Managed Services

Wie Managed Service Provider sicher auf Unternehmens-Ressourcen zugreifen

, München, Thycotic | Autor: Stefan Schweizer

Wie Managed Service Provider sicher auf Unternehmens-Ressourcen zugreifen

Outsourcing: Kompetenz vs. Kontrollverlust

Von Stefan Schweizer, Vice President Sales DACH, Thycotic

Unternehmen jeder Größe und Branche eint heutzutage ein Problem: Der IT-Fachkräftemangel.

Stefan Schweizer, Vice President Sales DACH, Thycotic

So gestaltet sich die Suche nach gut ausgebildeten und erfahrenen IT-Mitarbeitern und insbesondere Cybersecurity-Experten immer schwieriger und immer mehr IT-Jobs bleiben unbesetzt. Laut einer Untersuchung des Branchenverbandes Bitkom waren Ende 2020 rund 86.000 Stellen für IT-Experten vakant – der zweithöchste jemals gemessene Wert seit der Ersterhebung im Jahr 2011. Dieser Mangel, gepaart mit der Tatsache, dass die Aufgaben der IT-Teams dank fortschrittlicher Cyberkriminalität und immer neuer Plattformen immer komplexer werden, lässt Unternehmen ihre Informationstechnologie vermehrt an Managed Service Provider (MSPs) auslagern.

Die Vorteile: Geballte Kompetenz

Die Vorteile dieses Outsourcings sind vielfältig: So fallen nicht nur kostenintensive HR-Aufgaben, wie Einstellungen oder Schulungen der Mitarbeiter weg, MSPs befreien interne IT-Teams zudem von ressourcenaufwändigen Routine- sowie zeitaufwändigen Spezialaufgaben und ermöglicht es ihnen so, sich auf strategische Aufgaben mit höherem Geschäftswert zu konzentrieren. Managed Security Service Provider (MSSPs) sorgen zudem für eine der aktuellen Bedrohungslandschaft entsprechende Cybersicherheit, indem sie die Analyse und Verwaltung auf Security-Stack-Plattformen, einschließlich IDS/IPS, SIEM und Verhaltensanalyse erweitern.

MSSPs können Bedrohungen erkennen und schnell auf Sicherheitsvorfälle reagieren. Da bei ihnen sämtliche Sicherheitsvorfälle und Bedrohungen aller Kunden zusammenlaufen und forensisch untersucht werden, sind sie in der Lage, ein vollständiges Bild aktueller Bedrohungen zu zeichnen und die Sicherheitsstrategien gezielt daran auszurichten. Auf diese Weise reduziert sich das Risiko von Ausfallzeiten, Unterbrechungen und Compliance-Problemen, die mit Sicherheitsverletzungen einhergehen, erheblich.

Die Nachteile: Kontrollverlust

Gleichzeitig birgt das Auslagern der IT-Sicherheit natürlich auch Risiken. So büßen die Unternehmen auf Dauer nicht nur Sicherheits-Know-how in der eigenen Organisation ein, sondern rufen unter Umständen auch einen Kontrollverlust hervor. Unternehmen müssen sich im Klaren sein, dass Dienstleister Zugriff auf Kundensysteme, Anwendungen, Plattformen, Infrastruktur, SaaS, IaaS etc. haben und ihnen auf diese Weise sensible und vertrauliche Daten überlassen werden. Hier muss also zunächst geprüft werden, ob die im Einsatz befindliche Software des MSSP den IT-Standards des eigenen Unternehmens und den eigenen geprüften Hard- und Softwareumgebungen entsprechen und der Dienstleister die eigenen Compliance-Vorschriften gut genug kennt.

Ein gutes Beispiel, das die Herausforderung deutlich macht, ist der Managed Platform Support. Jeder MSP, der hiermit beauftragt ist, benötigt administrativen oder privilegierten Zugriff auf jede Plattform im Stack, für die er verantwortlich ist. Die Authentifizierung hierfür erfordert die Erstellung oder Freigabe von Benutzernamen, Passwörtern und Access Keys. Stellt sich die Frage: Legen MSPs für jeden ihrer Mitarbeiter, der Zugriff benötigt, eigene Konten auf jeder Plattform an und entfernen diese dann, wenn sie den Zugriff nicht mehr benötigen? Natürlich nicht, es sei denn, dies ist vertraglich vereinbart. MSP-Mitarbeiter erstellen vielmehr ein gemeinsames Konto für jede Plattform.

Die Herausforderung bei gemeinsam genutzten Konten, so genannten Shared Accounts, besteht jedoch darin, dass es schwierig ist, zu erkennen, wer auf das System zugegriffen hat. Denn Audit-Protokolle auf der Plattform protokollieren zwar alle Kontoaktivitäten, nicht aber, wer auf das Konto zugegriffen hat. Es obliegt also dem MSP, dies durch Log-Protokolle selbst nachzuweisen. Für die Unternehmen bedeutet dies eine größere Unsicherheit. Viele fürchten, dass einzelne MSP-Mitarbeiter unkontrolliert Zugang zu sensiblen Daten haben oder versehentlich durch das Klicken einer Schaltfläche einen Ausfall verursachen. Immerhin können Fehler wie diese theoretisch jederzeit passieren, vor allem dann, wenn Personal nicht zur eigenen Belegschaft gehört oder häufiger wechselt. Hinzu kommt, dass SaaS, IaaS, SECaaS und Co. die Komplexität noch erhöht, da sich das Rechenzentrum längst nicht mehr in einem kontrollierten Umfeld befindet.

So gewährleistet man Zugriffssicherung auch bei ausgelagerter IT

Grundsätzlich sollte ein MSP Protokolle befolgen, die elementare Sicherheitspraktiken wie Zero-Trust, Least Privilege und Just-in-Time (JIT)-Access, d.h. zeitlich eng beschränkte Zugriffe, erzwingen. Damit dies nachhaltig gelingt, muss jedoch jede Anwendung, jeder Server, jeder Dienst oder jede Plattform über die entsprechenden Durchsetzungsmöglichkeiten verfügen.

Sollen Aktivitäten konkreten Nutzern zugeordnet werden können, bedarf es eindeutig authentifizierbarer Accounts. Doch je mehr individuelle Konten es gibt, desto größer ist die Herausforderung für jedes dieser Konten zu definieren, auf was sie zugreifen können und welche Daten für sie sichtbar sind. Nicht jeder, der auf der gleichen Plattform arbeitet, benötigt schließlich den gleichen Zugriff. Umso wichtiger ist es, eine strikte Aufgabentrennung durchzusetzen und den individuellen Benutzern nur den Zugriff auf Daten und Steuerelemente zu gewähren, die sie zur Erfüllung ihrer Aufgabe auch tatsächlich benötigen. Dabei sollte man bedenken, dass auch die Konnektivität Fernzugriff erfordert, weshalb moderne Authentifizierungskontrollen für Remote Access vorhanden sein sollten.

Unternehmen sollten daher sicherstellen, dass die von ihnen gewählten MSPs wirksame Kontrollen im Einsatz haben, die Verbindungen zu beliebigen Webanwendungen, Remote Desktop Protocol (RDP)- und SSH-Zugänge sowie den Zugriff auf Datenbanken einschränken und vor Missbrauch absichern. Auf diese Weise existiert ein einheitlicher Zugangspunkt mit granularen rollenbasierten Zugriffskontrollen, der es dann ermöglicht, unverwechselbare Identitäten mit moderner Authentifizierung zur Überprüfung der Identität einzurichten. Über ein intuitives Portal können MSP-Mitarbeiter nur auf die Plattformen zugreifen, die sie betreuen, und die Compliance durch prüfbare Sitzungsaufzeichnungen, Zugriffsprotokolle, Dashboards und Berichte nachweisen.