Sicherheit durch Zusammenarbeit

Seit Whistleblower Edward Snowden mit seinen Enthüllungen Einblick in die Überwachungspraktiken der Geheimdienste gab, ist Informationssicherheit ein allgegenwärtiges Thema. Dennoch mag bis vor einiger Zeit der ein oder andere Verantwortliche die Sicherheitsaufgaben auf die leichte Schulter genommen haben. Spätestens seit einem Jahr ist es aber mit der vermeintlichen Ruhe in Sachen Informationssicherheit vorbei. Hacker erpressen im großen Stil beispielsweise Krankenhäuser und Kommunen, indem sie Trojaner einschleusen. Diese Schadsoftware verschlüsselt die wertvollen Daten, die dadurch nicht mehr gelesen werden können. Gegen Überweisung einer bestimmten Summe versprechen die Hacker, die verschlüsselten Daten wieder lesbar zu machen. Eine Garantie dafür gibt es allerdings nicht.

Außerdem lässt sich das erpresste Geld sicher sinnvoller einsetzen – zum Beispiel für mehr Sicherheit in den Verwaltungen oder Unternehmen. Denn einen Ausfall, erst recht ein Totalausfall der Anwendungen und Systeme, kann sich heute niemand mehr leisten.

Sicherheit ist personal- und ressourcenintensiv
Viele Verantwortliche scheuen die Investitionen nicht nur in Sicherheitsinfrastrukturen sondern auch in Personalaufbau und -weiterbildung, weil sie in der Regel sehr kostenintensiv sind. Daher zögern Kommunen und Unternehmen teilweise noch mit den notwendigen Maßnahmen. Die erforderliche IT-Sicherheit zu gewährleisten und dennoch die Ausgaben möglichst gering zu halten, ist selbstverständlich erstrebenswert.
Aber auf keinen Fall sollte hier am Personal gespart werden. Die Bereitstellung von gut ausgebildetem Personal in ausreichender Anzahl, zum Beispiel für den Informationssicherheitsbeauftragten, ist nicht verhandelbar.


Kompetentes und motiviertes Personal ist das A und O für funktionierende (Sicherheits-)Prozesse und das Gelingen der gestellten Aufgaben. Die entsprechenden Mitarbeiter müssen vom Management gefördert und unterstützt werden, um ihre – oft undankbare – Rolle richtig ausüben zu können. Es ist auch sinnvoll, die Beauftragten nicht „outzusourcen“, um die eigene Hoheit über die Prozesse zu behalten.

Lösung durch Rechenzentrumsdienstleister
Während es am Personal keine Einsparmöglichkeiten gibt, ohne Abstriche an der Sicherheit zu riskieren, zeigen sich an anderer Stelle erhebliche Sparpotenziale auf. Denn es gibt einen ressourcenschonenden, goldenen (Mittel-)Weg – die Zusammenarbeit mit anderen Behörden und Rechenzentrumsdienstleistern. Ein erhebliches Sparpotenzial – ohne Sicherheitseinbußen – liegt dabei in der gemeinsamen Nutzung von Methoden und Infrastrukturkomponenten bei einem Dienstleister.

Schon länger lässt sich der Trend ausmachen, dass öffentliche Verwaltungen IT-Services und Fachverfahren an zentrale Rechenzentren auslagern. Dies ist eine Möglichkeit, mehr Sicherheit zu garantieren und dabei Kosten zu sparen.

Folgen die Verantwortlichen der Rechenzentrumsdienstleister dem BSI-IT-Grundschutz sind sie methodisch auf dem richtigen Weg. Hierbei muss bedacht werden, dass man sich im Detail aber auch auf die gleiche Vorgehensweise, beispielsweise für die Schutzbedarfsfeststellung, festlegen muss.

Mandantenfähigkeit von Tools ist entscheidendes Kriterium
Am Markt agiert eine Reihe von Anbietern, die Tools zum IT-Grundschutz anbieten. Die Verantwortlichen sowohl in den Rechenzentren als auch bei den Anwendern sollten darauf achten, dass diese Werkzeuge in der Lage sind, die Zusammenarbeit technisch zu ermöglichen, aber dennoch die notwendige Separierung gewährleisten können. Das bedeutet: Die Lösung muss mandantenfähig sein. Damit wird IT-Sicherheit durch die externen Rechenzentren zentral für alle Mandanten als Service bereitgestellt.

Die HiScout GmbH verfolgt drei verschiedene Ansätze zur Abbildung eines Mandantenkonzepts. Diese können abhängig von dem gewünschten Grad der Zusammenarbeit eingesetzt werden, um die notwendige Separierung zu gewährleisten

Das ist zum ersten die Nutzung einer gemeinsamen Instanz mit Trennung durch ein Rollen-und Rechtekonzept über Rubriken. Rubriken sind vergleichbar mit der Ordnerstruktur von Microsoft Windows.
Ein weiterer Weg ist die Konfiguration jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf identischen Systemen.
Zum dritten das Einrichten jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf unterschiedlichen, physisch getrennten Systemen.

Die Behörden und Kommunen können gemeinsam mit ihren Rechenzentrumsdienstleistern entscheiden, welche Lösung für Ihre Aufgabenstellungen und Sicherheitsanforderungen am besten geeignet ist. Wichtig ist auf jeden Fall, dass trotz getrennter Datenbanken auch eine inhaltliche Zusammenarbeit möglich bleibt. Dies wird durch Replikationsmechanismen erreicht, die sowohl Metadaten wie die Grundschutzkataloge verteilen können, aber auch gemeinsam genutzte IT-Services.

Diese IT-Services könnte ein Rechenzentrumsdienstleister seinen Kunden in Form von Basisdiensten zur Verfügung stellen. Ein Beispiel dafür ist die Bereitstellung eines Datenbankclusters mit definierten Schutzstufen, die über ein SLA (Service Level Agreement) geregelt sind.

Win-win-Situation für Anwender und Dienstleister
Ein Rechenzentrumsdienstleister kann damit auf Bundes-, Landes- oder kommunaler Ebene nicht nur ein Grundschutztool bereitstellen, sondern zusätzlich auch eigene IT-Services anbieten. Auf diese Weise sind die Verwaltungen um einige Sorgen ärmer. Sie müssen sich beispielsweise nur um die Sicherheit einer dezentralen Applikation kümmern, können aber als Back-End einen Dienstleister nutzen. Der Serviceanbieter muss in seinen SLAs klare Qualitätsparameter in Sachen Informationssicherheit zusichern.

Gewissermaßen ist diese Partnerschaft eine Win-win-Situation für Dienstleister, Behörden und Kommunen. Diese sind auf der sicheren Seite und sparen Investitionen in Infrastruktur und IT-Services. Die Rechenzentrumdienstleister erschließen sich neue Geschäftsfelder bei bereits vorhandener Infrastruktur. Das bedeutet für die Dienstleister zusätzliche Einnahmen bei besserer Ressourcenauslastung.

Die Zusammenarbeit lässt sich noch weiter ausbauen bzw. intensivieren. Gelingt es neben der Informationssicherheit noch verwandte Themen wie Business Continuity Management, das Risikomanagement oder die neue EU-Datenschutzgrundverordnung einzubinden, werden auch thematisch weitere Synergien gehoben. Auch das müssen diese Schutz-Tools leisten können.

Erhebliche Einsparungen ohne Abstriche an der Sicherheit sind durch das o.g. Szenario möglich. Aber bitte nicht beim Personal, denn dies ist in Sachen Informationssicherheit die wichtigste Ressource.

Über die HiScout GmbH

Als einer der führenden Lösungsanbieter für IT-gestützte GRC-Management-Tools im deutschsprachigen Raum zählen namhafte Institutionen aus dem Dienstleistungs-, Finanz- und Industriesektor sowie der öffentlichen Verwaltung zu unseren Kunden.

Die HiScout-Plattform integriert sämtliche GRC-Themen basierend auf einem zentralen Datenmodell. Die maximale Flexibilität ermöglicht eine individuelle, konfigurierbare Anpassungsfähigkeit an vielfältige Einsatzmöglichkeiten. Das Leistungsspektrum umfasst unter anderem:

– Business Continuity Management nach ISO 22301 und BSI 100-4
– Information Security Management nach ISO 27001
– IT-Grundschutz nach BSI 200-1 bis 200-3
– Datenschutz nach EU-DSGVO

Angelehnt an das Agile Manifest steht die Zusammenarbeit mit dem Kunden mehr im Vordergrund als langwierige Vertragsverhandlungen. Wir weichen gemeinsam mit Ihnen vom Plan ab, sofern das Projekt dies erfordert. Dadurch erschließen wir einen besseren Weg, Software zu entwickeln – 100% Made in Germany.

Firmenkontakt und Herausgeber der Meldung:

HiScout GmbH
Bouchéstraße 12
12435 Berlin
Telefon: +49 (30) 3300888-0
Telefax: +49 (30) 3300888-99
http://www.hiscout.com

Ansprechpartner:
Sascha Kreutziger
Senior Pre-Sales-Manager
Telefon: +49 (30) 33 00 888-0
Fax: +49 (30) 33 00 888-99
E-Mail: sales@hiscout.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.