Von NTT Europe Online

8 Regeln für sichere Managed Services

26.11.2009
Managed Services bieten Systemhäusern und VARs sehr gute Chancen, auch bei angespannter Wirtschaftslage mehr Umsätze und höhere Margen zu erzielen. Denn in Krisenzeiten wollen viele Unternehmen IT-Aufgaben, die nicht zu ihrem Kerngeschäft gehören, auslagern. Doch Kosteneinsparung als einziges Verkaufsargument für Managed Services reicht bei weitem nicht aus. Erfolgreiche Managed Service-Projekte zeichnen sich dadurch aus, dass Kunde und Hosting-Provider Grundregeln zur IT-Sicherheit einhalten.
Sicherheitsbedenken verhindern nach wie vor eine breitere Akzeptanz von Managed Services
Foto: Ronald Wiltscheck

Managed Services bieten Systemhäusern und VARs sehr gute Chancen, auch bei angespannter Wirtschaftslage mehr Umsätze und höhere Margen zu erzielen. Denn in Krisenzeiten wollen viele Unternehmen IT-Aufgaben, die nicht zu ihrem Kerngeschäft gehören, auslagern. Doch Kosteneinsparung als einziges Verkaufsargument für Managed Services reicht bei weitem nicht aus. Erfolgreiche Managed Service-Projekte zeichnen sich dadurch aus, dass Kunde und Hosting-Provider Grundregeln zur IT-Sicherheit einhalten.

NTT Europe Online hat nun die acht wichtigsten Grundregeln für einen sicheren Betrieb von Managed Services zusammen gestellt:

1. Schlüssiger IT-Sicherheitsplan

Kunde und Managed-Service-Provider (MSP) müssen für ihre jeweiligen Bereiche ein IT-Sicherheitskonzept formulieren und umsetzen. In Unternehmen, die ihre IT-Aufgaben an ein Systemhaus auslagern, müssen klare Sicherheitsvorschriften herrschen. Dort muss ganz klar geregelt sein, wer intern welche Daten lesen, sie ändern und nach außen verschicken darf. Komplett wird IT-Security erst durch einen Plan, der Auslagerungskonzepte von Kunde und Managed-Hosting-Provider zusammenführt.

2. Lückenlose Sicherheit in der Prozesskette

Die gesamte Prozesskette des Datenaustausches vom Kunden bis zum Managed-Hosting-Provider muss klar strukturiert und gut organisiert sein, weil auch kleinste Schwachstellen in den komplexen Abläufen zum GAU führen können.

3. Verschlüsselung der Daten.

Auf technischer Ebene müssen die Daten auf dem gesamten Weg verschlüsselt sein. Nur der Absender beim Auftraggeber und der berechtigte Empfänger (Kunde oder Lieferant des Auftraggebers) dürfen Daten im Klartext zu Gesicht bekommen.

4. Sicherheit der Prozessorganisation.

Es muss sichergestellt sein, dass auch mit den verschlüsselten Daten nur autorisiertes Personal in Kontakt kommt - unabhängig davon, auf welchem Wege der Datentransport erfolgt. Auch innerhalb des Rechenzentrums und auf den Servern des Managed-Hosting-Providers müssen die Daten immer verschlüsselt sein.

5. Zugriffsrechte auf Daten und Systeme.

Der Auftraggeber muss festlegen, welche Zugriffsrechte auf die Daten er seinem Managed-Hosting-Provider einräumt. Dazu gehört beispielsweise, dass die Mitarbeiter im Rechenzentrum des Managed-Services-Anbieters die Daten auf keinen Fall unbefugt an Dritte weiterleiten dürfen. Um dies zu verhindern, muss der Outsourcer entsprechende Sicherheitsmaßnahmen implementieren.

6. Physische Datensicherheit.

Der Managed-Hosting-Provider ist für die physische Sicherheit der Daten seiner Kunden im eigenen Rechenzentrum verantwortlich. Er muss leistungsstarke Security- und Versorgungssysteme aufbauen, um die Daten der Kunden gegen physische Einflüsse wie Feuer oder Wasser zu schützen. Erforderlich sind neben einer regelmäßigen Datensicherung auch strenge Zugangskontrollen und diverse Alarmeinrichtungen.

7. Sicherheitszertifikate

Der Managed-Services-Anbieter muss für alle Sicherheitsanforderungen qualifiziert sein und diese auch mit einem Zertifikat wie ISO 27001 für Informationssicherheitsmanagement nachweisen. Werden gar vertrauliche Kreditkartendaten verarbeitet, wird auch die Unterstützung des PCI-Sicherheitsstandards (Payment-Card-Industrie) zunehmend wichtiger. PCI ist für alle Handelsunternehmen und Dienstleister relevant, die Kreditkarten-Transaktionen übermitteln, abwickeln und speichern. Was Sicherheitszertifikate angeht, muss der Managed-Hosting-Provider ein überprüfbares Qualitäts- und Sicherheitsmanagement eingeführt haben und sich jährlich von unabhängigen Autoritäten rezertifizieren lassen.

8. Kontinuierliche Überprüfung der Security-Maßnahmen

Die Erstellung von IT-Sicherheitsanforderungen ist ein iterativer Prozess, dessen Wirksamkeit in regelmäßigen Abständen - mindestens ein bis zwei Mal pro Jahr - überprüft werden muss. Strukturierte Prozesse, klare Verantwortlichkeiten und die Fähigkeit, sich rasch an neue Sicherheitsanforderungen anpassen zu können, sind für Managed- Services-Anbieter ein absolutes Muss.

Fazit

In der aktuellen Wirtschaftslage stehen die Unternehmen immer öfter vor der Frage, ob sie all ihre IT-Aufgaben selbst erledigen wollen oder ob es nicht effektiver ist, bestimmte Funktionen an einen Managed-Hosting-Provider auszulagern - etwa den Betrieb des E-Mail-Systems, einer CRM-Lösung oder ausgewählter betriebswirtschaftlicher Standardanwendungen. Eine gewichtiges Argument: Statt selbst beträchtliche Investitionen in den Aufbau einer neuen Applikation tätigen zu müssen, können Unternehmen mit den Angeboten eines Managed-Services-Anbieters sofort produktiv arbeiten - und das zu transparenten monatlichen Kosten.

Gab es vor Jahren noch Bedenken der Kunden hinsichtlich Verfügbarkeit und Performance einer Outsourcing-Lösung, sind diese mittlerweile ausgeräumt. Über Sicherheitsfragen wird dagegen immer wieder diskutiert. "Richtig ist, dass die Anforderungen an die IT-Sicherheit ständig steigen. Daher muss sich jedes Unternehmen fragen, ob der dafür notwendige Aufwand mit dem engen IT-Budget und dem vorhandenen Personalbestand bewältigt werden kann", sagt Oliver Harmel, Sales und Marketing Direktor Central Europe bei NTT Europe Online. "Wer klar strukturierte Sicherheitsprozesse implementiert, erreicht bei der Auslagerung von Applikationen ein höheres Maß an Security als dies mit internen Mitteln möglich ist."

Hier ist es natürlich auch Aufgabe von Systemhäusern und VARs, die ins Managed-Services-Geschäft einsteigen wollen, dafür Sorge zu tragen, dass alle Prozesse beim Kunden den Vorgaben des Gesetzgebers entsprechen. Hierbei geht es beispielsweise um Datensicherung und -verschlüsselung, Archivierung und Rechtevergabe. (rw)