Intelligentes Security-Sourcing

Mehr Sicherheit durch die richtige Strategie

Die Zeiten, in denen sich Unternehmen selbst um ihre gesamte IT-Sicherheit kümmern konnten, sind vorbei. Denn heutzutage funktioniert zum einen kein Business mehr ohne IT und zum anderen hat sich die Bedrohungslage deutlich verschärft. Dadurch sind die Aufgaben der IT-Security so komplex geworden, dass sie intern kaum mehr zu bewältigen sind. Weil die Branche zusätzlich mit einem massiven Fachkräftemangel zu kämpfen hat, kommen Unternehmen nicht umhin, Teile ihrer Security auszulagern, um ihr Geschäft ausreichend zu schützen. Welcher Weg aber führt zur optimalen Sourcing-Strategie? Welche Services können ausgelagert, welche sollten besser intern betrieben werden?

Von Lutz Feldgen, Computacenter

Unternehmen stehen unter Zugzwang, ihre Cyberabwehr gut aufzustellen und für Prävention, Detektion und Reaktion die richtigen Lösungen und den passenden Service-Provider zu finden. Hinzu kommt die Frage: Alles auslagern oder nur bestimmte Teilbereiche? So wollen Finanzinstitute in der Regel die Kontrolle intern behalten. Deshalb kann ein Service-Provider zwar den technischen Betrieb von Cyberabwehr- Systemen übernehmen, der fachliche Input und die Analyse der Ergebnisse bleiben jedoch im Unternehmen.

Im Fokus aller Überlegungen zur Sourcing-Strategie für die Cyberabwehr sollte immer das perfekte Zusammenspiel zwischen Menschen, Tools und Prozessen stehen. Wer übernimmt welche Aufgaben, was sollte selbst erbracht, was kann ausgelagert werden? Wie lässt sich eine reibungslose Zusammenarbeit sicherstellen? Und: wohin auslagern? Denn oft lässt sich die Sicherheit nicht aus einem Haupt-Service ausgrenzen – um die Endpoint-Security kümmert sich der Workplace-Provider, um die Firewalls der Netzwerk- Provider. Gleichzeitig muss der fachliche Nutzen aus den dazugehörigen präventiven Technologien wie Endpoint-AV, NIPS, Firewall & Co. für Detektion und Prävention zentralisiert bezogen werden – aus dem Cyber-Defence-Center. Ein guter Service-Provider muss das Verständnis mitbringen, Security-Technologie und deren Abhängigkeiten zueinander einzuordnen und die bestehenden präventiven Security- Lösungen fachlich zu orchestrieren – auch wenn er sie nicht zwingend selbst betreibt.

Unternehmen sind daher gut beraten, auf starke Partner zu setzen, die sich in allen Gebieten der Unternehmens-IT auskennen und ein durchdachtes eingebettetes Sicherheitskonzept anbieten. Als Secure IT-Provider bietet Computacenter im Bereich Managed Services genau das und prüft diese Punkte darüber hinaus im Rahmen seiner Security-Strategieberatung. Damit kann ein intelligentes Sourcing geplant werden, um für mehr Sicherheit zu sorgen und von Synergien zu profitieren. Wichtig dabei ist, die IT-Sicherheit als Ganzes zu betrachten, um optimale Lösungsmodelle zu entwickeln. Doch welche Sicherheitsservices ein Unternehmen auch auslagert, die Entscheidung über die Maßnahmen und Risiken sowie die Verantwortung über die Datensicherheit verbleiben immer beim Unternehmen.

Effizienter dank Orchestrierung und Automation

Wer intelligentes Sourcing betreiben will, sollte einen weiteren Aspekt berücksichtigen: Auch die IT-Sicherheit entwickelt sich immer mehr in Richtung Automatisierung und Orchestrierung. Denn der durchschnittliche Zeitraum, bis ein Angriff entdeckt wird, liegt noch immer zwischen 9 und 22 Monaten. Auch wenn sich die Zeitspanne stetig verkürzt, vergeht zwischen dem Entdecken eines Angriffs und der Analyse, um welchen Vorfall es sich handelt, sowie der Reaktion darauf, nach wie vor deutlich zu viel Zeit. Um die Reaktionszeit zu verkürzen, unterstützt beispielsweise „Security Orchestration and Automated Response“ (SOAR). Ist eine SOAR-Plattform mit weiteren Quellen etwa für ein automatisiertes, komplexes Event Enrichment oder mit Maßnahmen der Endpoint- oder Network-Security verknüpft, ermöglicht sie eine automatisierte Analyse und Reaktion. Eine vollständige Automation ist jedoch nicht erstrebenswert, da neben der technischen Integration auch Organisation und Prozesse fl exibel bleiben müssen. Denn bei neuartigen Bedrohungen oder möglichen Fehlalarmen sind die automatisiert aufbereiteten Sicherheitsvorfälle manuell nachzuprüfen. Nach der Überprüfung kann das System auch auf diese Vorfälle automatisch reagieren. Ist SOAR strategisch gesetzt, muss der Sourcing-Partner dabei unterstützen und sich entsprechend vorbereiten. Und das gilt für jede relevante Sicherheitstechnologie.

Managed Security-Services

Bei der Sourcing-Frage unterstützt Computacenter seine Kunden im Rahmen von Security- Strategieberatung, in der auch das intelligente Sourcing ein wichtiger Bestandteil ist. So kann der Secure ITProvider sowohl dabei unterstützen, den richtigen Service-Provider für die Anforderungen des Unternehmens zu ermitteln, als auch selbst Managed Security-Services erbringen. Um erfolgreiche Cyberangriffe einzudämmen und deren Folgen zu beseitigen, setzt Computacenter auf eine Kombination der drei Kerndienstleistungen: Security Incident and Event Management (SIEM), Vulnerability Management und Information Security Officers.

Die ersten beiden Services konzentrieren sich auf die proaktive Identifi zierung von Risiken, Vorfällen, Schwachstellen und Angriffen. Der Information Security Officer fokussiert sich auf die Kontextualisierung der identifi zierten Probleme. Die Kombination aller drei Services ermöglicht es, einen Angriff schnell zu bewältigen. Dabei bieten SIEMund Vulnerability-Services die notwendige technische Expertise und Einblicke. Der Sicherheitsmanager bildet die Schnittstelle zum Kunden und hat den erforderlichen Überblick über die individuellen Gegebenheiten des Unternehmens, um die optimale Reaktion zur Eindämmung und Beseitigung aller identifi zierten Bedrohungen durchzuführen.

Um die unterschiedlichen Bedürfnisse der Unternehmen an ITSicherheit bestmöglich zu erfüllen, hat Computacenter seine Cyber- Defence-Services an einem Layer- Modell ausgerichtet. Damit können Unternehmen schnell erkennen, wo sie stehen und wie sie aufgestellt sind. Auf dieser Basis entwickelt Computacenter anschließend das passende Betriebsmodell (vgl. Abb. 1).

Abb.1: Ebenen-Modell für Managed Security-Services

Die unterste, beziehungsweise erste Ebene umfasst den nativen Betrieb von präventiv wirkenden Sicherheitskomponenten, der sich in der Art und Weise kaum vom Betrieb der Netzwerk- oder Client/ Server-Komponenten unterscheidet. Hier geht es vor allem um die Verfügbarkeit der Komponenten, das fehlerfreie Arbeiten und die Aktualität der Software.

Auf der zweiten Ebene kommen Security-Komponenten zum Einsatz, die zur Detektion von Angriffen dienen. Eine erste Basisanalyse fi ndet hier mit dem Ziel statt, Angriffe zu erkennen.

Auf der dritten Ebene wird die Basisanalyse durch eine tiefgehende Analyse von Sicherheitsvorfällen erweitert. Hier ist sehr individuelles Know-how Voraussetzung, um die geeignete Reaktion auszulösen.

Auf der vierten Ebene ermöglichen detaillierte forensische Untersuchungen die notwendige und richtige Reaktion auf Vorfälle.

Verantwortung bleibt immer im Unternehmen

Beim Auslagern verschiedener Services sollten Unternehmen stets berücksichtigen, wie sie von den größtmöglichen Synergien profi tieren können. So sorgt die Auslagerung von Cyber-Defence-Services zusätzlich zu weiteren Services in eine Hand beispielsweise für einen kurzen Informationsfl uss. Nachteilig hierbei ist ein erhöhter Aufwand bei der Governance durch den Kunden, da die Funktionstrennung nicht mehr gegeben ist. Eine Alternative ist es, einem Service-Provider nur die Cyber-Defence zu übertragen. Hier ist weniger Governance gefragt, allerdings sind mehr Prozesshürden zwischen den Service-Providern zu überwinden.

Egal welchen Weg ein Unternehmen geht: Wichtig ist immer, dass eine durchdachte Strategie hinter allen Sourcing-Entscheidungen steht und Unternehmen sich bewusst sind, dass die Entscheidung über Maßnahmen und Risiken sowie die Verantwortung für die Datensicherheit immer beim Unternehmen verbleibt.