Ist das alles überhaupt sinnvoll?

Ja, diese Sicherheitsvorkehrungen sind durchaus sinnvoll. Aber sie aus der eigenen Kontrolle zu geben und Dritte damit zu beauftragen, birgt auch Gefahren. Denn Dienstleister brauchen zur Erfüllung der Aufgaben weitgehende Zugriffsberechtigungen - im Allgemeinen von extern, da MSSP normalerweise keine Mitarbeiter rund um die Uhr in den Firmengebäuden der Kunden platzieren.

Stellenmarkt
  1. IT-Spezialist*in VMware vSphere / ESXi
    Hamburger Hochbahn AG, Hamburg
  2. Fachinformatiker für Anwendungsentwicklung (m/w/d)
    NKD Group GmbH, Bindlach
Detailsuche

Damit wird der Datenfluss durch den Dienstleister in eine weitere Richtung geöffnet: zum MSSP. Und das nicht nur mit einfachen Nutzer-Accounts, sondern inklusive Zugriffsberechtigungen auf kritische Infrastruktursysteme wie Server, Telefonanlagen, Firewalls bis hin zu den Workstations der Mitarbeiter. Kurz: Ein externer Dienstleister bekommt Vollzugriff und die volle Kontrolle über die IT-Infrastruktur des Unternehmens. Das muss man wollen.

Besser ist es, diese Dinge intern zu halten und ein eigenes Team aufzubauen, das für die Sicherheit verantwortlich ist und Dienstleister für ein Review in Anspruch zu nehmen. Denn schon in der Vorbereitung auf ein Audit durch externe Spezialisten fallen immer wieder Schwachstellen auf.

Das Vertrauen muss da sein

Ein sehr schwieriges Thema in der IT-Sicherheitsbranche ist das Vertrauen. Einige Anbieter bieten Sicherheitsdienste an, die eher zweifelhaft sind. So versprechen manche von ihnen, E-Mails nicht nur auf Malware oder Phishing, sondern auch auf Social Engineering hin untersuchen zu können.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, Virtuell
  2. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    15.–17. November 2021, Virtuell
Weitere IT-Trainings

Ob da mit maschineller Mustererkennung wirklich viel verhindert werden kann, darf angezweifelt werden. Es bedeutet aber auch, dass auf dem firmeninternen oder auch externen E-Mail-Verkehr inhaltliche Auswertungen versucht werden.

Eigentlich möchte man meinen, dass ein Anbieter für Sicherheit mehr Wert darauf legen sollte, E-Mails möglichst nur verschlüsselt zu benutzen - und wenn dies mit einem externen Geschäftspartner nicht möglich ist, entsprechende unverschlüsselte und unsignierte E-Mails mit einem Warnzeichen zu versehen, das als Schutz vor Social Engineering besser geeignet sein sollte als eine versuchte Mustererkennung.

Wichtig wäre es auch, die eigenen Mitarbeiter zu schulen

Zudem verwundert es, dass viele Angebote von MSSP nicht als Grundlage beinhalten, die Mitarbeiter des Unternehmens sicherheitstechnisch zu schulen: Nur wer weiß, wieso ein sicheres Passwort wichtig ist, wird auch eines verwenden. Da bringen auch all die schönen Passwortrichtlinien nichts, die eine Mindestzahl an Zeichen, mit Zeichen aus mindestens drei von vier Kategorien wie große und kleine Buchstaben, Sonderzeichen und Ziffern vorschreiben. Auch das nach diesen Regeln sicherste Passwort ist nicht sicher, wenn der gleiche Nutzer es auch an anderer Stelle verwendet.

Bei Angeboten zur Absicherung des Internetverkehrs (Stichwort: Sicherheitstechnologie-Management) schießt man bei der Überwachung und Protokollierung von Webseiten-Aufrufen auch nicht selten über das Ziel hinaus. Gerne wird das als Funktion auch unter der Verbindung von SSL angeboten: Die Folge ist, dass der Proxy SSL aufbricht, auf dem Gerät alles lesbar macht und dabei die eigentliche Idee von SSL oder der End-to-End-Verschlüsselung an sich ad absurdum führt. Klar, es gibt Argumente für die sogenannte SSL Inspection: SSL-Verkehr kann so auf Viren oder Malware überprüft werden. Aber das kann auch auf dem Client passieren, der die SSL-Verbindung aufgebaut hat.

Besser als gar keine Sicherheit

Im Endeffekt ist Security as a Service aber sinnvoll, wenn die Wahl zwischen beauftragter Sicherheit und gar keiner Sicherheit besteht. Gar keine Sicherheit schließt dabei auch ein, dass die Sicherheit von einem Mitarbeiter, der ein bisschen was zum Thema weiß, mit betreut wird: Halbwissen ist in Sachen Security tatsächlich gefährlich.

Aber wenn die Möglichkeit besteht, dann ist es besser, sich um die eigene Sicherheit zu kümmern und entsprechend ausgebildete Mitarbeiter selbst zu beschäftigen. Das schließt ja nicht aus, deren Arbeit auch von Audits überprüfen zu lassen und so zusätzlich weitere wertvolle Tipps zu erhalten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wichtig ist aber auch die allgemeine Schulung aller Mitarbeiter mit Zugriff auf interne Daten. Wer weiß, wieso auf was geachtet werden muss, ist immer besser darin, eine Sicherheitsmaßnahme auch zu befolgen und sie nicht kreativ auszuhebeln - und möglicherweise auf die Idee auch noch stolz zu sein, weil mit solcher Aushebelung die Produktivität vielleicht sogar steigt.

Für die Unternehmen schließlich, die Sicherheit anbieten, gilt Seriosität und Sorgfalt als oberstes Gebot: kein Schlangenöl anzubieten, keine nutzlosen Angebote zu machen, sondern lieber zu erklären, wieso etwas, das die Konkurrenz vielleicht macht, nicht sinnvoll ist. Und klarzustellen, welche Vorteile es bringt, selbst das Fachwissen aufzubauen. Zwar lässt sich dann vielleicht ein Sicherheitspaket weniger verkaufen, aber zum Ausgleich kann man ja Schulungen anbieten. Das ist auch nicht schlecht bezahlt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Was bieten Managed Security Service Provider an?
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
    Rockstar Games
    Neue GTA Trilogy läuft auch auf älterer PC-Hardware

    Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

  2. Staatstrojaner: Journalist der New York Times mit Pegasus gehackt
    Staatstrojaner
    Journalist der New York Times mit Pegasus gehackt

    Nach mehreren Versuchen wurde ein Journalist der New York Times mit dem NSO-Trojaner Pegasus infiziert. Schützen konnte er sich nicht.

  3. Adobe Max 2021: Mehr KI-Funktionen in Photoshop und Premiere Pro
    Adobe Max 2021
    Mehr KI-Funktionen in Photoshop und Premiere Pro

    Adobe hat eine bessere Objektauswahl und einfacheres Kolorieren in Photoshop sowie Optionen für Musikremixing in Premiere Pro vorgestellt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Nintendo Switch OLED 369,99€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 ab 2.249€ • EA-Spiele günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /