Outsourcing, Security

Die Security ist outsourced, und jetzt?

Autor: Oliver Peters

 

Das Outsourcing von Security-Dienstleistungen ist in aller Munde. „Managed Security Services“ ist das Stichwort, und es wird viel über die Art und Umfang, das Wie und das Wo der Security Services geredet und geschrieben, die ausgelagert werden. Es entsteht der Eindruck, dass nach Abschluss des Vertrages und der Einrichtung der Services nur noch die SLAs eingehalten werden müssen, damit alle Beteiligten glücklich und zufrieden sind.

Hakt man bei Anwendern nach und fragt nach, woran sie die Qualität der Dienstleistung festmachen bzw. welche Parameter für ihr Urteil zugrunde liegen, so liegen neben der Erfüllung der SLAs die Anzahl der offensichtlichen Sicherheitsvorfälle ganz weit vorn. Diese Betrachtung der Servicequalität birgt für den Auftraggeber einige Risiken, da grundlegende Sicherheitsparameter nicht abgefragt werden.

Ein Beispiel dafür ist die interne Abwicklung von Changes an der Security-Infrastruktur durch den Auftragnehmer. Wurden diese Changes ordnungsgemäß umgesetzt und dokumentiert? Wurden zeitlich begrenzte Changes (z.B. öffnen von Ports in der Firewall) auch wieder rückgängig gemacht?

Die einfachste Möglichkeit die Servicequalität festzustellen, ist die mindestens jährliche Durchführung von Audits beim Auftragnehmer. Entsprechende Auditrechte und eine Regelung der Vergütung sollten in jedem Outsourcing-Vertrag festgeschrieben sein. Hat der Auftraggeber entsprechende Ressourcen zur Verfügung, z.B. Mitarbeiter des Internal Audit, können diese die Audits durchführen. Alternativ können externe Auditoren hinzugezogen werden, um eine neutrale Beurteilung der Servicequalität zu gewährleisten.

Auf Basis der qualifizierten Auditergebnisse ist es so für den Auftraggeber möglich zu beurteilen, ob die erbrachten Leistungen den vereinbarten Vorgaben entsprechen, und gegebenenfalls Korrekturen einzufordern. Für den Auftragnehmer sind Audits, insbesondere wenn sie durch neutrale Dritte durchgeführt werden, die Möglichkeit, sich die Qualität und den vertragsgemäßen Umfang der erbrachten Leistungen bestätigen zu lassen.

Grundsätzlich ist die Notwendigkeit regelmäßiger Audits nicht auf das outsourcen von Security Services beschränkt, allerdings sind vertrauenserhaltende Maßnahmen auf Grund der besonderen Sensibilität des Themas und des notwendigen Vertrauens auf Seiten des Auftraggebers angeraten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.