Sysbus
GlosseManagementSecurity

Hohe IT-Sicherheit ist eine ständige Herausforderung

gg

Autor/Redakteur: Christian Ebert, Chief Information Security Officer bei QSC/gg

Christian Ebert, Chief Information Security Officer bei QSC in Köln. (Quelle: QSC)
Christian Ebert, Chief Information Security Officer bei QSC in Köln. (Quelle: QSC)

Vorhandene Rechenzentrumskapazitäten modernisieren und ausbauen – vor dieser Aufgabe stehen momentan viele Unternehmen. Immer mehr wollen nicht mehr ausschließlich auf ein eigenes Rechenzentrum setzen, sondern zumindest Teile ihrer Infrastruktur und Applikationen an einen IT-Dienstleister auslagern: An zentralen Weichenstellungen bezüglich der IT-Sicherheit kommt dabei niemand vorbei.

Mehr denn je benötigen Unternehmen heute eine leistungsfähige IT, die ihre Geschäftsprozesse bestmöglich unterstützt. Der rasante technische Fortschritt und der intensive Wettbewerb in allen Marktsegmenten erfordern eine permanente Evaluation und Aktualisierung der vorhandenen Ausstattung. Bei einer Bestandsaufnahme zeigt sich immer häufiger, dass Unternehmen nicht willens oder in der Lage sind, die für eine Modernisierung erforderlichen technischen und personellen Investitionen in ein eigenes, modernes Rechenzentrum zu tätigen.

Eine hohe Verfügbarkeit sowie Performance und Sicherheit zu gewährleisten sind ambitionierte Ziele, die nicht jedes Unternehmen mit den vorhandenen Mitteln problemlos erreichen kann. Einige haben daher bereits Teile ihrer IT-Infrastruktur an IT-Service-Provider ausgelagert – andere befinden sich in der Planungsphase. Ein zentraler Aspekt bei einem solchen Migrationsprojekt ist eine Checkliste, mit der Unternehmen prüfen können, ob der Service-Provider die vorrangigen organisatorischen und technischen Anforderungen im Hinblick auf Verfügbarkeit sowie Zukunftsfähigkeit und vor allem hinsichtlich der IT-Sicherheit erfüllt.

1

Organisatorische IT-Sicherheitsmaßnahmen

Eine wichtige Rolle bei den organisatorischen IT-Sicherheitsmaßnahmen spielt das bei einem Service-Provider implementierte Information-Security-Management-System (ISMS). Darin sollten Regeln und Prozesse definiert sein, mit denen der Service-Provider die Informationssicherheit steuert, überwacht und fortlaufend optimiert. Unternehmen sollten sich das ISMS eines Service-Providers genauestens erläutern lassen. Am ISMS entscheidet sich, wie wirksam der Service-Provider die Anforderungen bezüglich der Vertraulichkeit, Verfügbarkeit und Integrität der Daten umgesetzt hat und sicherstellt, dass diese Vorgaben auch eingehalten werden.

Die Güte des ISMS lässt sich beispielsweise an dessen Zertifizierung überprüfen, das heißt die vorhandenen Sicherheitszertifikate und Auditierungen werden zu einem bedeutsamen Auswahlkriterium im Entscheidungsprozess. Service-Provider können anhand eines ISO-27001-Nachweises, wie er vom TÜV oder anderen dazu berechtigten Auditoren ausgestellt wird, belegen, dass ihre Prozesse und Verfahren die geforderten Sicherheitsstandards erfüllen. Die implementierten Abläufe sollten sich am Modell einer kontinuierlichen Verbesserung ausrichten und den vier Schritten Plan, Do, Check, Act folgen, wie sie in der Qualitätsmanagementnorm ISO 9001 festgelegt sind.

Technische IT-Sicherheitsmaßnahmen

Organisatorische und technische IT-Sicherheitsmaßnahmen sind zwei Seiten der einen Medaille. Eine wichtige Säule unter den technischen Vorkehrungen eines Service-Providers bildet die logische Segmentierung von Netzen und die Überwachung des Traffics an den Netzübergängen durch Firewalls. Ein modularer Aufbau der Zonenarchitektur ermöglicht den Security-Administratoren, bei Bedarf flexibel neue Sicherheitszonen einzurichten.

2

Wichtig ist beispielsweise auch, ob der Service-Provider mit Vulnerability Scannern gezielt nach Sicherheitslücken sucht. Noch besser ist es, wenn er sich nicht nur auf das Know-how seiner internen IT-Sicherheitsspezialisten verlässt, sondern in regelmäßigen Abständen auch die Erfahrung von externen White-Hat-Hackern nutzt. Sie überprüfen anhand von Penetrationstests das vorhandene Sicherheitsniveau und entdecken so zuvor unerkannte Sicherheitslücken. Eine wichtige Rolle spielen schließlich noch Intrusion-Detection-Systeme, mit denen Service-Provider in der Lage sind, Cyber-Angreifer frühzeitig zu erkennen und Abwehrmaßnahmen einzuleiten. Wer plant, bestimmte Applikationen und Aufgaben an einen Service-Provider auszulagern, sollte sich mit einer Checkliste den passenden Mix an IT-Sicherheitsanforderungen zusammenstellen und prüfen, inwieweit einzelne Anbieter diese Vorgaben erfüllen können.

Ähnliche Beiträge:

  1. Sicherheit per Gesetz
  2. Für mehr Sicherheit: CI(S)Os endlich entlasten
  3. Optimierte Version von INDITOR ISO noch strukturierter und benutzerfreundlicher
  4. We tested: Talend Enterprise Data Integration 5.4.1

Das könnte dir auch gefallen

GoTo Resolve im Test: Zero-Trust-gesicherter IT-Support

gg

Expertenkommentar zum Thema “Sicherheit im Wandel”

gg

Quantifizierung von Cyberrisiken: Cyber-Risiken intelligent messen, verwalten und reduzieren

gcg