Kompetenzen prüfen

Viele Unternehmen vertrauen Ihre IT und Ihre IT-Sicherheit externen Dienstleistern an. Doch wie findet man das richtige Partnerunternehmen? Welche Kriterien sind wichtig? Die DIHK veröffentlich auf ihrer Website https://www.ihk.de/it-sicherheits-kriterien einen Kriterienkatalog, der bei der Auswahl helfen soll.
Stephan Sachweh beantwortet die Punkte und zeigt Ihnen auf, dass Pallas Ihr geeigneter und sicherer IT-Dienstleister ist.

IT-Dienstleistung - aber sicher

Organisation

"Der Dienstleister bietet an, eine Schutzbedarfsanalyse für die Systeme des auftraggebenden Unternehmens durchzuführen, sowie daraus gemeinsam mit dem Auftraggeber ein Sicherheitskonzept abzuleiten."

Vor Auftragserteilung und vor Aufbau oder Inbetriebnahme einer Sicherheitsinfrastruktur wird gemeinsam mit dem Kunden erarbeitet, welche Sicherheitsinfrastruktur benötigt und angemessen ist. Dies orientiert sich am Schutzbedarf der geschützten Daten sowie den Unternehmensanforderungen zum BCM. So ist es z.B. nicht sinnvoll eine hochverfügbare Firewall Infrastruktur hinter einem singulärem Internet Uplink aufzubauen. Ob die bestehende und neue Infrastruktur den Anforderungen des Unternehmens entspricht wird in diesem Stadium ermittelt und ggf. angepasst.

Bei Bedarf des Kunden kann die bestehende Infrastruktur und auch die neue Infrastruktur einem Penetration Test unterzogen werden, um die Wirksamkeit der Maßnahmen nachzuweisen.

"Die Auswahl der technischen Sicherungsverfahren und die Organisation der IT-Sicherheit werden in Abstimmung mit dem auftraggebenden Unternehmen auf der Basis der Best Practices der ISO 27002 (oder vergleichbar) abgestimmt."

Die Managed Services der Pallas werden jährlich vom TÜV geprüft. Je nach Schutzbedarf des Kunden werden aus einem Baukastensystem die für den Kunden passenden Sicherheitskomponenten aufgebaut und betrieben.

"Der Dienstleister berichtet dem auftraggebenden Unternehmen monatlich über den sicherheitsrelevanten Status der Kundensysteme und gibt Handlungsempfehlungen."

Jeder Sicherheitsvorfall wird im Pallas eigenen ISMS verfolgt. Bei kritischen Sicherheitslücken wird Pallas selbständig aktiv und schließt diese für den Kunden. Gibt es dedizierte Systeme des Kunden, die eine sehr hohe Verfügbarkeitsanforderung haben, so steht dies meist im Widerspruch zur schnellen Schließung von Sicherheitslücken. Daher wird in diesen Fällen das Vorgehen mit dem Kunden individuell abgestimmt.

"Der Dienstleister ist bei Vertragsabschluss bereit, für alle Subunternehmer die hier aufgeführten Anforderungen ausgefüllt dem Auftraggeber vorzulegen."

Pallas setzt i.d.R. keine Subunternehmen ein, sondern arbeitet mit eigenem Personal. Dennoch kommt es häufig vor, dass Partnerunternehmen von Kunden erweiterte Rechte auf Kundensystemen erhalten müssen. Dies erfolgt nach Vorgabe durch den Kunden. Werden Techniker von z.B. Hardwarelieferanten im Einsatz benötigt, so arbeiten diese nie alleine an Systemen, sondern immer unter Aufsicht von Pallas Mitarbeitern.

"Der Dienstleister erklärt sich bereit, Security Audits durch geeignete Dritte mit einer angemessenen Vorlaufzeit zu akzeptieren."

Security Audits durch Kunden kommen regelmäßig vor und werden selbstverständlich akzeptiert. Entstehen durch das Audit Risiken wie z.B. Denial of Service Attacken auf Kundensysteme, so weist Pallas darauf hin. Pallas wird jährlich durch den TÜV zertifiziert und gem. ISAE 3402 testiert. Zertifikat und Testat werden Kunden zur Verfügung gestellt.

Prävention

"Der Dienstleister gewährleistet eine definierte Mindestverfügbarkeit pro Monat für alle für das auftraggebende Unternehmen relevanten Systeme (Service Level Agreement - "SLA")."

Pallas unterscheidet im Wesentlichen zwischen singulären Systemen mit einer Standardverfügbarkeit von 98,5 % und hochverfügbaren Systemen von 99,9 % pro Jahr. Andere Service Level Agreements können bei Vertragsschluss nach Bedarf vereinbart werden.

"Der Dienstleister bietet an, für alle für das auftraggebende Unternehmen relevanten Systeme Backups nach Stand der Technik durchzuführen und auf Anforderung des Auftraggebers testweise rückzusichern."

Das Standard Enterprise Backup von Pallas sieht eine tägliche inkrementelle sowie eine 14 tägige Vollsicherung vor. Vollsicherungen werden Off Site sicher gelagert. Alle Tapes werden verschlüsselt. Rücksicherungen finden durch eine zentrale Backup Infrastruktur für alle Kunden ständig statt und werden damit auch ständig geprüft. Ein sogenanntes Desaster Recovery Restore – d.h. ein Restore nach einem Totalverlust von Servern – wird regelmäßig geprüft.

"Der Dienstleister ist in der Lage, eine Inventarisierung aller für den Auftraggeber relevanten Anwendungen und Systeme zu dokumentieren."

Inventarisierung aller Hardware und Software Assets ist bei Pallas Standard. Die Dokumentation der eingerichteten Systeme ist, insbesondere für die Bereitschaftsdienste, eine notwendige Voraussetzung und wird daher ständig gepflegt.

"Es gibt einen dokumentierten Prozess, um Änderungen an Systemen zu erfassen und die Sicherheitsauswirkungen bewerten zu können, bevor die Änderungen durchgeführt werden."

Änderungen am System werden üblicherweise durch den Kunden über das Pallas Ticketsystem eingebracht. Im Rahmen der Ticketbearbeitung wird insbesondere geprüft, ob durch die Änderungen Sicherheitslücken entstehen. Diese werden dann mit dem Kunden besprochen, um den Wunsch des Kunden unter höchstmöglicher Sicherheit umsetzen zu können.

"Eine Fernwartung geschieht ausschließlich über nach dem Stand der Technik verschlüsselte Leitungen mit angemessen starker Authentifizierung."

Pallas verwendet IPsec basierte VPN Zugänge mit starker Zwei-Faktor-Authentifizierung für alle Wartungszugänge.

Reaktion

"Der Dienstleister bietet an, Vorkehrungen zu treffen, um Hacker-Angriffe auf alle für das auftraggebende Unternehmen relevanten Systeme zu erkennen."

Pallas bietet sowohl IDS/IPS Systeme als auch Anomalie-Erkennungssysteme für die Erkennung von Hacker-Angriffen an. Für Web basierte Systeme können Web-Application-Firewalls (WAF) für einen erweiterten Schutz Web basierter Anwendungen aufgebaut werden. Das alle Systeme durch Firewalls geschützt werden versteht sich von selbst. Desweiteren ist ein Schutz vor DDoS Attacken für einzelne von Pallas betriebenen Systemen möglich.

"Sicherheitswarnungen/-meldungen zu allen mit dem Auftraggeber vereinbarten Betriebssystemen, IT-Systemen und Software-Anwendungen werden beobachtet."

Teil des Pallas ISMS ist es, dass alle Sicherheitswarnungen von Systemen unter Herstellerwartung, „Sicherheitsmailinglisten“ sowie Meldungen von Behörden (z.B. BSI) aufgenommen, bewertet und die erforderlichen Maßnahmen zur Reduzierung oder Abschaltung der Lücke gestartet werden.

"Sicherheitsvorfälle und -warnungen mit hoher Kritikalität werden sofort an den Auftraggeber kommuniziert und es wird unverzüglich (entsprechend der vereinbarten SLAs), in Abstimmung mit dem Auftraggeber, ein sicherer Zustand wiederhergestellt."

Bei hochverfügbaren Systemen, die ohne Betriebsunterbrechung gepatcht werden können, oder bei für mehrere Kunden verwendeten Systemen schliesst Pallas selbständig bekannte Lücken. Dedizierte Systeme des Kunden oder Systeme mit speziellen Verfügbarkeitsanforderungen werden in Absprache geschützt.

"Sicherheitsvorfälle und –Warnungen mit normaler Kritikalität werden am gleichen Tag an den Auftraggeber kommuniziert und in Abstimmung mit ihm ein sicherer Zustand wiederhergestellt."

Sicherheitsvorfälle mit normaler oder niedriger Kritikalität werden in Abstimmung mit dem Kunden behoben. Dies kann z.B. in bereits geplanten Wartungsfenstern erfolgen, sofern die gemeinsame Einschätzung der Lage dies erlaubt.

"Der Dienstleister bietet IT-Notfall-Dienstleistungen an."

Im Falle eines IT-Notfalls unterstützt die Pallas bis zur Wiederherstellung eines normalen Betriebes. Dazu kann eine Notrufnummer 24x7 angerufen werden, an der ein kompetenter Techniker zur Verfügung steht.

Lieferant

"Der Dienstleister führt bezüglich seines eigenen Geschäftes und seiner Infrastruktur regelmäßig eine Risikoanalyse durch und hat geeignete Notfallpläne und risikosenkende Maßnahmen im Einsatz."

Pallas wird jährlich vom TÜV geprüft. Für kritische Systeme pflegt die Pallas ein Notfallhandbuch. Kritische Systeme sind üblicherweise hochverfügbar ausgelegt.

"Die Mitarbeiter des Dienstleisters sind nachweislich angemessen zu Sicherheitsthemen qualifiziert. Auch bei Sicherheitsvorfällen ist eine ausreichende personelle Ausstattung mit nachgewiesener Kompetenz (z.B. Herstellerzertifikat) für alle für das auftraggebende Unternehmen relevante Systeme gegeben."

Pallas hält seine Mitarbeiter durch interne und externe Schulungen ständig auf einen aktuellen Stand. Ausreichende Personalkapazitäten sind selbstverständlich und insbesondere für den 24x7 Betrieb auch notwendig.

"Der Dienstleister dokumentiert seine regelmäßigen Sicherheits-Sensibilisierungen und -Schulungen bei seinen Mitarbeitern und gewährt dem auftraggebenden Unternehmen Einblick in die Dokumentation."

Pallas führt regelmäßig Security Awareness Maßnahmen durch. Dies sind z.B. Web based Trainings aber insbesondere auch Berichte über bekannt gewordene Sicherheitsvorfälle in wöchentlichen Austauschmeetings. Dadurch sind die Mitarbeiter bereits gewappnet, sofern ein Kunde von einem Sicherheitsvorfall betroffen ist.

"Auf Ausscheiden eines Mitarbeiters des Dienstleisters wird das Benutzerkonto deaktiviert, Passwörter geändert und alle Unterlagen, die den Auftraggeber betreffen, eingezogen."

Pallas Mitarbeiter arbeiten lokal und vor Ort i.d.R. mit Personen bezogenen Logins. Bei Ausscheiden eines Mitarbeiters werden diese Logins selbstverständlich gesperrt und auch alle physischen Zugangsmöglichkeiten (Schlüssel, Keycards, Ausweise) eingezogen. Die Mitnahme von dienstlichen oder Kundendaten auf privaten Geräten ist untersagt. Pallas Hardware wird selbstverständlich ebenfalls eingezogen.

"Personenbezogene Daten von Mitarbeitern des auftraggebenden Unternehmens werden in die Schadenspotenzanalyse im Rahmen des Datenschutzmanagements des Dienstleisters mit einbezogen."

Die Schadenspotenzanalyse findet bereits bei Beauftragung statt, um ein für den Schutzbedarf der Daten angemessenes Sicherheitsniveau zu erlangen. Teilt der Kunde der Pallas mit, welche Personen bezogenen Daten geschützt werden müssen, so wird diese Information bei z.B. Sicherheitsvorfällen und Bedrohungen mit in die Entscheidungsfindung einfließen.