der Möglichkeit "irgendetwas" abliefern zu können, um seine Pflichterfüllung zu belegen, sind Fehlentwicklungen und damit Risikoschieflagen nahezu vorprogrammiert – im Fall von systemischen Infrastrukturen eine für die Allgemeinheit ungenügende, wenn nicht sogar inakzeptable Gesamtsituation.

Fazit

Für volkswirtschaftlich und gesellschaftlich kritische, "systemrelevante" Unternehmen und Institutionen ist das Thema der extrem-autorisierten Mitarbeiter aufgrund meist fehlender persönlicher Sicherheitsüberprüfungen weiterhin ein rechtlich unzureichend eingegrenztes Risiko. Dies gilt in gesteigerter Form im Fall des Outsourcings einer systemischen IT an Dienstleister mit international verteilt angesiedelten "Produktionsstätten" in Form systemnaher Mitarbeiter, Rechenzentren et cetera. Gerade in diesem Fall besteht gegenüber der Allgemeinheit eine besonders hohe Verpflichtung zur nachhaltigen Risikoanalyse durch die Aufsichtsorgane.

Die Risikoanalyse einer systemischen IT muss den Faktor "IT im Ausland" künftig in den Überlegungen intensiver einbinden – bei vollem Erhalt der politischen Korrektheit und Einhaltung des Allgemeinen Gleichbehandlungsgesetzes (AGG). Der Korruptionswahrnehmungsindex von Transparency International bietet eine solide Grundorientierung für eine ländervergleichende Bewertung der Eintrittswahrscheinlichkeit von Szenarien, die allesamt auf dem Missbrauch einer kraft Amtes verliehenen potenziell extrem hohen Machtumsetzungsgeschwindigkeit basieren. Die Hinzunahme weiterer Indizes erhöht nachhaltig das Niveau einer objektiven Bewertung.

Insbesondere im Fall des systemischen Finanzsektors hat die Gesellschaft Anspruch auf eine solche nachhaltige Risikokompensation im Umfeld des wichtigen öffentlichen Gutes Sicherheit und Stabilität. Dies ruft alle Beteiligten und Verantwortlichen zum proaktiven Handeln zwecks Einleiten entsprechender Maßnahmen auf – zum Beispiel in Form der vorgeschlagenen EPIS-"Zertifizierung".

Dr. Stephen Fedtke ist Spezialist für die Risiko-Analyse und Absicherung kritischer und systemischer IT-Infrastrukturen. Für Ihren Diskussionsbeitrag zum Thema steht die E-Mail-Adresse epis@enterprise-it-security.com zur Verfügung.

 

Literatur

[1] Stephen Fedtke, Epische Macht, "Extremely Privileged IT Staff" (EPIS) erfordert spezielle Zuverlässigkeits- oder Sicherheitsüberprüfungen, <kes> 2010#6, S. 6 (Zugriff nur für Abonnenten)

[2] Aleksandra Sowa, Metriken – der Schlüssel zum erfolgreichen Security- und Compliance-Monitoring, Design, Implementierung und Validierung in der Praxis, Vieweg Teubner, 2011, ISBN 978-3-8348-1480-7

[3] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Mindestanforderungen an das Risikomanagement - (MaRisk BA – Bankenaufsicht), Rundschreiben 11/2010 (BA), www.bafin.de/cln_152/SharedDocs/Veroeffentlichungen/DE/Service/Rundschreiben/2010/rs__1011__ba__marisk.html

[4] Transparency International Deutschland e. V., Corruption Perceptions Index (CPI) 2011, www.transparency.de/Corruption-Perceptions-Index-2.2017.0.html

[5] Association of Certified Fraud Examiners, Report to the Nations on Occupational Fraud and Abuse, 2010 Global Fraud Study, www.acfe.com/uploadedFiles/ACFE_Website/Content/documents/rttn-2010.pdf

[6] Bundesministerium der Finanzen, Was ist Basel III?, "einfach erklärt", www.bundesfinanzministerium.de/DE/BMF__Startseite/Multimedia/Einfach-Erklaert/Basel-III/Basel-III-Artikel.html

[7] BSI, Sicherheitsempfehlungen für Cloud Computing Anbieter, Mindestanforderungen in der Informationssicherheit, Eckpunktepapier, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile