Bei sämtlichen IT-Projekten, die als „Managed Service“ umgesetzt werden, steht das Thema Sicherheit weit oben auf der Agenda. Mit M. Sc. Viviane Werner, IT-Security-Consultant bei Netzlink, und Dipl.-Ing. Marcin Zukowski, Product Manager IT-Services bei Netzlink, verdeutlichen zwei Experten im Gespräch mit dem Midrange Magazin (MM), wie diese Anforderung in der Praxis umgesetzt werden kann.
MM: Was muss ein Anbieter von Managed Services in Sachen Security alles bereitstellen?
Zukowski: Neben der Erfüllung der formalen, durch den Gesetzgeber, Kunden und andere regulative Vorgaben gestellten Anforderungen, die sich in den Zertifizierungen, Prozessen und Dokumentationen wiederfinden müssen, sind Systemhäuser als Anbieter von Managed Services gezwungen, sowohl organisatorische Maßnahmen durchzuführen – zum Beispiel Optimierung, Audits und Aufbewahrung verschiedenster Protokolle und Dokumente – als auch bestimmte technische Maßnahmen.
MM: Welche Auswirkungen hat das auf die Organisation?
Zukowski: Dazu ist eine Organisation notwendig, die Themen wie Qualitätsmanagement, Sicherheit und Servicemanagement strategisch vorgibt und durchsetzt. Die einschlägigen ISO-/EN-Normen und BSI-Vorgaben bilden den Kern unserer Sicherheitsstrategie. Bei den technischen Anforderungen müssen unter anderem der Nachweis der „Security by Design“-Vorgehensweise, technische Mittel zur Sicherstellung der Sicherheit von Zugangsdaten und Dokumenten sowie die Bereitstellung der Zugriffsprotokolle als wichtigste Maßnahmen durchgeführt werden.
Dipl.-Ing. Marcin Zukowski, Product Manager IT-Services bei Netzlink: „In Bezug auf die Sicherheit wenden wir mit dem Kunden explizit erarbeitete Protection-Level-Agreements (PLAs) an.“ Quelle: Netzlink
MM: Wie kann ein Anbieter seine Services „sicher“ bei seinen Kunden einbringen?
Zukowski: Die Sicherheit eines Managed Service fängt bei dem strategisch bestimmten Aufbau der Organisation an – zum Beispiel durch nachgewiesene Erfüllung bestimmter Normen und Gesetze –, setzt sich im Service-Design-Prozess als „Security by Design“ fort und findet seinen Höhepunkt in der sicherheitsbehafteten, technischen Ausführung der zur Erbringung der Dienstleistung notwendigen Maßnahmen wie beispielsweise in Verschlüsselungsverfahren, Priviledge Access Management-Lösungen (PAM) oder IT-Security-Management.
MM: Welche Voraussetzungen bestehen dabei?
Zukowski: Es ist notwendig, dem Kunden die Anforderungen an Sicherheit inklusive den Aufbau einer dazu nötigen Organisation und die Umsetzung entsprechender Maßnahmen zu erläutern und im Service-Design-Prozess zu erfüllen. Da die Managed Service Provider sehr oft ein „Common Understanding“ der Sicherheitsstandards besitzen, liegt die Herausforderung darin, bei den mittelständischen Kunden die Lücken aufzudecken und zu schließen.
MM: Welche Voraussetzungen in Sachen Security haben die Kunden selbst noch zu stemmen?
Werner: Ein Managed Service kann nur dann sicher sein, wenn Provider und Kunde die Sicherheitsthemen gleichermaßen priorisieren und operativ umsetzen. Hierbei ist es wichtig, ein gemeinsames Verständnis für die Risiken und Gefährdungen zu schaffen und diese, jeweils auf die Situation und die individuellen Kundenbedürfnisse angepasst, zu minimieren. Oft ist der Aufbau einer hierzu erforderlichen Organisation die erste und schwierigste Hürde, die genommen werden muss.
M. Sc. Viviane Werner, IT-Security-Consultant bei Netzlink: „Unser Service-Design unterliegt einer ständigen Optimierung und Kontrolle durch unser IT-Security-Team.“ Quelle: Netzlink
MM: Wie gehen Sie das Thema „Security Consulting“ bei Neukunden an?
Werner: Unser Service-Design unterliegt einer ständigen Optimierung und Kontrolle durch unser IT-Security-Team. Hierdurch wird die Integrität unserer „Security by Design“-Verfahren sichergestellt und überwacht. Unsere Sicherheitsberater erarbeiten durch Audits der Kundenumgebungen die notwendigen Maßnahmen und/oder Projekte und überwachen deren Umsetzung beim Kunden.
MM: Welche Service-Level-Agreements können sie ihren Kunden in Bezug auf die Sicherheit der von ihnen angebotenen Services geben?
Zukowski: In Bezug auf die Sicherheit wenden wir mit dem Kunden explizit erarbeitete Protection-Level-Agreements (PLAs) an, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Protection-Level-Management-Prozesse beschrieben werden. Das niedrigste PLA beinhaltet die Verpflichtung zur Geheimhaltung, den sicheren Umgang mit Zugangsdaten und allem voran die Einhaltung der DSGVO und IT-SicGes-Vorschriften.