Außerdem lässt sich das erpresste Geld sicher sinnvoller einsetzen – zum Beispiel für mehr Sicherheit in den Verwaltungen oder Unternehmen. Denn einen Ausfall, erst recht ein Totalausfall der Anwendungen und Systeme, kann sich heute niemand mehr leisten.
Sicherheit ist personal- und ressourcenintensiv
Viele Verantwortliche scheuen die Investitionen nicht nur in Sicherheitsinfrastrukturen sondern auch in Personalaufbau und -weiterbildung, weil sie in der Regel sehr kostenintensiv sind. Daher zögern Kommunen und Unternehmen teilweise noch mit den notwendigen Maßnahmen. Die erforderliche IT-Sicherheit zu gewährleisten und dennoch die Ausgaben möglichst gering zu halten, ist selbstverständlich erstrebenswert.
Aber auf keinen Fall sollte hier am Personal gespart werden. Die Bereitstellung von gut ausgebildetem Personal in ausreichender Anzahl, zum Beispiel für den Informationssicherheitsbeauftragten, ist nicht verhandelbar.
Kompetentes und motiviertes Personal ist das A und O für funktionierende (Sicherheits-)Prozesse und das Gelingen der gestellten Aufgaben. Die entsprechenden Mitarbeiter müssen vom Management gefördert und unterstützt werden, um ihre – oft undankbare – Rolle richtig ausüben zu können. Es ist auch sinnvoll, die Beauftragten nicht „outzusourcen“, um die eigene Hoheit über die Prozesse zu behalten.
Lösung durch Rechenzentrumsdienstleister
Während es am Personal keine Einsparmöglichkeiten gibt, ohne Abstriche an der Sicherheit zu riskieren, zeigen sich an anderer Stelle erhebliche Sparpotenziale auf. Denn es gibt einen ressourcenschonenden, goldenen (Mittel-)Weg – die Zusammenarbeit mit anderen Behörden und Rechenzentrumsdienstleistern. Ein erhebliches Sparpotenzial – ohne Sicherheitseinbußen – liegt dabei in der gemeinsamen Nutzung von Methoden und Infrastrukturkomponenten bei einem Dienstleister.
Schon länger lässt sich der Trend ausmachen, dass öffentliche Verwaltungen IT-Services und Fachverfahren an zentrale Rechenzentren auslagern. Dies ist eine Möglichkeit, mehr Sicherheit zu garantieren und dabei Kosten zu sparen.
Folgen die Verantwortlichen der Rechenzentrumsdienstleister dem BSI-IT-Grundschutz sind sie methodisch auf dem richtigen Weg. Hierbei muss bedacht werden, dass man sich im Detail aber auch auf die gleiche Vorgehensweise, beispielsweise für die Schutzbedarfsfeststellung, festlegen muss.
Mandantenfähigkeit von Tools ist entscheidendes Kriterium
Am Markt agiert eine Reihe von Anbietern, die Tools zum IT-Grundschutz anbieten. Die Verantwortlichen sowohl in den Rechenzentren als auch bei den Anwendern sollten darauf achten, dass diese Werkzeuge in der Lage sind, die Zusammenarbeit technisch zu ermöglichen, aber dennoch die notwendige Separierung gewährleisten können. Das bedeutet: Die Lösung muss mandantenfähig sein. Damit wird IT-Sicherheit durch die externen Rechenzentren zentral für alle Mandanten als Service bereitgestellt.
Die HiScout GmbH verfolgt drei verschiedene Ansätze zur Abbildung eines Mandantenkonzepts. Diese können abhängig von dem gewünschten Grad der Zusammenarbeit eingesetzt werden, um die notwendige Separierung zu gewährleisten
Das ist zum ersten die Nutzung einer gemeinsamen Instanz mit Trennung durch ein Rollen-und Rechtekonzept über Rubriken. Rubriken sind vergleichbar mit der Ordnerstruktur von Microsoft Windows.
Ein weiterer Weg ist die Konfiguration jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf identischen Systemen.
Zum dritten das Einrichten jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf unterschiedlichen, physisch getrennten Systemen.
Die Behörden und Kommunen können gemeinsam mit ihren Rechenzentrumsdienstleistern entscheiden, welche Lösung für Ihre Aufgabenstellungen und Sicherheitsanforderungen am besten geeignet ist. Wichtig ist auf jeden Fall, dass trotz getrennter Datenbanken auch eine inhaltliche Zusammenarbeit möglich bleibt. Dies wird durch Replikationsmechanismen erreicht, die sowohl Metadaten wie die Grundschutzkataloge verteilen können, aber auch gemeinsam genutzte IT-Services.
Diese IT-Services könnte ein Rechenzentrumsdienstleister seinen Kunden in Form von Basisdiensten zur Verfügung stellen. Ein Beispiel dafür ist die Bereitstellung eines Datenbankclusters mit definierten Schutzstufen, die über ein SLA (Service Level Agreement) geregelt sind.
Win-win-Situation für Anwender und Dienstleister
Ein Rechenzentrumsdienstleister kann damit auf Bundes-, Landes- oder kommunaler Ebene nicht nur ein Grundschutztool bereitstellen, sondern zusätzlich auch eigene IT-Services anbieten. Auf diese Weise sind die Verwaltungen um einige Sorgen ärmer. Sie müssen sich beispielsweise nur um die Sicherheit einer dezentralen Applikation kümmern, können aber als Back-End einen Dienstleister nutzen. Der Serviceanbieter muss in seinen SLAs klare Qualitätsparameter in Sachen Informationssicherheit zusichern.
Gewissermaßen ist diese Partnerschaft eine Win-win-Situation für Dienstleister, Behörden und Kommunen. Diese sind auf der sicheren Seite und sparen Investitionen in Infrastruktur und IT-Services. Die Rechenzentrumdienstleister erschließen sich neue Geschäftsfelder bei bereits vorhandener Infrastruktur. Das bedeutet für die Dienstleister zusätzliche Einnahmen bei besserer Ressourcenauslastung.
Die Zusammenarbeit lässt sich noch weiter ausbauen bzw. intensivieren. Gelingt es neben der Informationssicherheit noch verwandte Themen wie Business Continuity Management, das Risikomanagement oder die neue EU-Datenschutzgrundverordnung einzubinden, werden auch thematisch weitere Synergien gehoben. Auch das müssen diese Schutz-Tools leisten können.
Erhebliche Einsparungen ohne Abstriche an der Sicherheit sind durch das o.g. Szenario möglich. Aber bitte nicht beim Personal, denn dies ist in Sachen Informationssicherheit die wichtigste Ressource.