Beim Outsourcing von IT-Services, insbesondere Commodity-Services wie RZ-Dienstleistungen oder Workplace, gibt es viel Erfahrung, daher ist es inzwischen weit verbreitet, Teile der IT an Service-Provider auszulagern. Bezüglich des Outsourcing von IT Security-Services allerdings haben viele Unternehmen aufgrund der hohen Risiken noch Bedenken. Doch ist diese Einstellung in Zeiten ständig neuer Bedrohungen sowie immer schneller zu aktualisierender Spezialexpertise noch zeitgemäß? Diese Fragen werden im Folgenden untersucht.
Outsourcing von IT Security-Services – Ausgangssituation
Nahezu jeder Bereich der IT lässt sich heutzutage outsourcen:
Angefangen beim Service Desk, über das Hosting von Rechenzentren, Webseiten, dem SAP-Betrieb, Datenbanken oder CRM-Systemen, für jeden IT-Service-Bereich gibt es etablierte Anbieter. Auch im Bereich der IT-Security gibt es inzwischen eine Vielzahl von Anbietern, die unter Anderem das Storage-Backup, Security Information und Event Management (SIEM) oder den Betrieb von Firewalls übernehmen. Doch gerade der Betrieb von Firewalls ist gesondert zu betrachten, stellen doch die Firewalls in der Regel den entscheidenden Schutz vor Angreifern aus dem Internet dar.
Überblick Firewall-Services
Eine Firewall analysiert den Datenverkehr und blockiert oder gewährt den Datenfluss auf Basis von Regeln, die erlaubten oder unerlaubten Traffic definieren. Next Generation Firewalls bieten zudem Funktionen wie Intrusion Detection (IDS) und Intrusion Prevention (IPS) an, um Angriffe auf das Unternehmensnetz zu erkennen und abzuwehren. Dadurch schützen sie einzelne Rechner, Server und Netzwerke vor Angriffen mit Malware, Trojanern oder unbefugten Zugriffen.
Je nach Unternehmensgröße kann die Verwaltung und Überwachung von Firewalls durch sehr viele Regeln sowie ständig neuen Angriffsmöglichkeiten schnell sehr komplex und zeitaufwendig werden. Das jeweilige IT-Team muss in der Lage sein, mit der neuesten Software und Technologie stets Schritt zu halten. Nur so kann es in der heutigen digital vernetzten Welt das Unternehmen dauerhaft schützen. Die entsprechenden Spezialisten sind unter Umständen durch den Fachkräftemangel schwer zu bekommen, beziehungsweise zu halten. Hier kommt das Thema „Firewall-Administration durch einen Service-Provider“ ins Spiel: Der Service Provider kümmert sich um Betrieb, Wartung und Administration der jeweiligen Firewall-Lösung.
Vorteile einer vollständigen Ausgliederung
Grundsätzlich ist beim Outsourcing von IT Security-Services zu entscheiden, ob der gesamte Firewall-Betrieb oder nur Teile der Betriebsaufgaben abgegeben werden sollen. Je nach Unternehmen sind möglicherweise besonders sensible Bereiche vorhanden, die nicht an einen Provider outgesourct werden können (z.B. in der Medizin). Wird der gesamte Betrieb ausgegliedert, kann dies für Unternehmen eine Reihe von Vorteilen bringen:
- Kein Administrationsaufwand
Der Provider übernimmt alle Services rund um die Administration der Firewall-Lösung. Dazu gehören beispielsweise Updates, Patch-Management, Best Practice-Konfiguration, Monitoring oder Support. Somit müssen keine eigenen Spezialisten mehr vorgehalten werden, die stetig ihr Know-how aktualisieren und ausbauen müssen. - Einfache Skalierbarkeit
Je nach Anforderung bezüglich Traffic oder Administration lassen sich die Firewall-Leistungen hinsichtlich der Provider-Ressourcen schnell nach oben oder unten skalieren. - Flexibilisierung der IT-Investitionen
Firmen können ihre IT-Investitionen flexibel gestalten. So erfolgt die Abrechnung entweder in einem nutzungsbasierten Mietmodell oder man beschafft die Hardware selbst und kauft nur die Betriebsleistungen ein. - Hohe Sicherheit
Hat sich ein Service-Provider auf IT-Security-Services spezialisiert und erbringt diese für mehrere Kunden, so ist er in der Regel professioneller aufgestellt, da er mehr spezialisiertes Personal hat und die Effizienz seines Betriebskonzepts stetig optimiert, um seine Marge zu steigern. Somit ist die Firewall-Lösung stets auf dem aktuellen Stand und kann zeitnah mit den neuesten Funktionen ausstattet werden.
Diese Vorteile können nur erzielt werden, wenn zwischen Unternehmen und Service-Provider die entsprechenden Verträge gut ausgearbeitet und abgestimmt sind: Im Service-Schein müssen die vom Provider zu übernehmenden Leistungen sowie ihre Qualität (über die Festlegung von SLAs) genau spezifiziert sein, die Schutzmechanismen sollten auf Basis der Ergebnisse eines ganzheitlich etablierten Risikomanagements gestaltet sein. Das interne IT-Security-Team muss im Rahmen des Outsourcings bei den entsprechenden Planungen, Abstimmungen und ggf. in Verhandlungen mit dem künftigen Service-Provider eingebunden werden, um ein gemeinsames Sicherheitsverständnis zu erreichen. Auch wenn die Service-Provider über ein enormes Sicherheits-Wissen verfügen, kann eine Anpassung an etwaige Unternehmensbesonderheiten durchaus erforderlich sein, anstatt sich rein auf allgemeine Security-Standards des Service-Providers zu verlassen.
Sonderfall Produktionsumgebungen
Alle genannten Punkte hinsichtlich des Firewall-Betriebs sind bei einigen Unternehmen in bestimmten Bereichen nicht so einfach anzuwenden. Insbesondere bei produzierenden Unternehmen ergeben sich in den Produktionsumgebungen häufig besondere Anforderungen wie zum Beispiel spezielle lHard- oder Software. Hier ist es oftmals notwendig, eine angepasste Firewall-Lösung zu betreiben, die meist besser auf die spezifischen Anforderungen ausgerichtet ist. In Produktionsumgebungen stehen oft sehr alte IT-Systeme, für die es keine Sicherheitsupdates mehr gibt, ebenso läuft spezielle und sehr alte Steuerungs- oder Mess-Software häufig nicht auf neuen Betriebssystemversionen. Daher sind diese Bereiche noch besser abzusichern, um nicht nur die Produktion nicht zu gefährden, sondern auch, um Firmengeheimnisse (z.B. Patente) zu schützen. Vorhandene Sicherheitskonzepte müssen geprüft und ggf. angepasst werden, da ein anderes Know-How bei der Konzeption und beim Betrieb solcher Firewalls nötig ist. Auch die Firewall-Anforderungen können sich von Standard-Lösungen hinsichtlich Verfügbarkeit und Konfigurationsmöglichkeiten unterscheiden.
Spezifikation der Leistungen
Damit sich auch Firewalls für solche Umgebungen von einem Service-Provider managen lassen, ist eine möglichst genaue Spezifikation in der Leistungsbeschreibung erforderlich, da sich viele Standard-Lösungen nicht 1:1 nutzen lassen. Der Service-Provider hat zwar das bessere Wissen, kennt aber etwa die Vor-Ort-Umgebung nicht. Nach einer Vergabe sollte die Provider-Expertise in einem entsprechenden Transition-Projekt genutzt werden, um die aktuelle Firewall-Konzeption und den Betrieb zu prüfen und gemeinsam mit dem Auftraggeber Verbesserungen umzusetzen. Dadurch lernen die Mitarbeiter:innen des Service-Providers die Systemumgebung kennen und können sich auf die Anforderungen einstellen.
Anpassungen an diese Firewalls müssen schnell und präzise umsetzbar sein, damit es nicht zu Verzögerungen bei der Implementierung oder Ausfällen kommt. Ein Ticketsystem mit angeschlossener Hotline und idealerweise einem Chat für Change-Requests ist entsprechend einzurichten, um besonders kurze Reaktions- oder Lösungszeiten, auch zu ungewöhnlichen Arbeitszeiten (etwa am Wochenende) zu ermöglichen. Auch müssen die Kommunikationswege klar geregelt sein, damit die Anpassungen schnell vorgenommen werden können. Die dafür ggf. notwendige Optimierung der Service-Request-Prozesse ist ebenfalls im Rahmen der Transition anzugehen, um die erforderlichen internen Zuarbeiten im Prozess, wie etwa Genehmigungen und Freigaben, zu verbessern.
Outsourcing von IT Security-Services – Fazit
Zusammenfassend lässt sich sagen, dass beim Outsourcing von IT Security-Services, insbesondere beim Thema Firewall, deutlich mehr Punkte zu beachten sind als bei anderen IT-Dienstleistungen. Gerade im Bereich der Produktion ist im Rahmen der Transitionsphase eine enge Zusammenarbeit zwischen Unternehmen und Service-Provider notwendig, um die entsprechenden Umgebungen effizient zu schützen. Zudem muss bei der Zusammenarbeit sichergestellt sein, dass es zu keinen Behinderungen im Betrieb, wie etwa Produktionsverzögerungen oder Ausfällen, kommt. Klare Kommunikationsstrukturen und Verantwortlichkeiten sind daher neben Einrichtungs- und Konfigurationsstandards unabdingbar.
