IT-Security outsourcen: Besser als gar keine Sicherheit

Security as a Service (SECaaS) verspricht ein Höchstmaß an Sicherheit. Das Auslagern eines so heiklen Bereichs birgt jedoch auch Risiken.

Artikel von veröffentlicht am
Immer mehr IT wird ausgelagert, die Server mit wichtigen Daten stehen oft gar nicht mehr in der Firma, der sie gehören.
Immer mehr IT wird ausgelagert, die Server mit wichtigen Daten stehen oft gar nicht mehr in der Firma, der sie gehören. (Bild: Pixabay)

Security kann immer nur so gut sein wie das schwächste Glied in der Kette. Aus einer Schwachstelle oder gar Lücke im Konzept wird daher schnell ein großes Sicherheitsloch.

Inhalt:
  1. IT-Security outsourcen: Besser als gar keine Sicherheit
  2. Was bieten Managed Security Service Provider an?
  3. Ist das alles überhaupt sinnvoll?

Allerdings hat nicht jede kleine Firma Sicherheitsexperten oder kann sie sich leisten, obwohl der Bedarf steigt. Mehr Homeoffice und dadurch vermehrt VPN-Einwahlen und unverschlüsselte E-Mails oder Telefonie - mit oder ohne Video - außerhalb des abgeschlossenen Firmennetzes bedeuten, dass mehr gebraucht wird als nur eine Firewall, Passwortregeln und Verschlüsselungspflicht für Notebooks und externe Datenträger.

Eine Möglichkeit, darauf zu reagieren, ist die Beauftragung eines externen Unternehmens, das als Dienstleister Security as a Service (SECaaS) oder Managed Security als Abo anbietet. Das hat Vor- und Nachteile.

Security as a Service definiert

Doch wie wird SECaaS eigentlich definiert? Zunächst einmal: uneinheitlich. Zumindest verstehen viele SECaaS-Anbieter jeweils etwas anderes darunter oder fassen unter dem Begriff auch Dinge zusammen, die eigentlich nicht dazu gehören. Als Maß der Dinge gilt vielen die Definition der als Dachverband fungierenden Firma Cloud Security Alliance (CSA). Konzerne wie Google, Microsoft, IBM Security, Oracle Cloud und Dell EMC finden sich unter den Exekutivmitgliedern. Die CSA wurde 2008 gegründet, um sicheres Cloud Computing zu definieren und um die Sensibilisierung von Unternehmen für das Thema voranzutreiben. Sie sieht den Einsatzbereich für SECaaS allumfassend. Von Business Continuity und Disaster Recovery über Zugriffsmanagement und Verhinderung von Datenverlust ist alles dabei, was sich unter dem Begriff Hacking nur annähernd finden lässt.

Stellenmarkt
  1. Teamleiter (m/w/d) Systemadministration
    BRUDER Spielwaren GmbH + Co. KG, Fürth bei Nürnberg
  2. Bioinformatiker*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
Detailsuche

Dabei gehört nicht alles, was die CSA für sich als SECaaS in Anspruch nimmt, auch wirklich fest in diesen Begriff. Denn die CSA bezieht sich sehr auf Betreiber einer Cloud. Da sich SECaaS aber inzwischen weiterentwickelt hat und nicht nur in Rechenzentren, sondern auch für Infrastrukturen in Büros angeboten wird, fallen außerhalb von Rechenzentren entsprechend ganze Bereiche weg: Zum Beispiel sind Business Continuity und Disaster Recovery - bis auf das Anlegen von Backups und ihrer Verwahrung an sicheren Orten - eher Themen für Versicherungen und spezielle Unternehmen, die sich verpflichten, im Falle einer Katastrophe schnell neue, von den Mitarbeitern erreichbare und mit einer passenden Infrastruktur und Geräten ausgestattete Ersatzbüros zur Verfügung zu stellen, in denen der Betrieb schnellstmöglich wieder aufgenommen werden kann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Zwar könnte eine solche Katastrophe nicht nur von einem Brand im Firmengebäude, sondern auch von einem Befall durch Ransomware ausgelöst werden. Dessen Abwehr ist aber etwas anderes als die Wiederherstellung der Arbeitsbedingungen nach einem erfolgreichen Angriff. Deshalb spricht man bei einem solchen Service eher von DRaaS, Disaster Recovery as a Service.

Da es also keine feste Definition für SECaaS gibt, wird unter dem Namen alles an Diensten verkauft, das sich mit Sicherheit in Verbindung bringen lässt. Dabei heißen Anbieter, die SECaaS als betreutes Paket anbieten, Managed Security Service Provider (MSSP).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Was bieten Managed Security Service Provider an? 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
In-Ears
Apple stellt Airpods 3 vor

Apple hat auf seinem Event die Airpods 3 vorgestellt, die den Airpods 3 Pro sehr ähnlich sehen - allerdings ohne Geräuschunterdrückung.

In-Ears: Apple stellt Airpods 3 vor
Artikel
  1. 5 US-Dollar: Apple bietet günstigeres Music-Abo an
    5 US-Dollar
    Apple bietet günstigeres Music-Abo an

    Apple hat ein preiswerteres Apple-Music-Abo angekündigt, das aber nur mit dem Sprachassistenten Siri gesteuert werden kann.

  2. Transatel: Bundesnetzagentur zwingt Telefónica zu Verhandlungen
    Transatel
    Bundesnetzagentur zwingt Telefónica zu Verhandlungen

    Telefónica darf einen Mobilfunkprovider (MVNO) aus Frankreich nicht behindern.

  3. Irische Datenschutzbehörde: Max Schrems soll Dokument von seiner Webseite nehmen
    Irische Datenschutzbehörde
    Max Schrems soll Dokument von seiner Webseite nehmen

    Mit einem Trick umgeht Facebook die DSGVO. Die irische Datenschutzbehörde findet das okay, möchte aber nicht, dass Noyb dies öffentlich macht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /