Bundesamt für Sicherheit in der Informationstechnik

M 2.301 Outsourcing des Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Der Aufbau und Betrieb eines Sicherheitsgateway bedeutet einen nicht unerheblichen finanziellen und personellen Aufwand. Trotzdem kann auf ein Sicherheitsgateway nicht verzichtet werden, wenn LANs an nicht vertrauenswürdige Netze (insbesondere an das Internet) angeschlossen werden sollen. Oft wird daher überlegt, den Betrieb einer Sicherheitsgateway einem externen Dienstleister zu überlassen. Dabei sind verschiedene Varianten denkbar:

  • Betrieb vor Ort, Administration durch Externe
    Das Sicherheitsgateway wird innerhalb der Räumlichkeiten des Auftraggebers betrieben und administriert. Damit wird ein externer Sicherheitsgateway-Administrator beauftragt.
    Diese Lösung bringt oft nicht einmal einen Kostenvorteil. Nachteilig ist hier, wie bei allen anderen Lösungen, dass Externe sicherheitsrelevante Aufgaben übernehmen und intern kein entsprechendes Wissen aufgebaut wird, so dass eine wirksame Kontrolle äußerst schwierig ist.
  • Remote Management
    Das Sicherheitsgateway wird innerhalb der Räumlichkeiten des Auftraggebers aufgestellt und betrieben, aber über Fernzugriff administriert.
    Dabei ist eine starke Authentisierung sowie die Verschlüsselung der Verbindung unerlässlich. Die Dienstleister sollten nur auf die Sicherheitsgateway selber zugreifen dürfen, nicht auf weitere Daten und Verzeichnisse im LAN. Wie im Baustein B 4.4 VPN beschrieben, sollten weitere organisatorische Vorkehrungen getroffen werden, um einen möglichen Missbrauch einzudämmen. Dazu gehören beispielsweise
    • das Verhängen einer Zeitsperre bei fehlerhaften Zugangsversuchen,
    • das Sperren des Fernwartungszugangs im Normalbetrieb und explizite Freigabe für eine genau definierte Zeitspanne,
    • Einschränkung der Rechte der externen Administratoren, so dass z. B. die Sicherheitsrichtlinien nicht niedriger eingestellt werden können,
    • "Zwangslogout" bei Leitungsunterbrechung; wird die Verbindung zwischen Fernwartungsstelle und PC-Gateway auf irgendeine Weise unterbrochen, so muss der Zugriff auf das System durch ein "Zwangslogout" beendet werden.
  • Hosting
    Bei dieser Lösung wird die Sicherheitsgateway beim Dienstleister aufgestellt und gepflegt. Vom internen LAN zum Sicherheitsgateway muss dabei eine feste, geschützte Verbindung vorhanden sein.
    Hierbei muss eine hohe Verfügbarkeit sowohl der Verbindung als auch des Sicherheitsgateway-Systems gewährleistet werden, da bei deren Ausfall keine externen Verbindungen mehr möglich sind.
    Im Allgemeinen sollen auch weitere Komponenten, die der Kommunikation zwischen geschütztem und externem Netz dienen, eingesetzt werden. Dazu gehören z. B. Informationsserver für die Bereitstellung von Informationen an interne oder externe Benutzer, Mailserver und DNS -Server. Diese werden üblicherweise in einer DMZ des Sicherheitsgateway aufgestellt (siehe auch M 2.77 Integration von Servern in das Sicherheitsgateway ). In diesem Fall müssten sie also beim externen Dienstleister betrieben werden. Dies kann die Kosten erheblich in die Höhe treiben.

Sowohl beim Remote Management als auch beim Hosting eines Sicherheitsgateways sollte eine Ausweich-Verbindung zum Dienstleister vorhanden sein, um bei einem Ausfall der Hauptanbindung die Administration bzw. die Internet-Anbindung zu gewährleisten. Für die Ausweich-Verbindung muss sichergestellt sein, dass für diese Verbindung mindestens das selbe Sicherheitsniveau gewährleistet ist, wie für die Hauptverbindung.

Bei den verschiedenen Dienstleistungsangeboten ist zu hinterfragen,

  • wie viel technisches, aber auch wie viel sicherheitsrelevantes Wissen beim Anbieter vorhanden ist und wie dieses aktuell gehalten wird,
  • ob und wie lange das Sicherheitsgateway-System unbeaufsichtigt betrieben wird,
  • wie der Personaleinsatz gesteuert wird, da ja üblicherweise mehrere Kunden betreut werden.

Auch wenn die Betreuung des Sicherheitsgateways einem Dienstleister überlassen wird, muss trotzdem intern eine Sicherheitsgateway-Sicherheitspolicy erstellt werden, die mit den Sicherheitszielen der Organisation abgestimmt ist (siehe auch M 2.71 Festlegung einer Policy für ein Sicherheitsgateway ). Beim Outsourcing eines Sicherheitsgateways sollte in den Service-Level Agreements insbesondere schriftlich fixiert werden,

  • welche Reaktionszeiten bei Ausfällen oder Angriffen gewährleistet werden müssen,
  • welche Verfügbarkeit zu gewährleisten ist (Performance, maximale Ausfallrate),
  • was protokolliert werden darf bzw. muss,
  • welche Sicherheitsmaßnahmen gewährleistet werden müssen. Dazu gehören insbesondere alle in Baustein B 3.301 Sicherheitsgateway (Firewall) aufgeführten Maßnahmen.

Für das Outsourcing einer so sicherheitskritischen Komponente wie dem Sicherheitsgateway muss in jedem Fall der Baustein B 1.11 Outsourcing angewandt werden. Beim Dienstleister sollte idealerweise ebenfalls ein vollständiges Informationssicherheitsmanagement-System z. B. basierend auf IT-Grundschutz existieren. Es wird empfohlen, beim Outsourcing des Sicherheitsgateways zumindest zu prüfen, ob das Sicherheitsmanagement des Dienstleisters den Anforderungen des Bausteins B 1.11 Outsourcing genügt.

Prüffragen:

  • Betrifft das Remote Management des Sicherheitsgateways: Ist der Zugriff durch den Dienstleister lediglich auf die relevanten Komponenten des Sicherheitsgateway eingegrenzt?

  • Betrifft das Hosting von Sicherheitsgateways: Wird ausschließlich eine geschützte Verbindung zum Sicherheitsgateway des Dienstleisters verwendet?

  • Bestehen schriftliche Vereinbarungen über die Service-Level-Agreements für das Outsourcing des Sicherheitsgateways?

Stand: 13. EL Stand 2013