Ein Kommentar von Stefan Rabben, Area Sales Director DACH and Eastern Europe bei der WALLIX Group

[datensicherheit.de, 02.05.2019] Nachdem Cyberkriminelle die Zugänge eines IT-Dienstleisters übernommen haben, konnten sensible Daten von mehreren Großunternehmen unter anderem  aus den Bereichen Automobil, Luftfahrt, Telekommunikation, Mode usw.entwendet werden. Daten von mehreren kleineren Organisationen sind ebenfalls betroffen. Diese wollten die Täter nun veröffentlichen, da der Service-Provider sich weigerte, den Lösegeldforderungen nachzukommen.

Erpressung gehören zum Alltag

Cyberangriffe dieser Art sind keine Seltenheit: Erpressungen über entwendete Daten und Angriffe über unzureichend gesicherte Zugänge gehören leider zum Alltag. Die Besonderheit an diesem Fall ist allerdings der Umfang an gestohlenen Informationen – die Datenmenge soll 312.570 Dateien in 51.025 Ordnern sowie mehr als 516 Gigabyte umfassen.

Bild: WALLIX Group

Stefan Rabben, Area Sales Director DACH and Eastern Europe bei der WALLIX Group

Unternehmen greifen auf IT-Dienstleister zurück

Die meisten Unternehmen in Deutschland greifen auf IT-Dienstleister zurück. Speziell Mittelständler lagern Teile oder sogar die komplette IT aus. Die Nutzung von Zugängen mit erhöhter Sicherheitsfreigabe ist deshalb in vielen Firmen Standard. Dennoch kommt es dabei, wie im Beispiel Citycomp, immer wieder zu Versäumnissen bei der Absicherung. In der Regel nutzen Dienstleister keine normalen Zugangskonten, sondern haben Admin-Freigaben, weshalb das Risiko im Falle einer Account-Übernahme viel größer ist.

Bedarf an privilegierten Konten steigt

Gerade im Zeitalter von Cloud Computing und immer agileren IT-Prozessen steigt die Anzahl der Akteure und somit auch der Bedarf an privilegierten Konten. Eine große Rolle spielt dabei der Faktor Mensch – vor allem in puncto Cybersicherheit. Versäumnisse oder Innentäter sind in vernetzten Umgebungen ein unterschätzter Gefahrenherd. Nur 42 Prozent aller Unternehmen haben hier zum Beispiel Sicherheitsmechanismen implementiert.

Die Anzahl der Benutzerkonten und Compliance-Anforderung steigt ebenfalls. Viele Accounts brauchen zudem spezielle Zugriffsrechte: Dienstleister und Superuser verwalten zwar Teilbereiche von Systemen oder einzelne Applikationen, trotzdem benötigen sie entsprechende Freigaben, um richtig arbeiten zu können. IT-Abteilungen haben jedoch nicht das nötige Personal, um sämtliche Akteure zu überwachen – insbesondere, wenn diese bei Dritten angestellt sind.

Freigaben granular verwalten

Genau aus diesem Grund entsteht ein Gefahrenherd, da viele Unternehmen keine Vorkehrungen treffen, um diesen Bereich abzusichern. Privileged Access Management (PAM) setzt exakt an diesem Punkt an und segmentiert Nutzerkonten nach Bedarf. Auditoren können so Zugänge für einzelne Anwender oder bestimmte Nutzergruppen granular verwalten. Detaillierte Maßnahmen für Benutzerkonten gewährleisten zusätzlich eine Sicherheitsgrundlage für das On- und Offboarding von Accounts und Anwendungen.

Die Verwaltung von privilegierten Nutzerkonten durch ein zentrales Tool ist sinnvoll, wenn IT-Abteilungen Entlastung brauchen und Organisationen zudem Compliance-Vorgaben beachten müssen. Gerade bei (Hybrid-)Cloudumgebungen und dem Einsatz von IT-Dienstleistern ist PAM eine Schlüsseltechnologie und erhöht das Schutzniveau nachhaltig.

Weitere Informationen zum Thema:

datensicherheit.de, 30.04.2019
Sensible Daten aufspüren und schützen

datensicherheit.de, 07.12.2018
Mangelhafte Administration als Sicherheitsrisiko

datensicherheit.de, 11.08.2018
Kostenloses Discovery-Tool zum Aufspüren privilegierter Konten

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

datensicherheit.de, 08.12.2016
IT-Sicherheit: Gründliche Planung ist Voraussetzung

Von unseren Gastautoren Robert Kuhlig und Thomas Neeff

[datensicherheit.de, 17.02.2014] Im IT-Dienstleistungsbereich ist die vollständige oder teilweise Vergabe von Dienstleistungen üblich. Unternehmen versprechen sich davon eine Konzentration auf ihre Kernkompetenzen, indem sie einzelne Elemente der IT-Wertschöpfungskette – beispielsweise den Rechenzentrumsbetrieb oder ganze Services wie z.B. die Rechnungsarchivierung – an spezialisierte Dienstleister vergeben. Auch Kostenvorteile werden als Grund für solche Auftragsvergaben angeführt.

Kann man Verantwortung auslagern?

In Bezug auf die Verantwortung für das Handeln der jeweiligen Dienstleister ist die Meinung weit verbreitet, dass der Dienstleister neben der operativen Durchführung der Dienstleistung auch vollumfänglich die Verantwortung vor allem für die Sicherheit der Informationen hinsichtlich der ausgelagerten Dienstleistung übernimmt. Dies trifft jedoch nicht zu; grundsätzlich verbleibt die Verantwortung für die Datenverarbeitung immer beim Auftraggeber, denn Verantwortung kann nicht ausgelagert werden. Begründungen und Argumente hierfür finden sich in praktisch allen regulatorischen und gesetzlichen Vorgaben (einige Beispiele: Bundesdatenschutzgesetzt für die Verarbeitung personenbezogene Daten, Kreditwesengesetz für die Auslagerung im Banken- und Finanzdienstleistungsumfeld,  Regularien der US-amerikanischen FDA (Food & Drug Administration)), in denen auf die Auslagerung von IT-Dienstleistungen Bezug genommen wird.

Praxistipp: Lassen Sie sich bereits bei der Auftragsvergabe ein regelmäßiges Recht zur Auditierung der Abläufe beim Dienstleister schriftlich zusichern und definieren Sie Kriterien, nach denen in regelmäßigen Abständen (zeitliche Komponente) und bei außerordentlichen Ereignissen (z.B. Service Level Verletzungen, Security Incidents, Veränderung der Services) Überprüfungen durch Audits durchgeführt werden sollen.

Rechtfertigung für einen Lieferantaudit

Grundsätzlich obliegt es daher dem Auftraggeber einer Dienstleistung, sich regelmäßig in angemessenen Abständen, bei Bedarf und mittels entsprechender Vorgehensweisen – zum Beispiel mittels eines risikobasierten Ansatzes – von der Ordnungsmäßigkeit (so wie vereinbart) der Abläufe beim Dienstleister zu überzeugen. Das kann mittels qualifizierter Nachweise von Dritten erfolgen, indem beispielsweise eine sach- und fachkundige Partei Überprüfungs-Audits beim Dienstleister durchführt. Solchen Audits liegt oft ein konkreter Anlass zu Grunde, wobei grundsätzlich in einschlägigen Normen wie der IT Service Management-Norm ISO20000 oder auch der IT Security Management Normenreihe ISO27000 eine solche regelmäßige Überprüfung gefordert wird. Die Erfüllung dieser Forderung sichert nicht nur die Qualität und Sicherheit der eingekauften IT-Dienstleistung, sondern hilft auch, das Verhältnis zwischen Kunde und Lieferant langfristig zu erhalten und auf ein für beide Parteien akzeptiertes Niveau zu heben.

Vorgehen beim Audit

Im Rahmen eines Lieferanten-Audits erfolgen Prüfungshandlungen üblicherweise sowohl auf Seiten des Auftraggebers als auch beim Auftragnehmer einer IT-Dienstleistung. Auf Seiten des Auftraggebers wird mindestens überprüft, welche Vorgaben (Lieferanten Policy) für die Aussteuerung des Lieferantenverhältnisses vorhanden sind und ob beispielsweise die IT-Sicherheitsvorgaben für Lieferanten den eigenen Vorschriften entsprechen. Bei der Überprüfung des Lieferanten, die den Hauptumfang der Prüfungshandlungen darstellt, dreht sich die Untersuchung schwerpunktmäßig um die Frage, ob die Vereinbarungen hinsichtlich der Dienstgüte (Service Level – SL) eingehalten werden. Dabei wird im Bereich IT-Sicherheit meist intensiver geprüft als in den anderen Disziplinen. Ebenso ist es möglich, besondere Schwerpunkte aus branchenspezifischen Anforderungen und spezielle in den SLA vereinbarte Aspekte mit in die Analyse einzubeziehen.

Was wird nach einem Audit geliefert?

Die Untersuchungsergebnisse werden in einem Audit Report festgehalten. Dieses Dokument zeigt nicht nur die beim Audit gemachten Beobachtungen auf, sondern gibt auch konkrete Empfehlungen anhand eines priorisierten Maßnahmenkataloges , wie und in welcher Reihenfolge die identifizierten Punkte einer Lösung zugeführt werden müssen. Auf Basis dieser Dokumente können Auftraggeber und Dienstleister gemeinsam die Abarbeitung der Themen planen, welche dann im Rahmen von Nachbetrachtungen erneut überprüft werden.

Praxistipp: Ein qualifizierter Audit Report stellt einen angemessenen Nachweis dar, mit dem sich die Verantwortung des Auftraggebers (auslagerndes Unternehmen) für die Datenverarbeitung gegenüber Dritten nachweisen lässt. Insbesondere im Fall von Uneinigkeiten zwischen den Parteien und etwaigen folgenden Auseinandersetzungen hinsichtlich des Auftragsgegenstands ist ein solches Dokument ein hilfreiches Beweisstück von erheblicher Aussagekraft.

Ist ein Lieferanten Audit rentabel?

Meist ergibt sich durch ein solches extern durchgeführtes Lieferanten-Audit ein erhebliches Verbesserungspotential in der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer. Darüber hinaus liegen die Vorteile auch kostenseitig auf der Hand: Die Ausgaben für eine solche externe Auditierung sind, verglichen mit dem Wert eines IT-Dienstleistungsvertrags, meist sehr gering. In der Mehrzahl der Fälle ergibt sich aus einem solchen Audit ein erhebliches Kostensenkungspotential, weil

1. Entweder festgestellt wird, dass eine vertraglich zugesicherte Leistung nicht oder nicht in der vereinbarten Dienstgüte geliefert wird und daher Rückforderungen möglich sind oder
2. ein Leistungsumfang bezogen wird, der gar nicht notwendig ist – (Teil)Kündigung möglich je nach Vertragslaufzeit bzw. Umwidmung

Fazit:

Auf Basis des Ergebnisberichts lassen sich kurz-, mittel- und langfristige  Optimierungsmaßnahmen hinsichtlich der Gestaltung der Lieferantenbeziehung aufsetzen. Als positiver Effekt lässt sich eine steigende Servicequalität bei sinkenden Kosten beobachten.
Praxistipp: Steuern Sie Ihre externen Dienstleister auch unterjährig, indem Sie regelmäßige Service Review Meetings durchführen und aktiv die Beziehung zum Dienstleister gestalten. Im Rahmen solcher Service Review Meetings sollten die vereinbarten Service Level Agreements besprochen und Kennzahlen der Betrachtungsperiode gemeinsam besprochen werden. Auch der Status der bereits vereinbarten Verbesserungsmaßnahmen sollte Gegenstand des Meetings sein

Die Autoren:

© mITSM

Robert Kuhlig

Robert Kuhlig ist Gründer und Geschäftsführer des mITSM Munich Institute for IT Service Management und Experte auf den Gebieten IT Service- und Security Management.

© mITSM

Thomas Neeff ist IT Management-Experte und beschäftigt sich seit mehreren Jahren mit den Themen IT Service Management, Security Management und Datenschutz.

Das mITSM bietet Schulungen in ITIL, ISO27000, ISO20000 und COBIT an und berät Firmen in allen Fragen rund um Service- und Security Management. Zum Leistungsumfang gehört auch die Durchführung aller Arten von IT-Audits, sowohl intern bei Kunden als auch bei deren Dienstleistern.

Weitere Informationen zum Thema:

mITSM MUNICH INSTITUTE FOR IT SERVICE MANAGEMENT
Lieferantenaudit bei IT Dienstleistern