Auslagerung von IT-Services: Klassi kation und Risikomodell

Transkript

1 BSM Anwender Nr Sept ISSN Auslagerung von IT-Services: Klassi kation und Risikomodell Leitlinien für Anwender im global sourcing Eberhard von Faber 1 Einordnung: Unternehmen und Institutionen können Dienstleistungen Dritter in Anspruch nehmen, statt Informationstechnologie selbst und unter eigener Verantwortung zu betreiben und zu p egen. Umfang und Charakter solcher Fremdleistungen für dem IT-Betrieb sind sehr verschieden. Wenn Anwender diese nutzen, müssen sie die damit eventuell verbundenen Risiken kennen, einschätzen und bewerten können. Das erfordert wiederum das Verständnis davon, wie Risikoaspekte und Aufgaben im IT-Betrieb konkret zwischen Anwender und Anbieter aufgeteilt werden, um ausreichende Sicherheit gewährleisten zu können. Schlüsselwörter: Dienstleistungsmodelle; Arbeitsteilung; Outsourcing; Informationstechnologie; IT Sicherheit; Globalisierung; Risikomanagement; Datensicherheit; Datenschutz; Cloud-Computing; Software-as-a-Service; Managed Security Services; Virtualisierung Abstract Anwender können für den Betrieb von Informationstechnologie (IT) Fremdleistungen in Anspruch nehmen. Die Arbeitsteilung zwischen IT-Leistungserbringer und Anwender kann dabei sehr unterschiedlich ausgestaltet werden. Entsprechend verschieden sind die Dienstleistungsmodelle der Anbieter. Der Beitrag beschreibt ein Schema zur Klassi zierung der Fremdleistungen und erläutert wichtige Dienstleistungsmodelle. Ein wesentliches Kriterium bei der Auswahl durch den Anwender sind die Risiken, die mit dem jeweiligen Modell verbunden sind, bei einem anderen aber eventuell gar nicht bestehen. Als Grundlage für die erforderliche differenzierte Risikobetrachtung wird der Begriff Risiko de niert und in vier Dimensionen aufgespaltet. Jede ist auf eigene Weise relevant in Bezug auf die Sicherheitsbewertung von Fremdleistungen und mit bestimmten Aufgaben für den Anwender verbunden. Das Klassi - kationsschema für IT-Services und die Dimensionen im Risikomodell unterstützen Anwender dabei, ein systematisches und umfassendes Verfahren zur Bewertung von Risiken und damit der Informationssicherheit nutzen zu können. 1 Eberhard.Faber@t-systems.com, T-Systems, Rabinstraße 8, D Bonn BSM 2009 Anwender Eberhard Nr. von 201Faber 1.0. vom und25. Friedrich L. Sept. 2009Holl Seite 1 (von 6)

2 Eberhard von Faber arbeitet bei T-Systems im Aufgabenbereich Security Strategy und Executive Consulting; studierte Theoretische Elektrotechnik und promovierte auf dem Gebiet der Halbleiterphysik; verfügt über mehr als 17 Jahre Industrieerfahrung auf dem Gebiet der IT-Sicherheit; ist Professor für IT-Sicherheit an der Fachhochschule Brandenburg im Master-Studiengang Security-Management. Einleitung Wenn Anwender Fremdleistungen für den Betrieb von Informationstechnologie (IT) in Anspruch nehmen, können sie auf verschiedene Dienstleistungsmodelle der Anbieter zurückgreifen. Diese unterscheiden sich neben der Arbeitsteilung zwischen Dienstleister und Anwender auch hinsichtlich des Risikopotenzials. Die Modelle reichen von Support, Überwachung oder aktiver P ege von Inhouse- oder Campussystemen (im RZ des Anwenders) durch den Dienstleister über klassisches Hosting dedizierter Kundensysteme (im RZ des Dienstleisters) und dem Übergang auf die Verwendung von gemeinsam genutzten ( shared ) Plattformen oder Anwendungen bis hin zur exiblen Bereitstellung von IT-Ressourcen (meist Services ) auch über das Internet. Das vorliegende Bulletin vermittelt allgemeine technische Grundlagen für die Entwicklung einer Sourcing-Strategie und die Auswahl und Bewertung von Dienstleistungsmodellen hinsichtlich der Risiken und (Informations ) Sicherheit. 1. Sicherheit, Risiko und Vertrauen Sicherheit ist ein entscheidender Aspekt im Verhältnis zwischen Anwender und Dienstleister, insbesondere dann, wenn Anwender überlegen, bestimmte Aufgaben der IT-Produktion komplett an einen Dienstleister abzugeben. Sicherheit ist dabei gleichzeitig ein wesentliches Qualitätsmerkmal der Anbieter. Um Argumente für oder gegen Outsourcing zu diskutieren bzw. Rahmenbedingungen für eine Übertragung von Aufgaben an Dritte zu de nieren, muss die Sicherheit durch eine detaillierte Risikobetrachtung bewertet werden. Inhaltlich ist Risiko mit vier Begrif ichkeiten verbunden: D1 Bedrohung / threat (Szenario), D2 Schwachstelle / vulnerability (keine oder unzureichende Sicherheitsmaßnahmen), D3 Schaden / business impact (Verlust von Unternehmenswerten, Wahrscheinlichkeit dafür) sowie D4 Ungewissheit (Mangel an Wissen über mögliche Schäden, Schwachstellen oder Bedrohungen bzw. Mangel an Vertrauen über Aussagen darüber). Risiken entstehen, wenn eine Bedrohung (Gelegenheiten und Wirken von Ursachen) auf eine Schwachstelle (fehlende oder mangelnde Sicherheitsmaßnahmen) trifft [1]. Um ein IT- oder Geschäftsrisiko zu bestimmen, müssen also zunächst die identi ziert werden: Was kann prinzipiell bzw. konkret passieren? Im Vordergrund der Bedrohungsanalyse stehen oft Bedrohungen durch Außentäter (Einbruch, Hacking). Zu bedenken sind aber auch Bedrohungen durch illoyale eigene Mitarbeiter und Partner (Innentäter), z.b. verursacht durch mangelnde Motivation, Unkenntnis von Konsequenzen 2. 2 weitere Aspekte: unerwartetes Verhalten (Ursachen: Ignoranz, Informationsmangel), menschliches Versagen (etwa Irrtum, Fehlbedienung) und Fahrlässigkeit. Dazu kommt technisches Versagen (temporäre Fehlfunktion, technischen Ausfall) und höhere Gewalt (z.b. Feuer). BSM Anwender Nr vom 25. Sept Seite 2 (von 6)

3 Sodann ist zu untersuchen, ob existieren, also Tatbestände, die Gelegenheiten für einen möglichen Angriff schaffen, und die Wahrscheinlichkeit ihrer Ausnutzung zu bestimmen. Eine Schwachstelle weist auf das Fehlen, eine Lücke oder Schwäche von Sicherheitsmaßnahmen hin und macht eine Bedrohung zum Risiko. Beispiele für Schwachstellen sind: keine oder eine mangelnde Authentisierung vor dem Zugriff auf IT-Ressourcen und Daten, kein oder mangelnder Schutz gegen Schadsoftware wie Viren und Würmer oder keine ausreichenden Datensicherungsmaßnahmen. Die abschließende Bewertung erfordert die Klassi kation und Einstufung der Unternehmenswerte ( assets ), also die Quanti zierung potenziell gefährdeter Werte einschließlich möglicher Beeinträchtigungen des Geschäfts im Schadensfall ( business impact ). Ein Risiko besteht also darin, dass ein bezifferbarer dadurch entsteht, dass mit einer bestimmten Wahrscheinlichkeit ein Szenario eintritt (angenommene Bedrohung), bei dem eine Schwachstelle ausgenutzt wird. Die Wahrscheinlichkeit des Eintretens des Schadens berücksichtigt dabei außerdem die Motivation eines potenziellen Angreifers, sein Wissen und seine Fähigkeiten, die Gelegenheit sowie eventuell weitere Umstände. Jeder der bisher betrachteten drei Bereiche ist auf eigene Weise relevant im Bezug auf die Sicherheitsbewertung von Fremdleistungen: So können durch die Arbeitsteilung zwischen Anwender und Dienstleister neue Schnittstellen und Kommunikationswege entstehen, die vorher nicht existierten, also auch keine Gelegenheiten für Angriffe boten. Um die konkreten zu verstehen, muss man das Dienstleistungsmodell mit der zugrunde liegenden Architektur verstehen. Die Modelle werden in Kapitel 2 beschrieben. Ob existieren und wirklich ausgenutzt werden können, hängt von den Maßnahmen ab, die der Betreiber zur Abwehr der identi zierten Bedrohungen installiert hat. Die Existenz und Wirksamkeit der Sicherheitsmaßnahmen muss gegebenenfalls überprüft werden. Welche jedoch wirklich notwendig sind, hängt auch von den geschäftlichen Anforderungen des Anwenders ab. So sind bei der Verarbeitung personenbezogener Daten in der Regel Datenschutzbestimmungen zu berücksichtigen, bei Geschäftsdaten eher regulatorische Anforderungen. Geheime Daten müssen gegebenenfalls verschlüsselt werden. Dadurch entsteht Sicherheit als Abwesenheit von Risiken, die vor dem Hintergrund der geschäftlichen Tätigkeit nicht akzeptiert werden können. Bezüglich der Anforderungen an Schutzmaßnahmen reicht zunächst ein grobes Raster. Um das Risiko jedoch real einschätzen zu können, muss der mögliche und die Wahrscheinlichkeit des Gesamtszenarios bestimmt werden. Dazu müssen die Unternehmenswerte ( assets ) quanti ziert und es muss bestimmt werden, wie sich ein Schadensfall auf das Geschäft auswirken würde ( business impact ) und wie wahrscheinlich das Gesamtszenario ist? Der Besitzer der Daten und Nutzer der IT-Ressourcen ist dabei derjenige, der den Wert eines Verlustes an Verfügbarkeit, Vertraulichkeit oder Integrität einschätzen und Fremdleistungen danach bewerten kann. Der Anwender muss sich jedoch auch mit der vierten Risikodimension, der, auseinandersetzen. Denn nicht zu wissen, ob und welche Gefahren bestehen, kann ebenfalls ein Risiko darstellen. Zunächst geht es um die Bewertung des Anbieters. Kriterien bezüglich dessen Leistungsfähigkeit sind: die Fähigkeiten des Anbieters und die Reife zum Beispiel seiner Prozesse, die Zuverlässigkeit des Anbieters und die Reputation des Anbieters. Dazu kommen bezüglich seiner Verlässlichkeit und der (wahrscheinlichen) Qualität der Leistung die Verträglichkeit des Angebotes mit dem eigene Geschäftsmodell, die Berechenbarkeit des Anbieter hinsichtlich der Erfüllung seiner P ichten und die Ansprechbarkeit im Sinne von Verfügbarkeit und Kommunikationsverhaltens des Anbieters. BSM Anwender Nr vom 25. Sept Seite 3 (von 6)

4 Die Bewertung der aufgeführten Aspekte liefert eine Aussage zur Vertrauenswürdigkeit des Anbieters. Im zweiten Schritt geht es dann um die Bewertung der konkreten IT-Leistung. Dabei werden dann auch die drei ersten, eingangs beschriebenen Risikodimensionen konkret betrachtet. 2. Dienstleistungsmodelle, Fremdleistungen 2.1. Modelle und Klassi kation Anwender können heute unter verschiedenen Dienstleistungsmodellen wählen, die sich in der Art und dem Umfang der Arbeitsteilung zwischen Leistungserbringer und Anwender unterscheiden. Um die damit gegebenenfalls verbundenen Risiken besser bewerten und vergleichen zu können, ist es zunächst notwendig, diese Modelle zu verstehen und unterscheiden zu können. Abb. 1: Schema zur Klassi kation von Dienstleistungsmodellen Die Klassi kation erfolgt anhand von drei Kriterien. Erstens wird der betrachtet (siehe Abb. 1): L1 L2 L3 L4 Infrastruktur eines Rechenzentrums mit Netzwerken und Verbindungen, Systeme bestehend aus Hardware und Rechentechnik einschließlich unstrukturiertem Speicher, Plattformen, die Umgebungen zur Ausführung von Programmen enthalten (zum Beispiel Java oder.net) und andere IT-Ressourcen bieten (zum Beispiel Datenbanken), Anwendungen oder Applikationen bzw. Web-Services als Einzeldienste. Die Aufteilung kann auch etwas anders gewählt werden. Die Begriffe Infrastruktur und Plattform werden unterschiedlich verwendet; Infrastruktur heute z.b. auch im Sinne einer Entwicklungsplattform. Das zweite Kriterium oder Merkmal ist die (siehe Abb. 1). Einerseits werden die Elemente speziell für einen Anwender/Kunden bereitgestellt; es handelt sich um kundenspezi sche ( dedizierte ) Elemente. Andererseits können Elemente so zur Verfügung gestellt werden, dass ver- BSM Anwender Nr vom 25. Sept Seite 4 (von 6)

5 schiedene Kunden sie gemeinsam nutzen ( shared ). Beispielsweise können mehrere Kundensysteme auf einem Computer installiert werden. Für die notwendige Trennung der Mandanten auf der IT des Anbieters sorgen Virtualisierungstechniken. Als drittes Kriterium wird der (vgl. Abb. 1) betrachtet. Die Elemente können sich im Rechenzentrum (RZ) des Anwenders oder in dem des Anbieters be nden. Eventuell werden die IT-Services aber auch in einem über mehrere Rechenzentren verteilten System erbracht. Solange mindestens die Applikationsschicht L4 des IT-Stacks noch kundenspezi sch ist ( dediziert ), stellt der Dienstleister seine Leistung genau diesem Kunden zur Verfügung. Aus Sicht des Dienstleisters ist das one-to-one. Bei vollständig industrialisierter IT-Produktion (nur shared ) bietet Dienstleister den IT-Service ( one-to-many ). Mit Hilfe der hier dargestellten Kriterien können die charakterisiert werden (siehe in Abb. 1 links). Be ndet sich die IT im RZ des Anwenders, so kann der Dienstleister für die Fernüberwachung dieser dedizierten Systeme sorgen und Wartungsarbeiten übernehmen ( Monitoring & Support). Handelt es sich um Managed Services, so ist der Dienstleister auch für die aktive P ege und die Kon guration dieser Kundensysteme verantwortlich. Im nächsten Schritt werden dedizierte Systeme des Anwenders/Kunden im RZ des Anbieters betrieben und mit Basisinfrastrukturleistungen (L1) einschließlich Netzanschlüssen versorgt ( Housing ). Bei den folgende Modellen stellt der Anbieter schrittweise mehr Elemente im IT-Stack bereit: Während es beim Housing nur die RZ Infrastruktur (L1) war, liefert der Dienstleister bei Infrastructure-as-a-Service 3 nun Hardware und Rechentechnik (L2 und zugrunde liegend L1). Bei Platform-as-a-Service werden ganze Plattformen (L3 mit L2+L1) bereitgestellt. Auf diesen Elementen wird dann jeweils dedizierte Software des Anwenders betrieben. Bei dem Modell Software-as-a-Service (L4 mit L3+L2+L1) gibt es keine dedizierte, kundenspezi sche Software mehr, der Dienstleister stellt sie in einem one-to-many Ansatz allen seinen Kunden zur Verfügung. Spätestens beim Cloud-Computing wird die IT-Dienstleistung nicht mehr in einem speziellen RZ erbracht, sondern in einem verteilten, hochskalierbaren System Auswirkungen auf die Sicherheit Abb. 1 zeigt ein Klassi zierungsschema für IT-Dienstleistungen mit sieben exemplarischen Ausprägungen. Produktionsort, Form der Bereitstellung und die Arbeitsteilung zwischen Anbieter und Anwender im Geschäftsmodell haben Ein uss auf die Existenz möglicher Risiken. In Kapitel 1 wurden dem Begriff Risiko vier Dimensionen zugeordnet, die nun auf das Klassi zierungsschema bezogen werden. Zunächst zur Ungewissheit (D4): In Abb. 1 nehmen von unten nach oben die direkte Kontrolle bzw. Ein ussmöglichkeiten des Anwenders und sein a-priori Wissen ab. Anwender sind sich unsicher. Eine geringere direkte Kontrolle und potenziell eingeschränkte Kenntnis über Details der IT-Produktion bedeutet jedoch nicht, dass die Nutzung unsicher ist. Weiterhin nehmen gleichzeitig auch die Bedrohungen (als weitere Risikodimension D1) in Abb. 1 von unten nach oben prinzipiell zu. Dies liegt daran, dass die IT stärker verteilt wird und zwar physisch, logisch und zwischen mehr Parteien. Der zudem notwendige Einsatz neuer Technologien, Prozesse und Organisationsformen führt möglicherweise gleichfalls zu neuen Bedrohungen. Ob diese Veränderung der Situation zu einem real höheren Risiko für den Anwender führt, hängt davon ab, ob Schwachstellen (D2) existieren, Sicherheitsmaßnahmen also nicht ausreichend sind. Tendenziell wird der zu leistende Aufwand für IT-Sicherheitsmaßnahmen von den einfachen Service-Modellen bis hin zum Cloud-Computing eher zunehmen. Hochgradig verteilte IT benötigt andere, in der Regel höhere Schutzmaßnahmen als zentralisierte. Welche Dienstleistungsmodelle für einen bestimmten Geschäftsvorfall geeignet sind, hängt außerdem vom Ausmaß möglicher Schäden für das Geschäft (D3) ab. 3 auch als utility computing bekannt. BSM Anwender Nr vom 25. Sept Seite 5 (von 6)

6 3. Zusammenfassung Sicherheitsaspekte spielen eine wichtige Rolle, wenn Anwender die Auslagerung von Leistungen für den IT-Betrieb in Betracht ziehen. Insofern sind die Risiken, die mit dem jeweiligen Sourcing-Modell verbunden sind, eingehend zu betrachten. Das eingangs beschriebene allgemeine Modell zeigt die vier Risikodimensionen: Bedrohungen, Schwachstellen, Schäden an Unternehmenswerten und Ungewissheiten. Jeder der vier Aspekte muss betrachtet werden, um mögliche Risiken identi zieren und bewerten zu können. Dabei hilft das vorgestellte Schema zur Klassi kation von Dienstleistungsmodellen. Es enthält neben der Identi kation des Gegenstands der Leistungserbringung im IT-Stack, die Unterscheidung zwischen dedizierten und geteilten Systemen, die Bestimmung der Unterbringung und Besitzverhältnisse der IT sowie das Abrechnungs bzw. Geschäftsmodell des Anbieters. Diese Charakteristika müssen als Grundgerüst in die Risikobewertung ein ießen. 4. Verwandte Dokumente bietet ergänzende Informationen. Anhand eines speziellen Dienstleistungsmodells werden spezi sche Sicherheitsaspekte konkret erläutert. Auch wird ein konkretes Vorgehensmodell für die Auswahl und Bewertung von IT-Services und Anbietern vorgestellt. 5. Literatur [1] Gary Stoneburner, Alice Goguen, Alexis Feringa: Risk Management Guide for Information Technology Systems; NIST Special Publications Eberhard von Faber und Friedrich L. Holl, Brandenburg an der Havel, alle Rechte vorbehalten. Verwertung ist nur mit vollständiger Quellenangabe und unter Angabe der Bezugsquelle erlaubt. Reproduktion und anderweitige Wiedergabe des Dokumentes bedarf darüber hinaus der ausdrücklichen Genehmigung der Rechteinhaber. Titel: The ISSN: Herausgeber: Eberhard von Faber und Friedrich L. Holl Bezugsquelle: Kontakt: Prof. Dr. Eberhard von Faber und Prof. Dr. Friedrich Lothar Holl Fachhochschule Brandenburg Fachbereich Wirtschaft Studiengang Security-Management Unterstützt von: Magdeburger Str. 50, Brandenburg Infos und Kontakt: BSM Anwender Nr vom 25. Sept Seite 6 (von 6)