IT-Sicherheit

Andreas Mühlbauer,

Sicherheitsarchitektur aus einer Hand

Unternehmen und Behörden sind mit steigenden Sicherheitsanforderungen konfrontiert. Der Markt an Sicherheitslösungen und -produkten wird dabei zunehmend unübersichtlich, und Anwender haben die Qual der Wahl.

CGI bietet Sicherheit aus einer Hand, © CGI

Vieles spricht deshalb für die Nutzung von herstellerneutralen Services aus einer Hand, mit denen Organisationen die komplexen Herausforderungen anforderungsspezifisch bewältigen können.

Die Sicherheit der informationstechnischen Systeme in Behörden und Unternehmen birgt ein hohes Maß an Komplexität. Die Gefährdungslage nimmt dabei nicht ab, sondern sie steigt sogar kontinuierlich. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst vor Kurzem betont, dass „der Corona-bedingte Digitalisierungsschub die mögliche Angriffsfläche und damit das Risiko erfolgreicher Cyber-Angriffe vergrößert“ hat.

Steigende Sicherheitsanforderungen verlangen idealerweise eine zentrale, auf einheitlichen Standards basierende Verwaltung von Clients, E-Mail-Transport-Services, Mobile Devices oder Datenmanagement, gerade auch im Hinblick auf die verschärften Vorgaben in den Bereichen Regulatorik und Compliance. Alle Organisationen betreffen die gleichen Fragen: Wie wird man der Vielzahl an Regularien gerecht, und wie bewältigt man den hohen technischen Aufwand für den Betrieb der IT-Systeme? Nahezu alle IT-Verantwortlichen, von IT-Referatsleitern über Administratoren bis zu CIOs oder CISOs stehen dabei vor einer vergleichbaren Herausforderung.

Anzeige

Insellösungen oder integrierte Sicherheitsarchitektur

Es gibt zwar etliche Lösungen am Markt, die einzelne Sicherheitsbereiche abdecken, aber kaum Services, die das erforderliche Know-how und Lösungsportfolio aus einer Hand bieten. Bevor eine Organisation mehrere Einzellösungen implementiert, sollte sie die Nutzung eines durchgängigen, ganzheitlichen Angebots in Erwägung ziehen, welches das gesamte Anforderungsspektrum im Bereich IT-Sicherheit abdeckt. Dadurch wird die Einführung von Insellösungen vermieden, die den Administrationsaufwand erhöhen und unter Umständen auch unter Sicherheits- und Performanceaspekten problematisch sind.

Das Serviceangebot eines externen Dienstleisters im Bereich IT-Sicherheit sollte von der Beratung über die Lösungsauswahl und -implementierung bis zum Betrieb reichen. Von wesentlicher Bedeutung für den Auftraggeber ist es, dass der Dienstleister und seine Mitarbeiter über die entsprechenden Qualifikationen, Zertifizierungen und Referenzen verfügen.

Das German Secure Network (GSN) von CGI bietet als serviceorientierte Architektur alle Möglichkeiten, die kundenspezifischen Anforderungen in sämtlichen Sicherheitsbereichen abzudecken – modular und skalierbar. © CGI

Nach dem IT-Grundschutz-Prinzip bedarf jedes ISMS zunächst der Festlegung der Schutzziele. Bereits hier bietet es sich an, dass man mit einem externen Dienstleister zusammenarbeitet, der im eigenen Unternehmen ein stabiles und langjährig bestehendes ISMS betreibt. Dadurch kann der Bedarfsträger in seiner Definition schon in den ersten Schritten unterstützt werden.

Auf Basis der Schutzziele kann der Dienstleister Handlungsempfehlungen zu Architektur und Tools aussprechen und ein konkretes Umsetzungsszenario mit der Auswahl von Produkten und Lösungen konzipieren. Idealerweise verfolgt der Serviceprovider unter Nutzung der für den jeweiligen Einsatz perfekten und technologisch führenden Lösungen einen herstellerunabhängigen Best-of-Breed-Ansatz.

Eckpfeiler eines ganzheitlichen Serviceangebots

In der Praxis haben sich Serviceangebote bewährt. Dies gilt auch für die IT-Sicherheit. Ein Serviceangebot sollte eine hohe Flexibilität, Modularität und Skalierbarkeit aufweisen und damit die unterschiedlichen und steigenden Anforderungen von Behörden und Unternehmen jeder Größe abdecken. Flexibilität und Modularität bedeuten, dass der Provider vom Auftraggeber zum Beispiel nur für Consulting-Leistungen, für das Erstellen von Dokumentationen oder für das Bereitstellen einzelner Service-Applikationen wie Software-Paketierung, Backup oder SharePoint in Anspruch genommen wird. Ein gängiges Szenario ist bei vielen Unternehmen, dass die Endgeräte die Sicherheitsanforderungen erfüllen, nicht aber das Backend. Auf diese Ausgangslage muss der Provider flexibel mit einem integrierten Sicherheitskonzept reagieren können. Gleiches gilt, wenn ein Unternehmen eine Lösung, die auf höchste Sicherheit ausgelegt ist, nicht für alle Mitarbeiter, sondern nur für einen dedizierten Personenkreis nutzen möchte.

Die praktische Erfahrung zeigt, dass wichtige Eckpfeiler des Serviceangebots die Bereiche Backend, Kollaboration, Kommunikation, Datenmanagement, Mobile Access und Endgeräte sind. Konkret müssen die IT-Lösungen Managed Network Services wie DMZ Network Management, Core Services wie System Management und Directory Service, Application Services wie Windows Application Management, Anti-Virus und Collaboration sowie Enduser-Services wie Client Patch Management und Client Software Packaging umfassen. Hinsichtlich der Security Services sollten vor allem SIEM-, SOC- und CERT-Services zum Angebotsspektrum des Dienstleisters gehören.

Bei der Entscheidung für einen Serviceprovider stehen Behörden oder Unternehmen vor der Herausforderung, dass die Nutzung von State-of-the-Art-Technologien allein keine IT-Sicherheit gewährleisten kann. Ebenso wichtig ist, dass das Serviceangebot eine hohe Sicherheit bietet, die durch die Erfüllung strikter Regularien belegt ist. Dazu zählen etwa die BSI-Standards 200-1, 200-2 und 200-3 sowie 100-4 und die BSI-Isi-Reihe. Für Behörden, öffentliche Stellen und nichtöffentliche Stellen wie die geheimschutzbetreute Industrie muss der Provider zudem Produkte und Lösungen einsetzen können, die vom BSI zertifiziert und explizit für den Einsatz bis zum Geheimhaltungsgrad VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) zugelassen sind. Eine ITIL-konforme Dokumentation der Services gewährleistet dabei, dass methodische und inhaltliche Good Practices wiederverwendet werden. Sie ist damit die Basis für die Nachhaltigkeit der geschaffenen Lösungen.

Sechs wichtige Eckpfeiler eines Serviceangebots. © CGI

Ein unverzichtbares Kriterium eines umfassenden Serviceangebots in der IT-Sicherheit ist die anforderungsspezifische Unterstützung unterschiedlicher Betriebsmodelle, vom On-premises-Einsatz mit Self Service Management über Managed Services bis hin zum Full Outsourcing inklusive Field Service. Wichtig ist, dass der Anbieter im Hinblick auf die Grundanforderung von Behörden und vielen Unternehmen bei Managed-Services- oder Full-Outsourcing-Modellen garantiert, dass die Datenhaltung und die Administration ausschließlich in Deutschland erfolgen und der Serviceerbringer dabei nachweislich zu keinem Zeitpunkt Zugriff auf die VS-Daten der Behörden oder Unternehmen hat.

Dass die Herausforderungen in puncto IT-Sicherheit weiter steigen werden, dürfte außer Frage stehen. Anstatt mit Silolösungen bestehende Gefährdungspotenziale notdürftig zu flicken und durch absehbare neue Anfälligkeiten zu ersetzen, sollten Behörden und Unternehmen überprüfen, ob die Nutzung eines integrierten Serviceangebots, das die kundenspezifischen Anforderungen in sämtlichen Sicherheitsbereichen modular und skalierbar abdeckt, nicht der bessere Weg ist. Die Erfahrung zeigt, dass dieser Weg unter Gewährleistung des benötigten Maßes an IT-Sicherheit die Aufwände reduziert, die Zukunftssicherheit erhöht und damit bestehende Investitionen schützt und die Wirtschaftlichkeit neuer Beschaffungen maximiert.

Jürgen Nolte, Director Consulting Services bei CGI Deutschland

Anzeige

Das könnte Sie auch interessieren

Anzeige

Start-up Coboworx

Plattform berechnet Cobot-Risiko

Was den Einsatz von Cobots bisher aufwändig macht, sind die geltenden Rahmenbedingungen, was Sicherheit und Risikobeurteilung betrifft. Das Start-up Coboworx hat zusammen mit dem TÜV Rheinland eine Vorlage für den Bewertungsprozess entwickelt. 

mehr...
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige