• IT-Karriere:
  • Services:

Ist das alles überhaupt sinnvoll?

Ja, diese Sicherheitsvorkehrungen sind durchaus sinnvoll. Aber sie aus der eigenen Kontrolle zu geben und Dritte damit zu beauftragen, birgt auch Gefahren. Denn Dienstleister brauchen zur Erfüllung der Aufgaben weitgehende Zugriffsberechtigungen - im Allgemeinen von extern, da MSSP normalerweise keine Mitarbeiter rund um die Uhr in den Firmengebäuden der Kunden platzieren.

Stellenmarkt
  1. Fachhochschule Südwestfalen, Hagen, Soest
  2. Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München, Regensburg

Damit wird der Datenfluss durch den Dienstleister in eine weitere Richtung geöffnet: zum MSSP. Und das nicht nur mit einfachen Nutzer-Accounts, sondern inklusive Zugriffsberechtigungen auf kritische Infrastruktursysteme wie Server, Telefonanlagen, Firewalls bis hin zu den Workstations der Mitarbeiter. Kurz: Ein externer Dienstleister bekommt Vollzugriff und die volle Kontrolle über die IT-Infrastruktur des Unternehmens. Das muss man wollen.

Besser ist es, diese Dinge intern zu halten und ein eigenes Team aufzubauen, das für die Sicherheit verantwortlich ist und Dienstleister für ein Review in Anspruch zu nehmen. Denn schon in der Vorbereitung auf ein Audit durch externe Spezialisten fallen immer wieder Schwachstellen auf.

Das Vertrauen muss da sein

Ein sehr schwieriges Thema in der IT-Sicherheitsbranche ist das Vertrauen. Einige Anbieter bieten Sicherheitsdienste an, die eher zweifelhaft sind. So versprechen manche von ihnen, E-Mails nicht nur auf Malware oder Phishing, sondern auch auf Social Engineering hin untersuchen zu können.

Ob da mit maschineller Mustererkennung wirklich viel verhindert werden kann, darf angezweifelt werden. Es bedeutet aber auch, dass auf dem firmeninternen oder auch externen E-Mail-Verkehr inhaltliche Auswertungen versucht werden.

Eigentlich möchte man meinen, dass ein Anbieter für Sicherheit mehr Wert darauf legen sollte, E-Mails möglichst nur verschlüsselt zu benutzen - und wenn dies mit einem externen Geschäftspartner nicht möglich ist, entsprechende unverschlüsselte und unsignierte E-Mails mit einem Warnzeichen zu versehen, das als Schutz vor Social Engineering besser geeignet sein sollte als eine versuchte Mustererkennung.

Wichtig wäre es auch, die eigenen Mitarbeiter zu schulen

Zudem verwundert es, dass viele Angebote von MSSP nicht als Grundlage beinhalten, die Mitarbeiter des Unternehmens sicherheitstechnisch zu schulen: Nur wer weiß, wieso ein sicheres Passwort wichtig ist, wird auch eines verwenden. Da bringen auch all die schönen Passwortrichtlinien nichts, die eine Mindestzahl an Zeichen, mit Zeichen aus mindestens drei von vier Kategorien wie große und kleine Buchstaben, Sonderzeichen und Ziffern vorschreiben. Auch das nach diesen Regeln sicherste Passwort ist nicht sicher, wenn der gleiche Nutzer es auch an anderer Stelle verwendet.

Bei Angeboten zur Absicherung des Internetverkehrs (Stichwort: Sicherheitstechnologie-Management) schießt man bei der Überwachung und Protokollierung von Webseiten-Aufrufen auch nicht selten über das Ziel hinaus. Gerne wird das als Funktion auch unter der Verbindung von SSL angeboten: Die Folge ist, dass der Proxy SSL aufbricht, auf dem Gerät alles lesbar macht und dabei die eigentliche Idee von SSL oder der End-to-End-Verschlüsselung an sich ad absurdum führt. Klar, es gibt Argumente für die sogenannte SSL Inspection: SSL-Verkehr kann so auf Viren oder Malware überprüft werden. Aber das kann auch auf dem Client passieren, der die SSL-Verbindung aufgebaut hat.

Besser als gar keine Sicherheit

Im Endeffekt ist Security as a Service aber sinnvoll, wenn die Wahl zwischen beauftragter Sicherheit und gar keiner Sicherheit besteht. Gar keine Sicherheit schließt dabei auch ein, dass die Sicherheit von einem Mitarbeiter, der ein bisschen was zum Thema weiß, mit betreut wird: Halbwissen ist in Sachen Security tatsächlich gefährlich.

Aber wenn die Möglichkeit besteht, dann ist es besser, sich um die eigene Sicherheit zu kümmern und entsprechend ausgebildete Mitarbeiter selbst zu beschäftigen. Das schließt ja nicht aus, deren Arbeit auch von Audits überprüfen zu lassen und so zusätzlich weitere wertvolle Tipps zu erhalten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wichtig ist aber auch die allgemeine Schulung aller Mitarbeiter mit Zugriff auf interne Daten. Wer weiß, wieso auf was geachtet werden muss, ist immer besser darin, eine Sicherheitsmaßnahme auch zu befolgen und sie nicht kreativ auszuhebeln - und möglicherweise auf die Idee auch noch stolz zu sein, weil mit solcher Aushebelung die Produktivität vielleicht sogar steigt.

Für die Unternehmen schließlich, die Sicherheit anbieten, gilt Seriosität und Sorgfalt als oberstes Gebot: kein Schlangenöl anzubieten, keine nutzlosen Angebote zu machen, sondern lieber zu erklären, wieso etwas, das die Konkurrenz vielleicht macht, nicht sinnvoll ist. Und klarzustellen, welche Vorteile es bringt, selbst das Fachwissen aufzubauen. Zwar lässt sich dann vielleicht ein Sicherheitspaket weniger verkaufen, aber zum Ausgleich kann man ja Schulungen anbieten. Das ist auch nicht schlecht bezahlt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Was bieten Managed Security Service Provider an?
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 14,99€
  2. 9,29€
  3. 28,99€

twothe 19. Jan 2021 / Themenstart

Ein sehr schöner Artikel der nicht nur die Vorteile sondern auch klar die Nachteile...

Kommentieren


Folgen Sie uns
       


Samsung Galaxy S21 und S21 Plus vorgestellt

Die beiden Grundmodelle von Samsungs Galaxy-S21-Serie kommen ohne abgerundete Displays und mit bekannten Kameras.

Samsung Galaxy S21 und S21 Plus vorgestellt Video aufrufen
    •  /