Wer von dem im Juli dieses Jahres in Kraft getretenem IT-Sicherheitsgesetz betroffen ist, muss seine Informationssicherheit in den nächsten zwei Jahren auf Vordermann bringen. Speziell Betreiber kritischer Infrastrukturen (sogenannte KRITIS-Betreiber) unterliegen höchsten Anforderungen. Neben der Schaffung ausreichender, dem Stand der Technik entsprechender Sicherheitsmaßnahmen, müssen sich diese Betreiber alle vier Jahre einer Evaluation der getroffenen Maßnahmen unterziehen.
Hier sind zwei Punkte zu betrachten: Zum einen ist derzeit noch nicht klar definiert, wer letztendlich zum Kreis der KRITIS-Betreiber gehört, und zum anderen sind die Baustellen, an denen nachgebessert werden muss, bereits meist wohlbekannt. Aufgrund der noch unzureichenden Definition für KRITIS sollte sich jedes Unternehmen die kritische Frage stellen, ob man nicht doch zum erlauchten Kreis dieser Unternehmen gehört. Und damit bereits jetzt anfangen, sich auf diese Möglichkeit vorzubereiten. Denn abzuwarten und dann möglicherweise zu spät mit der Umsetzung notwendiger Veränderungen anzufangen, birgt ein nicht abzuwägendes Risiko. Aber in vielen Unternehmen ist die Frage eher, wer die Arbeit tun soll. Die bestehende IT-Mannschaft arbeitet ja meist schon am Rande ihrer Kapazitätsgrenzen, und der Arbeitsmarkt für IT-Sicherheitsspezialisten ist leer gefegt.
Aus diesem Grund denken viele Unternehmen bereits darüber nach, Sicherheitsfunktionen auszulagern. Die Option, Managed Services von spezialisierten Dienstleistern einzukaufen, besteht immer. Was spricht dagegen, wenn etwa das Firewall-Management nicht von den eigenen Administratoren, sondern von einem Dienstleister gemäß strenger Vorgaben durchgeführt wird? Speziell Telekommunikationsanbieter, die definitiv dem IT-Sicherheitsgesetz unterliegen, bieten ein breites Spektrum an Sicherheitsservices an. Und diese Unternehmen verfügen in der Regel auch über ein umfassendes Wissen im Bereich der IT-Sicherheit. Entscheidet man sich für die Auslagerung, können die eigenen Mitarbeiter sich dann wichtigeren Themen zuwenden.
Wichtig für Anwenderunternehmen ist es zu verstehen, dass man bei der Auslagerung von Leistungen nicht die Verantwortung auslagern kann. Deshalb ist die Vergabe von Diensten in einen Managed Service nicht einfach. Werden hier Fehler gemacht, passt der Service später nicht zum eigenen Unternehmen, ist viel zu teuer und erfüllt in letzter Instanz möglicherweise nicht die Anforderungen des IT-Sicherheitsgesetzes. Somit muss bei der Planung und Einführung eines Managed Service sehr strukturiert und Schritt für Schritt vorgegangen werden:
- Identifikation interner Dienste, die sich unter dem Gesichtspunkt der Einhaltung der Richtlinien des IT-Sicherheitsgesetzes für einen Managed Service eignen
- Anforderungsanalyse in Form von Workshops und Interviews, bei denen der Leistungsumfang des Managed Services in Form von Anforderungen (SLAs) und Methoden zur Messung der Servicequalität (KPIs) erfasst wird
- Klare Strukturierung der Verantwortlichkeiten zwischen Dienstleister und Anwenderunternehmen speziell unter dem Gesichtspunkt der Konformität mit dem IT-Sicherheitsgesetz
- Erstellung eines RfP (Request for Proposal), der den Managed Service beschreibt und Grundlage der Ausschreibung ist
- Parallel dazu: Marktrecherche potenzieller Anbieter und Erstellung einer Longlist mit möglichen Dienstleistern
- Wenn die Kandidaten auf der Longlist ihre Angebote abgegeben haben: Analyse und objektive Bewertung der Angebote mittels standardisierten und gewichteten Kriterien
- Eindampfen der Longlist auf eine Shortlist mit nur noch wenigen Anbietern
- Konkrete Verhandlungen mit den Anbietern auf der Shortlist
Auch wenn es eigentlich ein Widerspruch in sich ist, so bedarf es auf Anwenderseite einer sehr detaillierten Definition der Aktivitätenverteilung und einer sicherlich strengeren Governance bei der Definition des Managed Service als üblich. Das Einbetten eines solchen Managed Service in die Sicherheitsarchitektur des jeweiligen Anwenderunternehmens ist eine komplexe Aufgabe, womit die planerische Komponente einen wesentlich höheren Stellenwert bekommt als üblich.
Aus Sicht der Experton Group müssen Anwenderunternehmen bereits heute damit beginnen, sich auf die Möglichkeit eines Audits im Hinblick auf das IT-Sicherheitsgesetz vorzubereiten. Hierbei ist es wichtig, bereits bei der Definition der konformitäts-notwendigen Aktivitäten sich mit Experten auszutauschen, die Kenntnisse über die Abnahmekriterien haben. So lässt sich Zeit und Geld sparen und gleichzeitig das Risiko von Fehlinvestitionen reduzieren.
Die Experton Group kann hier bei allen Punkten Unterstützung leisten. Experton hat zum einen den umfassenden Marktüberblick über potenzielle Dienstleister. Zudem liegen zahlreiche Erfahrungen aus Projekten vor, bei denen Sicherheitsdienste als Managed Service ausgelagert wurden. Zusätzlich sind die Spezialisten der Experton Group in der Lage, Unternehmen gezielt dabei zu beraten, welche auf Basis der Abnahmekriterien notwendigen Aktivitäten für eine erfolgreiche Auditierung ergriffen werden müssen.
Dr.-Ing. Markus a Campo