Was ist schon wichtiger als Sicherheit?

Beim Dienstleister läuft die Software günstiger – Unternehmen können Geld, Aufwand und Nerven sparen, wenn sie Anwendungen und Daten einem Application Service Provider anvertrauen. Die Daten einem externen ASP anzuvertrauen, ist für IT-Leiter dennoch ein sehr sensibles Thema.

Neben den Mitarbeitern sind die Daten letztlich das Kapital eines Unternehmens, somit muss der externe Dienstleister ein entsprechend hohes Maß an Verfügbarkeit und Sicherheit garantieren können. Ein äußerst wichtiger Punkt denn hier gelten strengste Regeln für Sicherheit in technischer und organisatorischer Hinsicht.

Verantwortungsvolle ASPs können Applikationen und Daten heute ausreichend schützen. Zu ihrem Konzept gehört eine transparente Beratung über die Möglichkeiten, was Datenverschlüsselungen, Firewalls & Co. in einem ausgefeilten Sicherheitskonzept anbelangt. Aktuellste Sicherheitskonzepte werden dabei mit effizientem Speichermanagement gekoppelt, das reicht von der Auswahl geeigneter Speichermedien über die Spiegelung von Festplatten und Servern bis hin zum sicherheitstauglichen Facility Management.

Entscheidend im Sicherheitsmanagement sind Fragen rund um regelmäßige Backups, Zeitintervalle zwischen Vollsicherungen aller Dateien und Teilsicherungen, die notwendige Zeitspanne bis Daten in Backup-Systemen aufgefunden und wiederhergestellt sind, und die Wahl eines Storage Area Networks (SAN) oder eines klassischen Fileservers für den Disaster Recovery Plan. Moderne SAN Konzepte wie z.B. von EMC ermöglichen mehrere synchrone, aber örtlich getrennte Kopien von Dateien online vorzuhalten. Nach wie vor gelten gesetzliche Aufbewahrungsfristen von 10 Jahren z.B. für Buchhaltungsdaten – Archivierungssysteme und Regelungen über Verfügbarkeiten, Antwort- und Reaktionszeiten, die in Service Level Agreements geregelt werden, sowie Intrusion-Detection-Systeme vervollständigen die internen Sicherheitsmaßnahmen eines ASPs.

Den einzigen Schlüssel hat der Kunde
ASP-Anbieter müssen sicherstellen, dass der Kunde jederzeit auf seine Daten und Programme zugreifen kann. Die in Service Level Agreements zugesicherten Verfügbarkeiten sind ein eindeutiges Qualitätskriterium: eine 97-prozentige Verfügbarkeit sieht nur auf den ersten Blick fast perfekt aus – im schlimmsten Fall sind dies 259 Stunden Ausfall. Ein höheres Verfügbarkeitsniveau kann z. B. durch den Betrieb oder die Kooperation mit mehreren Rechenzentren gewährleistet werden und wenn lückenlose Konzepte zur unterbrechungsfreien Stromversorgung (USV) verabredet sind. Redundante Zuführungen für Strom und Datenleitungen sollten dabei genauso selbstverständlich sein wie Videoüberwachung und Zugangskontrollen im Rechenzentrum.

Ohne entsprechende Schutzmaßnahmen können selbst ASPs Vertraulichkeit, Integrität und Echtheit von Daten nicht garantieren. Allerdings dürfen diese notwendigen Sicherheitsmaßnahmen den Datenaustausch nicht unzumutbar behindern. Verschlüsselungslösungen, Firewall und VPN sind dabei unabhängig von der Zugriffsvariante – ob Internet, ISDN oder DSL, alle basieren gleichermaßen auf TCP/IP. Entscheidend sind bei symmetrischen und asymmetrischen Verschlüsselungsverfahren nicht die Algorithmen, deren Verfahren hinlänglich bekannt sind, sondern die mit der Verschlüsselung einhergehende Zusatzinformation, die nur dem jeweiligen Kunden bekannt ist. Bis heute sind keine Möglichkeiten zur analytischen Entschlüsselung dieser Standards bekannt. Die einzige „Angriffsmöglichkeit“ ist eine so genannte „bruce force attack“, ein vollständiges Ausprobieren aller Möglichkeiten – eine Jahrhundert-Aufgabe für eine unvorstellbare Menge an PCs. Moderne Firewalls und VPNs lassen aber selbst diesen theoretischen Einbruch nicht zu: Sie erkennen die Absicht im Ansatz und sperren automatisch jeden weiteren Zugriff.

Direktanschluss und VPN
Aus Sicherheitsaspekten, aber auch aus Gründen der Übertragungsgeschwindigkeiten ist der Direktanschluss an das Rechenzentrum eines ASPs zu empfehlen, auch wenn technisch der Zugriff via Internet bei der Mehrzahl von Applikationen nicht mehr problematisch ist. Ein Direktanschluss, zum Beispiel als kostengünstige Punkt-zu-Punkt-Verbindung auf SDSL-Technologie, bietet sich vor allem für geschäftskritische Anwendungen an. Virtual Private Networks (VPN) ermöglichen eine sehr gute sichere private Nutzung öffentlicher Kommunikationswege für die Datenübertragung. Diese Variante bietet sich vor allem für geschäftskritische Anwendungen und kleine Unternehmen/Start-ups an, bei denen die Investitionen in eine eigene IT unverhältnismäßig hoch wären. Ob Internet oder IP-Netz, ein VPN lässt sich immer einrichten. Insbesondere beim End-to-End-Tunneling, bei dem die Enden des „Tunnels“ auf der einen Seite beim Anwender, auf der anderen beim ASP liegen, kann auch über VPN eine nahezu lückenloses Sicherheitsnetz gewährleistet werden.

Nur ein komplettes ASP-Angebot ist ein gutes Angebot
Der umfassende Service, den ein ASP seinen Kunden anbieten sollte, wird in sogenannten Service Level Agreements (SLA) zugesichert, die insbesondere auf Sicherheitsleistungen eingehen. ASPs verhindern mit optimierten Sicherheitskonzepten Hard- und Softwarefehler, unregelmäßiges Abspeichern und unregelmäßige Backups. Sie sichern mit Verschlüsselungslösungen und Firewalls die Datenübertragungswege. Die wichtigste Aufgabe besteht darin, den Faktor Mensch, der hinter allem Datenfluss steht, zu bedenken. Der ASP kann hier mit der Konzeption passgenauer Schulungen und Zertifizierungen eingreifen. Denn auch das beste Sicherheitsmanagement versagt, wenn es nicht richtig gehandhabt wird oder durch Unwissenheit Fehler entstehen.

Dieser Artikel erschien am und wurde am aktualisiert.
Nach oben scrollen