Cybersecurity: Fünf Dinge die jeder Anbieter von Managed Services wissen sollte

Vorsicht bei der Verbindung von industriellen Anlagen mit dem Internet

Von unserem Gastautor Ian Trump, Sicherheitsexperte bei MAXfocus (von LogicNow)

[datensicherheit.de, 24.11.2014] Es sieht ganz so aus, als ob Mitarbeiter in Produktionsbetrieben genauso gern ihre Facebook-Nachrichten durchstöbern wie wir alle. Auf den ersten Blick ist das nicht verwunderlich und kein Grund zur Sorge – oder doch? Immerhin vernetzen sich die Mitarbeiter mit den sozialen Medien über das gleiche flache Netzwerk, das sämtliche Bereiche der Produktion kontrolliert. Für dieses Szenario gibt es definitiv kein „Like“, denn das ist gefährlich.

Zu einem ähnlichen Schluss war ich bereits gekommen, nachdem ich ein Cybersecurity Audit in einer Fabrik durchgeführt hatte. Internetzugang zu gewähren über Maschinen, die eigentlich ausschließlich für Produktionszwecke eingesetzt werden sollten, hatte vor allem eine Wirkung: Es setzte den Geschäftsbetrieb des Unternehmens sämtlichen kriminellen Elementen im Netz aus. Da das Netzwerk nicht nach Sicherheitskriterien segmentiert war und nicht über eine interne Firewall verfügte, beschwor der Hersteller die Katastrophe quasi herauf. Hacker hätten die Förderbänder anhalten können – oder noch schlimmer: Sie hätten das Netzwerk mit einem Virus infizieren können. (Ein Mitarbeiter sagte, dass eine Sicherheitsverletzung das Unternehmen zwischen 2.500 und 3.000 Euro gekostet hätte – pro Stunde!). Dieses enorme Risiko brachte mich dazu, den Entscheidungsträgern der Fabrik die Frage zu stellen, die alle Managed Service Provider (MSP) ihren bestehenden und potenziellen Kunden stellen sollten: Was ist für Ihr Unternehmen wirklich wichtig?

Wie man sich vorstellen kann, wurde es als abträglich für das Geschäft angesehen, wenn Angestellte auf Computern, die von entscheidender Bedeutung für die Produktion waren, ihren Status überprüften, ein neues Selfie hochluden oder ihre E-Mails checkten – soweit wenig überraschend. Um wirklich alle Unbekannten aus der Gleichung zu entfernen, müssen MSPs aber noch weiter gehen – wie in der Geschichte mit dem Produktionsbetrieb. An erster Stelle steht dabei die Frage an den Kunden, was für ihn wichtig ist im Hinblick auf das Thema Sicherheit. Solange der MSP die Denke seines Kunden nicht verstanden und sein Verständnis von Cybersecurity nicht bewertet hat, kann er auch keine wirkungsvolle Lösung für den Kunden entwickeln. Für erfolgreiche MSPs ist dies bereits die wichtigste Erkenntnis zum Thema Cybersecurity.

Und hier folgen noch vier weitere Punkte, die jeder IT Service Provider berücksichtigen sollte:

• Solide Geschäftsprozesse aufbauen
  Können Sie die Services, die Sie anbieten, klar definieren – und können das auch Ihre Kunden? Wie auch immer Ihre Strategie aussieht: Sorgen Sie dafür, dass sie wiederholbar und nachvollziehbar ist. Falls Sie jemals erklären müssen, warum Sie einen bestimmten Ansatz verfolgt haben, sollten Sie verständlich machen können, wie und warum dieser Ansatz Teil Ihres Plans ist.
• Machen Sie sich mit einer Firewall vertraut
  Tun Sie sich selbst einen Gefallen: Arbeiten Sie mit einem Firewall-Produkt, lernen Sie es gut kennen und standardisieren Sie es über die Gesamtheit Ihrer Kunden. Das wird einen enormen Unterschied ausmachen, wenn Sie für Ihre Kunden den Zugang zum Netz herstellen. Verschiedene unterschiedliche Produkte gut zu kennen (und zu versuchen, sie alle zum Laufen zu bringen), kann sich als Bumerang herausstellen. Und selbst wenn Sie dabei eine Katastrophe vermeiden können: Mit verschiedenen Produktvarianten zu jonglieren kostet nicht nur Zeit, sondern ist auch eine unnötige Herausforderung.
• Werden Sie Experte
  Die Einführung des „Internet der Dinge“ – die Interkonnektivität internetfähiger Computergeräte – hat Netzwerke in sich ständig verändernde Anwendungsumgebungen verwandelt. Es ist daher absolut unerlässlich, dass Sie sich regelmäßig darüber informieren, wie die aktuellsten Produkte und Services funktionieren und ein tiefgehendes Verständnis für die Wirkung entwickeln, die sie in verschiedenen Branchen haben. Wie das geschilderte Beispiel der Fabrik zeigt, herrschen im Markt zahlreiche Missverständnisse darüber, welche Systeme und Services über das Internet zugänglich sein sollten – oder eben nicht.
• Pen The Policy
  Im Zusammenhang mit dem voran gegangenen Punkt, sollten MSP ihren Kunden anbieten, sie dabei zu unterstützen, Richtlinien zur Computernutzung schriftlich festzuhalten. Wenn Sie Ihr Wissen in diesem Bereich anbieten, stärkt das die Bindung zwischen Ihrem Unternehmen und Ihren Kunden. Außerdem dokumentieren Sie damit, dass Ihnen die Sicherheit Ihrer Kunden wichtig ist. Es hilft außerdem, sich noch einmal der sicherheitsrelevanten Themen und Aspekte sowie bestehender Risiken bewusst zu werden, was der beste Weg zur Verteidigung ist (und damit einen hervorragenden Return on Invest darstellt).
  Ein Aspekt zieht sich wie ein roter Faden durch diese Hinweise: Weiterbildung und der kontinuierliche Ausbau von Know-how sind sowohl für MSP selbst, als auch für ihre Kunden absolut unverzichtbar. Der Markt für Technologien ändert sich extrem schnell – es gibt also immer etwas Neues zu entdecken und zu lernen.

Denn die besten MSP wissen: „Man lernt nie aus.“

Bild: MAXfocus

Ian Trump ist Sicherheitsexperte bei MAXfocus from LogicNow (früher GFI MAX), einem globalen Anbieter von Cloud-basierten IT-Sicherheit und Management-Lösungen für die weltweit größte Community von MSP.

–