Software-as-a-Service weitergedacht: Security-as-a-Service

Datensicherheit ist für jede Firma notwendig für sichere Geschäftsprozesse. Falls das Budget nicht reicht, könnte Security-as-a-Service helfen.

Informationssicherheit – wenn es Ausgaben gibt, die wohl jedem CIO die Tränen in die Augen treiben, dann genau bei diesem Thema. Wer konnte all den Schlagzeilen der letzten Zeit schon entgehen, ob zu Daten- und Identitätsdiebstahl oder Kreditkartenbetrug? Unternehmen und Organisationen jeder Art und Größe – ob der kleine Händler um die Ecke, internationale Großkonzerne oder auch Behörden – sind sich durchaus bewusst, dass ihre Daten geschützt werden müssen. Und haben zugleich das mulmige Gefühl, dass es genau hier hapert.

Sergio Galindo, General
Manager, GFI Software

Wenn der Twitter-Account eines eher unbedeutenden Restaurants gehackt wird, ist das eine Sache. Ganz anders verhält es sich, wenn eine staatliche Einrichtung betroffen ist. Größere Organisationen und Unternehmen können sich bei Notfällen teuren externen Support leisten, der alles wieder ins Lot bringt – doch an wen sollen sich mittelständische Betriebe wenden, die nicht mit einem großen Finanzpolster ausgestattet sind?

Informationssicherheit liegt in der Hand von Spezialisten, die sich ihre Dienste gut bezahlen lassen. Angesichts der hohen Nachfrage nach verhältnismäßig spärlich gesäten Experten steht im Markt für Sicherheitslösungen ein neuer Trend in den Startlöchern: Security-as-a-Service, bereitgestellt durch eine wachsende Anzahl von Spezialanbietern und unabhängigen IT-Sicherheitsberatern, die mit günstigen Angeboten locken.

Dies scheint verlockend, vor allem angesichts aktueller Schlagzeilen zu fatalen Hacker-Angriffen. Doch Mittelständler sollten nicht blindlings auf die neuen Dienste setzen. Hier sind ein paar Denkanstöße:

Allheilmittel? Fehlanzeige.

Eines steht eindeutig fest: Es gibt keine Wunderwaffe, keine Schnellhilfe, keine Abkürzung – Sicherheit lässt sich nur durch eine grundlegende innere Haltung erzielen, die jegliches Handeln bestimmt und sich auch in allen Bereichen von Informationssystemen wiederfinden muss. Sei es bei Anmeldeprozessen, bei der Verschlüsselung von Datenträgern, der Entwicklung von Applikationen, beim Schutz von Remote-Zugriffen und vielem mehr. Ein zuverlässiger Schutz von IT-Infrastrukturen ist zudem nur dann gewährleistet, wenn beauftragte Sicherheitsexperten praktische Erfahrung mit sämtlichen im Unternehmen vorhandenen Systemen vorweisen können.

Individuelle Lösungen für individuelle Unternehmen

Zwei Unternehmen, die sich hinsichtlich Mitarbeiterzahl, Jahresumsatz und Systembestand gleichen, haben dennoch ganz eigene Anforderungen an die IT-Sicherheit. Selbst wenn ein Pauschalangebot für Schutzmaßnahmen gewünscht wird, sollten seriöse Anbieter den zu erwartenden Zeit- und Materialaufwand angeben. Für größere Provider mögen sich Festpreise hingegen lohnen. Mehrschichtige Sicherheit wirkt am zuverlässigsten. Für ein genaueres Verständnis einzelner Anforderungen und die Ermittlung konkreter Maßnahmen muss Ebene für Ebene betrachtet werden. Nur so lässt sich erschließen, ob der Schutz weitreichend genug ist und welche Ausgaben für die Absicherung einzuplanen sind.

Erfahrung macht den Meister

Nicht wenige Berater möchten von der wachsenden Nachfrage profitieren, machen sich selbstständig und treten bereits zu Beginn ihrer Einzelkämpfer-Laufbahn als gestandene Sicherheitsexperten auf. Doch gerade in diesem Bereich kommt es auf langjährige Branchenerfahrung an, um Kunden kompetente Hilfe in Sachen IT-Sicherheit leisten zu können. Unternehmen müssen somit gezielt nach Qualifikationen sowie belegbaren Kunden- und Projektreferenzen fragen, um nicht falschen Versprechungen zu erliegen.

Zertifizierungen – nur ein Anfang

Sicherheitszertifizierungen gibt es zuhauf. Zugehörige Prüfungen und erforderliche Auffrischungen sind oft sehr anspruchsvoll. Doch durch das Bestehen eines Tests wird der Prüfling nicht automatisch zu einem ausgewiesenen Sicherheitsexperten. Wie bereits erwähnt, sind genau zu kontrollierende Referenzen von Kunden oder auch Weiterempfehlungen von Kollegen wichtige Anhaltspunkte für den Erfahrungsschatz eines Anbieters. Ein direktes Gespräch mit ehemaligen Kunden – deren vorheriges Einverständnis vorausgesetzt – kann hier besonders nützlich sein.

Beurteilung der IT-Sicherheit – ein fortlaufender Prozess

Sicherheitsaudits mit Risiko- und Schwachstellenanalysen, Penetrationstests oder das Härten von Systemen – ohne diese fortlaufenden Maßnahmen kommen IT-Infrastrukturen nicht aus. Die Beurteilung der IT-Sicherheit ist kein einmaliger Vorgang, sondern eine kontinuierliche Aufgabe. So wie der jährliche Gesundheits-Checkup beim Arzt für viele Normalität ist, sollte auch die Unternehmenssicherheit einmal im Jahr auf Herz und Nieren geprüft werden. Und nicht nur das: Sogar monatliche Audits haben Sinn. Denn nur so lässt sich sicherstellen, dass Patches und Systemeinstellungen immer auf dem neuesten Stand sind.

Security as a Service: dauerhafte externe Dienstleistung oder punktueller Support interner Teams?

Unternehmen haben zwei Optionen: Sie können sich langfristig die Dienste eines Anbieters von Security-as-a-Service sichern. Oder sie holen sich die Unterstützung eines Experten, der IT-Mitarbeiter bei der Implementierung interner Systeme zur Schwachstellenanalyse und zum Patch-Management anleitet. Stehen größere Projekte, Upgrades oder jährliche Komplett-Checkups an, wird der Provider erneut beauftragt. Interne IT-Teams müssen den zusätzlichen Kontrollaufwand jedoch schultern können und zudem entsprechende Tools samt Schulung bereitgestellt bekommen.

Um auf Nummer sicher zu gehen, sind zusätzlich ein jährliches Audit und monatliche Schwachstellen-Scans durch den Sicherheits-Provider sinnvoll. Besteht das IT-Team hingegen aus einem einzigen Mitarbeiter, der auch noch den Vertrieb verantwortet, überschreiten weitere sicherheitsbezogene Aufgaben die Grenze des Machbaren. In diesem Fall ist dringend zu empfehlen, externe Experten zu engagieren. Unternehmen müssen sich für eine Lösung entscheiden, die zu ihrem Unternehmen und dem verfügbaren Budget passt. Fakt ist jedoch: Bereits ein einziger Sicherheitsvorfall kann existenzbedrohend sein. Darauf zu hoffen, dass schon alles gut gehen wird, ist überaus fahrlässig.

Unternehmen mit datenverarbeitenden Systemen jeglicher Art kommen am Thema Informationssicherheit nicht vorbei – selbst wenn sämtliche Geschäfte nur per Smartphone abgewickelt werden sollten. Denn Schäden durch gehackte E-Mail-Konten oder den Missbrauch von Kreditkartendaten können immens sein.

IT-Systeme von Unternehmen, die online aktiv sind, müssen kontinuierlich geschützt sein, um ihre geschäftliche Existenz nicht zu gefährden. Zahlreiche unabhängige Berater und Unternehmen bieten dieses Sicherheitsversprechen, gegen eine angemessene Bezahlung natürlich. Entspricht das Angebot genau den gewünschten Anforderungen, so dass weiterhin geschäftlicher Erfolg sowie hohe Sicherheit und Kundenzufriedenheit gewährleistet sind, spricht nichts gegen Security-as-a-Service.

Über den Autor:
Sergio Galindo ist General Manager bei GFI Software und verfügt über mehr als 20 Jahre Erfahrung in der Unternehmens-IT. Vor seiner Ernennung zum General Manager von GFI Software war er CIO des Unternehmens. Vor seinem Wechsel zu GFI leitete er weltweite IT-Programme für Großkonzerne der Finanzbranche darunter Bank of New York, Bankers Trust und Lehman Brothers, wo er die Rolle des Senior Vice President der IT-Abteilung innehatte.  

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close