Managed Security Services

Während es noch vor ein oder zwei Jahrzehnten als paranoid bezeichnet werden konnte, sich ständig über die Bedrohung aus dem Netz Sorgen zu machen, ist die Zunahme von Cyber- Attacken und die Raffinesse, mit der die Angriffe durchgeführt werden, heute fürUnternehmen aus allen Branchen längst Realität. Die Worte "Phishing", "Spam", "Virus" und "Trojaner" begleiten uns täglich durch das Netz.

In einer Studie von Arbor Networks aus dem Jahr 2012 gaben 94 Prozent der Managervon Rechenzentren an, dass es im Verlauf der letzten 12 Monate einen Angriff auf die IT-Sicherheit gab. 76 Prozent hatten mit Distributed-Denial-of-Service- Attacken (DDoS) zu kämpfen und 43 Prozent hatten dadurch teilweise oder vollständige Ausfälle der IT-Infrastruktur - eine Einschränkung, die Kunden nicht zu tolerieren bereit sind.

Permanentes Wettrüsten

Diese Zahlen zeigen, dass sich Unternehmen und Hacker - aus welchen Motiven heraus sie auch immer handeln mögen - in einem ständigen Wettrüsten befinden, das immer komplexer wird. Eines wird dabei jedoch zunehmend klar: Die Kriminellen haben meist die Nase vorn, denn sie haben heute mehr Werkzeuge, Code und Know-how zur Verfügung als jemals zuvor. Allein die Frage, auf was sich Organisationen vorbereiten müssen und welche Motive hinter möglichen Angriffen stecken, ist deshalb alles andere als trivial.

DDoS-Attacken beispielsweise können zum Ziel haben, Unsicherheit bei den Kunden zu verursachen und so neben dem finanziellen auch einen Image-Schaden anzurichten; sie können aber auch lediglich als Ablenkung für den eigentlichen Angriff dienen, der den Diebstahl von geistigem Eigentum oder Kreditkarteninformationen zum Ziel hat.

Leider genügt es daher meist nicht, nur einen Angriff abzuwehren, denn ähnlich einer Hydra wachsen oft zwei Köpfe nach, sobald einer abgeschlagen ist. Eine zuverlässige und einfache Todo- Liste für den Aufbau einer defensiven Strategie gibt es nicht, denn eine zeitgemäße Verteidigung muss dynamisch und pro-aktiv sein, das heißt wirksam vor den gegenwärtigen Bedrohungen schützen und die benötigte Agilität bieten, um auch die Angriffe von morgen abzuwehren. Die schlechte Nachricht dabei: Solche Lösungen sind kostenintensiv und brauchen 24/7-Betreuung durch ITSicherheitsexperten - Fachleute, die sehr schwer zu bekommen sind.

Auslagern oder selbst machen?

Aus gutem Grund stellt sich deshalb wie in allen anderen Bereichen der ITInfrastruktur heute die grundlegende Frage: "Make or Buy?" Denn obwohl es so etwas wie zu viel Sicherheit eigentlich nicht gibt, wäre es eine Herkulesaufgabe für Unternehmen, für die gesamte heute nötige IT-Sicherheit alleine sorgen zu wollen.

Denn die Sicherheitsstandards, die führende IT-Infrastruktur-Anbieter im Bereich Managed Security bieten, sind für die hauseigene IT-Abteilung eigentlich nicht erreichbar. Bereits die Aufwendungen für die Hardware und die Unterbringungen in einem modernenState-of-the-Art-Rechenzentrum würden einen Großteil des Budgets in Anspruch nehmen.

Darüber hinaus stellt es für das ITPersonal eine zeitintensive und notwendige, aber mitunter belastende Aufgabe dar, ständig mit den neuesten Sicherheitsbedrohungen und -technologien Schritt halten zu müssen. Das sind personelle Ressourcen, die an anderenStellen vermutlich besser einzusetzen wären. Egal, ob es um den Schutz einer klassisch gehosteten oder um Cloud-Infrastruktur geht - es lohnt sich, einen Blick auf Managed Security zu werfen, statt immer noch selbst den Helden im Cyber-Krieg spielen zu wollen.

Denn die Erfahrung, die spezialisierte Anbieter bei der Zusammenarbeit mit mehreren Tausend Kunden und einem Vielfachen an Sicherheitsinstallationen gesammelt haben, kann den entscheidenden Vorteil bringen. Sicherheitsprofis bieten angefangen von der Hardware, der Software und der Infrastruktur bis hin zu Security Experten einen Schutz, der mit herkömmlichen Methoden zur Implementierung von Sicherheitslösungen kaum zu vergleichen ist. Darüber hinaus lassen sich so die zugrundeliegenden Ressourcen optimieren und beträchtliche Kosteneinsparungen realisieren.

Vielfältige Schutzmaßnahmen

Neben der physischen Sicherheit in einem modernen Rechenzentrum mit mehrstufigen Zugangskontrollen und grundlegenden Sicherheitsfunktionen wie Firewalls sollte der Schutz vor DDoS-Attacken zunächst ganz oben auf der Liste stehen. Der Managed-Security- Anbieter muss über erfahrene Analysten verfügen, die in der Lage sind, verdächtigen Datenverkehr im Netzwerk bereits aufzuspüren, bevor er die Infrastrukturbeeinflussen kann. So können schädliche Datenpakete umgeleitet werden, damit diese die Website gar nicht erst erreichen. Natürlich müssen hierfür auch während einer Attacke die richtigen Entscheidungen getroffen werden.

Gute Provider berechnen für diesen Schutz einen erschwinglichen, monatlichen Grundpreis, bei dem nur im Fall einer wirklichen Attacke für das "Reinigen" der Datenpakete eine Gebühr auf Stundenbasis hinzukommt. Von teuren "Premium Services" sollten Unternehmen hingegen Abstand nehmen, denn es kann sein, dass laufende Schutzmaßnahmen bezahlt werden, die kaum zum Einsatz kommen werden.

Beinahe ebenso wichtig ist der Schutz der Web-Anwendungen, denn häufig liegen dahinter sensible Informationen wie Kunden- und Kreditkartendaten.

Die Überwachung des Datenverkehrs sollte dabei die bestmögliche Sicherheit bei minimaler Latenz bieten, damit das Nutzungserlebnis für den Kunden nicht beeinträchtigt wird.

Darüber hinaus sind Cloud-Security- Services wichtig für Public- oder Private-Cloud Umgebungen. Die Daten sollten vom Anbieter verschlüsselt und maskiert werden, jedoch so, dass die Unternehmen selbst die Kontrolle behalten. Provider sollten kontinuierlich die internen Schwachstellen scannen und die kritischen Bedrohungen herausfiltern, damit diese effizient gelöst werden können.

Für viele Organisationen ist zudem die Erfüllung steigender Compliance-Anforderungen unternehmenskritisch. Bereits die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS), dem Regelwerk für Kreditkarten-Transaktionen, stellt viele Unternehmen vor eine schwierige Aufgabe. Für einen auf Sicherheit spezialisierten IT-Infrastruktur- Outsourcing-Anbieter ist die Einhaltung der Standards hingegen immer nur ein paar Mausklicks entfernt. Umso mehr, wenn für die Rechenschaftslegung eine einfach zu bedienende Schnittstelle zur Verfügung steht, die eine breite Palette an standardisierten Berichten zur Verfügung stellt.

Fazit

Sicherheitstechnologien sind teuer und ändern sich wegen der Vielzahl von Bedrohungen ständig. Viele Unternehmen wollen daher den finanziellen Schaden, den ein Angriff verursachen kann, beziffern, um zu entscheiden, ob die Investitionen gerechtfertigt sind. Eine passende Antwort auf diese Frage gibt es jedoch leider nicht. Die Frage ist daher nicht, ob man sich professionelle Sicherheit leisten kann oder will, sondern ob man es sich leisten kann, darauf zu verzichten.

Denn Fakt ist: Im schlimmsten Fall riskiert man immer alles - und sollte dieser Fall eintreten, helfen auch Statistiken nicht weiter. Die Endkunden sehen Sicherheit zu Recht als eine wesentliche Aufgabe eines Service-Anbieters beispielsweise im Bereich Online-Banking. Wie eine aktuelle Studie unter mittelständischen Unternehmen gezeigt hat, haben 40 Prozent der Befragten bereits beim ersten Sicherheitsvorfall den Anbieter gewechselt.

Das kritische Bewusstsein dafür, wie sensible Daten untergebracht und geschützt werden sollen, wächst zwar bereits stark an, jedoch gibt es immer noch sehr viele IT-Entscheider, denen es schwerfällt, Sicherheitsmaßnahmen vor der Geschäftsführung zu rechtfertigen.Dass professionelle Sicherheit mittlerweile auch on Demand verfügbar ist und somit nicht zwingend Investitionen in Hardware, Software und Fachkräfte nötig sind, ist noch nicht ausreichend bekannt.