Fort Knox lässt grüßen

Feature | 18. April 2006 von admin 0

Schon angesichts der Schutzvorrichtungen am Gebäude wird deutlich, dass das Auslagern von IT-Aufgaben an einen Spezialisten den Kunden ein Plus an Sicherheit verschafft. Welches mittelständische Unternehmen hat in seinem Rechenzentrum schon acht verschiedene Brandschutzzonen eingerichtet? Wo gibt es Infrarot-Scheinwerfer und Rundum-Kameras, um zurückzuverfolgen, wer sich wann Zutritt zum Gebäude verschafft hat? In Rechenzentren von Outsourcing-Dienstleistern gehören solche Technologien zum Standard.

Keine Chance für Einbrecher

Dies gilt auch für Magnetkontakte an den Außentüren, die sofort Alarm auslösen, wenn Unbefugte in das Gebäude eindringen. Eine weitere Schutzvorrichtung ist die so genannte Alarmtapete, die sich lautstark bemerkbar macht, wenn eine Tür durchgebohrt oder aufgeschweißt wird. Zum Sicherheitsinventar gehören außerdem elektronische Schlösser mit sechsstelligen Codes. Damit kann der Betreiber des Rechenzentrums zum Beispiel die Zutritte speichern und auswerten.
Das Rechenzentrum eines Outsourcing-Dienstleisters ist in der Regel redundant ausgelegt. Sämtliche Daten sind in einem zweiten Rechenzentrum gespiegelt, so dass bei Störfällen sofort auf den zweiten Datensatz zurückgegriffen werden kann. Die Anbindung an das Stromnetz und die Hauseinführung der Telekommunikationsanbieter sind meistens in doppelter Ausführung vorhanden. Sollte dennoch einmal der Strom ausfallen, sichern Batterien den Betrieb, bis der Generator für die Elektrizitätserzeugung anläuft – das geschieht binnen weniger Sekunden. Zudem verfügen die Räume über hochempfindliche Laser-Rauchmelder sowie über Löschanlagen, Systeme zur Temperaturüberwachung und Feuchtigkeitsmelder.

Kontinuierliche Schwachstellenanalyse

Um die IT-Systeme im Rechenzentrum zu schützen, verfügen die Outsourcing-Anbieter in der Regel über ein mehrstufiges Sicherheitskonzept. Auf der Netzwerkebene schirmen nicht nur Lösungen wie Firewalls und Intrusion-Detection-Systeme die IT gegen Angriffe von außen ab. Auch eine regelmäßige Schwachstellenanalyse (Vulnerability Assessment) sorgt dafür, dass sich Sicherheitslücken schnell aufspüren und sofort beheben lassen. Unter anderem werden neu implementierte IT-Systeme vor dem Produktivstart einer solchen Analyse unterzogen.
Viren- oder Hackerattacken zielen oft auf sicherheitsrelevante Fehler in den Betriebssystemen oder Applikationen. Daher gehört auf dieser Ebene das unverzügliche Aufspielen von Korrekturprogrammen (Patches) zu den wichtigsten Aufgaben. Auf organisatorischer Seite bedarf es klarer Regelungen und Vorgaben zur IT-Sicherheit. So ist genau definiert, welche Maßnahmen im Störungsfall ergriffen werden müssen. Zudem prüfen die Mitarbeiter im Rechenzentrum kontinuierlich alle Sicherheitseinstellungen – etwa Benutzerrechte oder die Konfigurationen von Sicherheitslösungen – sowie sämtliche Prozesse rund um die Zutritts- und Zugriffssicherheit. Bei akuten Problemen steht den Kunden das Spezialistenteam des Dienstleisters zur Verfügung – bei Bedarf auch rund um die Uhr.
Ein guter Anbieter erstellt darüber hinaus für jeden Kunden ein individuelles Sicherheitskonzept. Je nach Anforderung sind für die IT-Systeme ein- bis mehrstufige Firewallumgebungen möglich. Zudem haben die Auftraggeber die Wahl zwischen Shared-Services – hier nutzen mehrere Kunden gemeinsam eine Sicherheitskomponente – oder dedizierten Lösungen, die auf separaten Rechnern betrieben werden. In der höchsten Sicherheitsstufe können Kunden ihre Server sogar in einem Schrank plombieren lassen.

Mit aktuellen Gefahren vertraut

Der Outsourcing-Dienstleister beschäftigt ein Team von Sicherheitsspezialisten, das regelmäßig geschult wird. Die Mitarbeiter halten sich ständig über aktuelle Viren, Schadprogramme oder Hacker-Attacken auf dem Laufenden und geben diese Informationen an die zuständigen Personen oder Fachbereiche weiter. Außer den Sicherheitshinweisen der einzelnen Hersteller nutzen die Experten auch einschlägige Mailing-Listen oder Webseiten, zum Beispiel das SANS Internet Storm Center www.incidents.org. Außerdem beziehen sie von verschiedenen Organisationen, etwa dem Center for Internet Security (CIS), Empfehlungen zur sicherheitsoptimierten Konfiguration von IT-Systemen und Anwendungen.
Um die Sicherheit und Verfügbarkeit von Daten und Anwendungen zu gewährleisten, sind tägliche vollautomatische Backups bei einem Outsourcing-Provider eine Selbstverständlichkeit. Spezielle Software, die die Daten verschlüsselt in den Speichermedien ablegt, sorgt für den notwendigen Schutz. In puncto Verfügbarkeit schließt der Dienstleister je nach Bedarf individuelle Verträge mit seinen Kunden ab. Die über Service-Level-Agreements (SLA) abgesicherten Anwendungen lassen sich entsprechend den Anforderungen entweder nur tagsüber oder rund um die Uhr mit einer Monitoring-Software überwachen. Zusätzlich stehen weitere Hochverfügbarkeitslösungen bereit, etwa Fail-over-Cluster. Fällt in einer solchen Gerätegruppe ein Server aus, übernimmt ein anderer dessen Funktion.

Bei der Datenübertragung auf Nummer sicher

Die besten Vorkehrungen im Rechenzentrum nützen aber nichts, wenn die Daten bei der Übertragung zum Provider für Unbefugte zugänglich sind. Auch hier findet der Outsourcing-Anbieter eine individuell angepasste Lösung. Die Möglichkeiten reichen von einem verschlüsselten Virtual-Private-Network (VPN) auf Basis eines Internet-Zugangs bis zu einem mehrfach redundanten, verschlüsselten VPN über Standleitungen oder einer Kombination aus beiden Anbindungen.
Auch bei der Migration der Kundendaten muss größtmögliche Sicherheit gewährleistet sein. Hier lassen sich entweder einzelne Systeme oder komplette Produktivumgebungen ins Rechenzentrum des Dienstleisters verlagern. Alternativ wird eine sichere Anbindung eingerichtet, um die Daten zu übertragen.

Dienstleister auf dem Prüfstand

Outsourcing-Kunden profitieren außerdem davon, dass unabhängige Sachverständige, etwa Wirtschaftsprüfer oder Auditoren des Bundesamts für Sicherheit in der Informationstechnik (BSI), regelmäßig überprüfen, ob ein Anbieter die Sicherheitsstandards einhält. Zu diesen Standards zählen die nationale Zertifizierung IT-Grundschutz und der Internationale Standard BS 7799-2, der 2006 durch den neuen Standard ISO 27001 für ein Information-Security-Management-System abgelöst wird. Mit dieser neuen Spezifikation steht erstmals ein internationales Rahmenwerk zur Verfügung, das Prozesse definiert und Standards für die IT-Sicherheit in Unternehmen und Behörden setzt. Außerdem schafft die internationale Zertifizierung die Voraussetzung für integrierte Management-Systeme. Denn ISO 27001 ist analog zu den Standards ISO 9001 für Qualitäts- und ISO 14001 für Umwelt-Management aufgebaut.
In der Regel verfügen Outsourcing-Anbieter nicht nur über Zertifizierungen für die IT-Sicherheit, sondern auch für branchenspezifische Qualitäts- und Sicherheitsstandards. Dazu zählen die Regelwerke VDA 6.2 sowie ISO/TS 16949 für die Automobilindustrie, GMP (Good Manufacturing Practices) für die Pharma-, Lebensmittel- und Futtermittelindustrie oder KWG § 25a für Banken und Versicherungen unter Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin).
Ob Basisschutz oder höchste Sicherheitsstufe – jeder Outsourcing-Kunde profitiert von den hohen Sicherheitsanforderungen der Zertifizierungsorgane und von den Prozessen, die der Anbieter als Grundlage für die Zertifikate aufsetzen muss. Ein weiterer großer Vorteil liegt in dem gebündelten Know-how und der Erfahrung des Dienstleisters. Nicht zuletzt sprechen auch die technischen Ressourcen und die Anzahl der Sicherheitsspezialisten dafür, dass ein Unternehmen, das mit einem entsprechend ausgestatteten Provider zusammenarbeitet, beim Outsourcing auf Nummer sicher geht.

Knut Krabbes

Leave a Reply