igor - Fotolia
IRaaS: Reaktion auf Sicherheitsvorfälle als Dienstleistung
Kaum eine Firma hat die Kenntnisse und Erfahrungen, um sich komplett vor IT-Security-Vorfällen zu schützen und die Schäden zu minimieren. Ein MSSP kann diese Aufgaben übernehmen.
Das Engagieren eines auf den Schutz vor IT-Security-Vorfällen spezialisierten Anbieters kann die Cyber-Security-Fähigkeiten eines Unternehmens erheblich verbessern. Der Provider muss jedoch sorgfältig integriert werden, um wirklich alle Vorteile dieser Zusammenarbeit nutzen zu können.
Unternehmen kämpfen heutzutage nicht mehr nur mit einer kontinuierlich steigenden Bedrohung durch Cyberattacken. Sie müssen sich auch mit einem Mangel an gut ausgebildeten und erfahrenen Security-Spezialisten auseinandersetzen. Das führt dazu, dass immer mehr IT-Entscheider darüber nachdenken, mit einem Managed Security Service Provider (MSSP) zusammenzuarbeiten.
Moderne MSSPs bieten viele verschiedene Dienste an. Eines dieser Angebote ist Incident Response as a Service (IRaaS), also die Reaktion auf IT-Security-Vorfälle. Natürlich unterscheiden sich die verschiedenen angebotenen IRaaS-Dienste in einigen Punkten voneinander. Generell dienen sie jedoch dazu, ein Unternehmen dabei zu unterstützen, sich auf IT-Security-Vorfälle besser vorzubereiten, effektiver mit ihnen umgehen zu und so schneller wieder zum normalen Geschäftsbetrieb zurückkehren zu können.
Wenn Sie Ihr Unternehmen und seine Daten sicher halten wollen, dann müssen Sie genau verstehen, welches die größten Vorteile eines auf IRaaS spezialisierten MSSPs sind und welche Risiken dadurch auch bestehen. Nur so profitieren Sie am meisten von der Zusammenarbeit mit einem dieser auf IT-Sicherheit spezialisierten Service-Provider.
Vorteile von IRaaS
Wenn es sorgfältig implementiert und verwaltet wird, bietet IRaaS viele Vorteile für die IT-Sicherheit eines Unternehmens. Zunächst bringt ein IRaaS-Anbieter in der Regel umfangreiche Erfahrungen und schwer zu findende Kenntnisse wie zum Beispiel im Bereich Digital Forensic Analysis mit sich. Ein guter IRaaS-Anbieter hat Erfahrungen in vielen verschiedenen IT-Security-Vorfällen in unterschiedlichsten Unternehmen und Organisationen. Oder anders gesagt, er verfügt über ein kampferprobtes Team.
IRaaS basiert darüber hinaus meist auf einer fundierten Threat Intelligence, die aus Indicators of Compromise (IoCs) aus vielen Unternehmen aller Branchen besteht. Diese Kenntnisse, wenn sie korrekt analysiert und genutzt werden, versetzen Ihr Unternehmen in die Lage, IT-Security-Vorfälle schneller zu stoppen und ihre Auswirkungen zu reduzieren.
Ein guter IRaaS-Anbieter kann das ganze Jahr über und rund um die Uhr auf Vorfälle reagieren. Das ist besonders wichtig für Unternehmen, die aus finanziellen Gründen oder weil sie keine qualifizierten Mitarbeiter finden, das nicht selbst leisten können.
Risiken durch IRaaS
Ein gravierender Fehler ist jedoch, nach dem Beginn der Zusammenarbeit mit einem MSSP zu glauben, dass die gesamte Verantwortung beim Schutz vor IT-Security-Vorfällen nun die Aufgabe des Dienstleisters geworden ist. Schlussendlich liegt die volle Verantwortung für alle IT-Security-Vorfälle, die Sie und Ihr Unternehmen betreffen, immer noch bei Ihnen selbst.
Auf der anderen Seite wollen viele MSSPs gerne dieselben Tools und Prozesse für alle ihre Kunden verwenden. Wenn ein Unternehmen außerdem nicht genug relevante Informationen liefert und seine eigenen Prozesse nicht mit denen des Dienstleisters verbindet, dann kann dies dazu führen, dass der IRaaS-Anbieter mit einer falschen oder nicht ausreichenden Antwort auf einen Vorfall reagiert. Dadurch werden wertvolle Zeit und Ressourcen verschwendet.
Das interne IT-Security-Programm eines Unternehmens muss deshalb schon relativ weit ausgereift sein, um wirklich effektiv mit einem MSSP zusammenarbeiten zu können. IT-Abteilungen, die noch über keine eigenen Prozesse und Pläne verfügen, um auf IT-Security-Vorfälle reagieren zu können, werden ziemlich sicher nicht in vollem Umfang von der Zusammenarbeit mit einem IRaaS-Anbieter profitieren können. Dazu gehören ein eigener, formalisierter Reaktionsplan, dokumentierte Eskalationspfade und definierte Methoden zur Wiederherstellung des Geschäftsbetriebs.
Um am meisten von der Partnerschaft mit einem MSSP profitieren zu können, müssen meist zahlreiche sensible Informationen über die IT-Systeme und Prozesse des Unternehmens mit dem Dienstleister geteilt werden. Wenn der MSSP diese Daten aber selbst nicht ausreichend schützt, kann dies zu ernsten Schäden bei seinem Auftraggeber führen.
Erfolgreiche Zusammenarbeit mit einem IRaaS-Anbieter
Es ist essentiell, dass ein Unternehmen seine eigenen Prozesse zum Reagieren auf einen IT-Security-Vorfall mit seinem IRaaS-Anbieter abgleicht. So muss es zum Beispiel auch in den internen Unterlagen und Plänen dokumentiert werden, dass künftig gemeinsam auf Vorfälle reagiert wird. Eskalationspfade und Kontaktdaten müssen klar und deutlich festgelegt werden. Dabei muss auch ein Prozess definiert werden, mit dem Ihr Security-Team schnell auf Informationen des Providers reagieren kann, um Feedback über die Qualität und Relevanz der gelieferten Daten geben zu können.
Viele IRaaS-Anbieter arbeiten mit einem Modell, bei dem die Verantwortung gemeinsam getragen wird. Es ist deswegen besonders wichtig, dass gleich zu Anfang alle Verantwortlichkeiten und Pflichten genau definiert und abgesegnet werden. Das trifft insbesondere dann zu, wenn ein Unternehmen zum ersten Mal mit einem Incident-Response-Spezialisten zusammenarbeitet. Niemand will mitten in einer schwerwiegenden Krise festlegen müssen, wer für welche Aufgaben zuständig ist. Empfehlenswert sind deshalb auch gemeinsam durchgeführte Übungen, um herauszufinden, ob die zugewiesenen Verantwortlichkeiten passen und ob sie tragfähig sind.
Vergessen Sie dabei aber nie, dass ein MSSP nur mit den Informationen arbeiten kann, die Sie ihm geben. Je mehr er über die IT-Infrastruktur Ihres Unternehmens, die getroffenen Sicherheitsmaßnahmen und die geplanten Reaktionen auf Security-Vorfälle weiß, desto eher kann er schnell und effektiv auf eine Gefahr oder einen Eindringling reagieren. Die folgenden Informationen sind das absolute Minimum, über die ein IRaaS-Anbieter verfügen sollte, um seine Aufgaben erledigen zu können:
- eine Liste der kritischen IT-Systeme
- eine Liste der wesentlichen Sicherheitsmaßnahmen
- Netzwerkdiagramme
- Ihr Reaktionsplan auf IT-Security-Vorfälle
Es ist für jedes Unternehmen besonders wichtig, dass seine sensiblen Daten geschützt sind. Sorgen Sie deswegen bei der Wahl Ihres IRaaS-Anbieters dafür, dass Ihre Daten durch ihn sorgfältig geschützt werden. Stellen Sie ihm dazu zum Beispiel folgende Fragen: Wie speichert er Ihre Daten und wie sichert er sie? Welche formellen Richtlinien zum Umgang mit Ihren Daten und zu ihrer Absicherung hat er getroffen? Halt er die Vorschriften der Datenschutz-Grundverordnung (DSGVO) ein? Wie ist das dokumentiert?
Mit gründlicher Planung und einer gut funktionierenden Zusammenarbeit kann ein IRaaS-Anbieter die Fähigkeiten Ihres Unternehmens erheblich verbessern, wenn es um die Reaktion auf IT-Security-Vorfälle geht. Integration ist dabei jedoch der Knackpunkt. Am meisten profitieren Sie von einem MSSP, wenn Sie sich jederzeit darüber im Klaren sind, dass Sie sich gemeinsam um Ihre IT-Sicherheit kümmern müssen und nicht nur Ihr Dienstleister allein.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!