6. Bremer IT-Sicherheitstag

IT-Sicherheit – Auf dem Stand der Technik

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) und die Folgen

 Die Sicherheit von Informationen sowie der Schutz von Daten gewinnen immer mehr an Wichtigkeit. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) schreibt Betreibern von kritischen Infrastrukturen (KTITIS) sowie jedem Unternehmen, das eine Website unterhält vor, angemessene organisatorische und technische Vorkehrungen nach dem „Stand der Technik” (SdT) zum Schutz ihrer informationstechnischer Systemen hinsichtlich Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu treffen. Dies stellt Unternehmen vor neue Herausforderungen und führt bei vielen, auf Grund des vom Gesetzgeber unbestimmten Rechtsbegriffs „Stands der Technik“, zu Unklarheit und Unsicherheit.
Auf dem 6. Bremer IT-Sicherheitstag geben Ihnen unsere Spezialisten Orientierung. Sie beleuchten das ITSiG, präzisieren anhand ausgewählter Szenarien den “Stand der Technik” und liefern Anregungen für die Umsetzung in der Praxis.

Managed Hosting vs. Classic Hosting

Managed Hosting hat ein Imageproblem. Managed Hosting wird häufig einfach nur mit „teuer“ verwechselt. Natürlich ist das ein überspitztes Klischee – aber aus der täglichen Erfahrung lässt sich nicht leugnen, dass bei diesem Thema eine gewisse Skepsis verbreitet ist. Häufig werden Umfang und Qualität der Dienstleistung nicht richtig verstanden. Man trifft dann schnell auf verständnislose Gesichter, wenn es um konkrete Monatsgebühren für Managed WordPress oder Managed TYPO3 Hosting geht. Übersetzt heißt das dann: „Wofür um alles in der Welt soll ich eigentlich zahlen?“. Es gibt also Gründe genug, der Sache etwas ausführlicher auf die Spur zu kommen und einmal aufzulisten, welche Zutaten zum Managed Hosting gehören, und welche Fragen man an die Anbieter solcher Leistungen stellen sollte.

Was ist Managed Hosting?
Managed Hosting heißt übersetzt schlicht und einfach „verwaltetes Hosting“– und genau darum geht es auch, im Gegensatz zum unverwaltetem Hosting, das ich gerne „IKEA Hosting“ nenne (weil man selber alles zusammensuchen, einrichten und kontrollieren muss).
Bei Managed Hosting stellt der Anbieter Server und die zugehörige Hardware im eigenen (oder angemieteten) Rechenzentrum für seine Kunden bereit und kümmert sich um Einrichtung, Betrieb und Wartung von Systemen und Anwendungen. Das Hosting-Modell kann auf verschiedenen Ebenen angeboten werden, zum Beispiel als Plattform- oder Anwendungs-Hosting. Im ersten Fall werden das Betriebssystem und die Serverdienste für den Kunden gepflegt, beispielsweise ein LAMP-System (Linux Apache MySQL/MariaDB PHP, wobei heute immer häufiger LNMP-Systeme gewünscht sind, also der Webserver Nginx anstatt Apache betrieben wird). Das Management kann sich aber auch auf Anwendungen beziehen, die dann zusätzlich zu dem darunterliegenden System gepflegt und gewartet werden müssen.Cloud-Pyramide

Auch die Bezeichnung Software as a Service (SaaS) fällt im Prinzip unter Managed Hosting, nur meist ohne individuelle Konfiguration bzw. ohne menschliches Einwirken. Es handelt sich um automatisierte Prozesse, die innerhalb der „Geschäftsbereiche“ Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) realisiert werden, um die es hier geht. SaaS wird daher in diesem Beitrag nicht spezieller behandelt.

 

Das Segment „Pflege“ beim Managed Hosting umfasst in aller Regel das Installieren der kompletten Betriebssystem-Updates und der Serveranwendungen sowie die Kontrolle, dass die Dienste ihre Arbeit korrekt verrichten. Der letzte Punkt etwa ist eines der stärksten Argumente pro Managed Hosting, denn nicht wenige Unternehmen dürften schnell an ihre Grenzen kommen, wenn sie den System- und Anwendungsbetrieb komplett selbst überwachen und gewährleisten müssten. Zum Serviceumfang bei Managed Hosting sollte auch gehören, dass unumgängliche Standzeiten für Wartung und Upgrade minimal gehalten und so gewählt werden, dass der reguläre Betrieb so wenig wie möglich beeinträchtigt wird. Das aus eigener Hand zu stemmen, ist ebenfalls keine kleine Aufgabe.
Schließlich noch ein besonders wichtiger Aspekt: Managed Hosting erleichtert das Einhalten von Service Level Agreements (SLA). Gerade in dienstleistungsorientierten Branchen sind maximale Verfügbarkeit und Performance in der IT lebenswichtig für die betreffenden Serviceanbieter, zumal die Konkurrenz für den Kunden ja nur einen Klick entfernt ist, wenn Systeme und Anwendungen nicht optimal „liefern“. Von möglichen juristischen Implikationen beim Thema SLA-(Nicht-)Gewährleistung soll hier gar nicht die Rede sein.

Wie unterscheidet sich Managed Hosting vom klassischen Hosting?
Beim klassischen Hosting mietet der Kunde rechenzentrumseigene Ressourcen,und der Anbieter gewährleistet in diesem Rahmen unterschiedliche Parameter wie Speicherplatz, Performance (CPU, RAM, SSD/SATA, etc.). Meistens (aber nicht immer) wird das in einem kurzgefassten SLA dokumentiert.
Der entscheidende Punkt ist dieser: Einrichtung, Inbetriebnahme und das weitere „Schicksal“ von Anwendungen fallen komplett unter die Zuständigkeit des Kunden. Hierzu bieten Hoster vielfach Tools an (sogenannte „1-Klick-Anwendungen“), welche die genannten Schritte möglichst einfach machen sollen. Sie bewirken aber oft das Gegenteil und überfordern viele Nutzer eher, als dass sie die Administration angenehmer gestalten.
Auch in folgender Hinsicht ist Vorsicht angebracht: Auf dem deutschen Markt finden sich immer wieder Produkte, die fälschlicherweise als„Managed Server“ angepriesen werden. Das sind Server, die vom Hosting Provider im Hinblick auf das Betriebssystem und einzelne Dienste betreut werden, aber einheitlich konfiguriert sind und keine Änderungen zulassen. Betriebssystem und Dienste sind dabei nicht selten völlig veraltet, weil der Anbieter den Pflegeaufwand seinerseits möglichst gering halten will. Zudem erhält der Kunde nur einen Nutzer-, aber keinen Root-Zugang. Anhand dieser Punkte sollte man also beurteilen, wo die Grenzlinie zwischen Classic und Managed Hosting verläuft, wenn sich beide Modelle auf den ersten Blick recht nahe sind (zumindest auf Betriebssystemebene). Ankündigungen wie „Superschneller 8-Core SSD-Server für preisbewusste Profis“ sollte man grundsätzlich mit Vorsicht begegnen und genau hinsehen, welche Hosting-Leistungen tatsächlich mit dabei sind.

Welche Leistungen gehören zum Managed Hosting dazu?
Zuerst schaut man bei der Hoster-Auswahl in der Regel auf die „harten Fakten“, also die technischen und betrieblichen Leistungsmerkmale. Genauso sollte man jedoch auf das Thema Beratung achten. Es spricht sehr für einen Hosting-Anbieter, wenn Beratung als eigene Dienstleistung explizit genannt wird. Sie ist häufig bis zu einem gewissen Umfang kostenfrei und wird dann nach Aufwand/Zeit abgerechnet. Ein wichtiges Kriterium bei der Provider- und Angebotsbewertung ist sie so oder so.
Was die konkreten Hosting-Leistungen angeht, ist das Thema Konfiguration und Updates ein zentraler Punkt. Der Hostinganbieter sollte Aktualisierungen auf vielen Ebenen gewährleisten, etwa für Kernels und Systembibliotheken, aber auch für SSL-Protokolle und serverseitige Abhängigkeiten (z. B. PHP/Perl). Das Aufspielen neuer Anwendungsversionen gehört ebenso zu den Kernaufgaben wie das Einrichten und Ändern individueller Anwendungskonfigurationen hinsichtlich Bedarf und Anforderungen beim Kunden. Die Vielfalt der standardmäßig angebotenen Leistungen ist generell ein wichtiges Indiz dafür, ob man es mit „echtem“ Managed Hosting zu tun hat.

Wie sieht es mit der Sicherheit aus?
Der ausfallsichere IT-Betrieb ist sicherlich ein Hauptkriterium, weshalb man sich mit Managed Hosting beschäftigt. Die vielen möglichen Risiken abzuschätzen und frühzeitig und effizient gegenzusteuern erfordert nicht nur viel Expertise, sondern auch personelle Ressourcen, was gerade kleinere Unternehmen in vielen Fällen schlicht und einfach nicht aufbringen können.
Da dieser Punkt mehr als alles andere vor allem mit Vertrauen zu tun hat, sollte man ganz genau hinschauen, was ein Provider von Managed Hosting in puncto Sicherheitsmaßnahmen zu bieten hat. Dazu gehören auf jeden Fall regelmäßige Checks nach Malware, eine Firewall, Intrusion-Detection-Systeme und natürlich das zeitnahe Patching nach Bekanntwerden sicherheitsrelevanter Programm-Updates. Es versteht sich von selbst, dass diese Maßnahmen auf allen Ebenen lückenlos durchgeführt werden müssen.
Ein weiterer zentraler Aspekt ist das Monitoring zur Verfügbarkeit von Diensten. Dabei wird permanent geprüft, ob diese erreichbar sind und funktionieren – vor allem mit der vereinbarten und zu erwartenden Geschwindigkeit. „Erreichbarkeit“ ist natürlich eine Definitionssache, schließlich kann es durchaus vorkommen, dass Nutzer eines bestimmten Anbieters den Service eben mal nicht erreichen können. Das Monitoring sollte daher von verschiedenen Server weltweit verteilt vorgenommen werden, damit ein besseres Bild über die tatsächliche Verfügbarkeit entsteht.

Was ist beim Stichwort Ausfallsicherheit zu beachten? 
Heutige Hardware und künftige ist/wird immer besser und verlässlicher. Es wäre jedoch fahrlässig zu behaupten, dass technische Ausfälle bei Komponenten, Festplatten etc. kein Thema mehr sind, schließlich laufen diese oft rund um die Uhr und bei voller Auslastung.
Da in solchen Fällen Austauschaktionen unvermeidlich sind, muss der Provider von Managed Hosting entsprechende Vorkehrungen treffen, die den reibungslosen Betrieb der Systeme und Anwendungen des Kunden sicherstellen. Hier ist es ratsam, Begriffe wie Redundanz, RAID oder Failover-IP unter die Lupe zu nehmen.
Natürlich können Ausfälle im Betrieb auch von der Softwareseite herrühren, etwa wenn fehlerhafte Dateisysteme Daten unter bestimmten Bedingungen falsch auf die Festplatte schreiben. Auch für diese Fälle muss der Provider Gegenmaßnahmen zur Hand haben, die vom kompletten Service- oder einem VM-Neustart bis zum verzögerungsfreien Einspielen unkorrumpierter Backups reichen. Es ist also dringend ratsam, sich gerade in diesem Bereich das Leistungsangebot genauer anzusehen, bzw. besonderes Augenmerk auf das Service Level Agreement (SLA) zu legen. Dieses ist kein ausschließliches „Beiwerk“ von Managed Hosting, sollte aber dort besonders detailliert niedergelegt sein und weit über die Bandbreite beim klassischen Hosting hinausgehen. Dort hören SLAs meistens bei der Erreichbarkeit von Servern („Ping“) auf oder umfassen lediglich Hardware-Garantien (z. B. defekte Festplatte wird nach Meldung innerhalb x Stunden ausgetauscht).

Für wen ist Managed Hosting interessant?
Wie der Beitrag gezeigt hat, steht hinter Managed Hosting ein Leistungsspektrum, das alle Aspekte professioneller IT-Administration abdeckt, von der Einrichtung/Abbildung von Infrastrukturen und Anwendungsprozessen bis zur Gewährleistung von Performance-Level und Ausfallsicherheit. Wer einfach „nur“ einen Rahmen für den IT-Betrieb sucht, um etwa fehlende personelle Ressourcen im IT-Bereich abzufedern, ist beim Classic Hosting grundsätzlich gut aufgehoben. Der leistungsmäßige Mehrwert beim Managed Hosting hat natürlich auch seinen Preis, weshalb die Frage nach der Wirtschaftlichkeit grundsätzlich an erster Stelle stellt. Vielleicht kann man es so auf den Punkt bringen: Managed Hosting richtet sich vornehmlich an gewerbliche Nutzer, die einen Vorteil erkennen, gewisse Arbeitsprozesse auszulagern und sich auf andere zu konzentrieren.

Kann man mit Managed Hosting Kosten sparen?
Diese Frage ist im Grunde reine Mathematik und muss in jedem Einzelfall abgewogen werden, da viele Faktoren mit unterschiedlicher Gewichtung einfließen. Wie überall gilt auch hier: Wer mehr investiert, kann auch mehr ernten – wenn richtig investiert wird.
Jedenfalls ist seit einigen Jahren ein Trend zu Managed Hosting klar zuerkennen. Insofern kann man davon ausgehen, dass die Wirtschaftlichkeit des Modells grundsätzlich positiv bewertet wird, alleine wohl schon deshalb, weil die Transparenz im Hinblick auf zugesagte Leistungen und zu entrichtende Kosten sehr groß ist. Oder anders ausgedrückt: Mit Managed Hosting lässt sich relativ leicht kalkulieren.
Grundsätzlich sollte man sich etwas genauer mit folgenden Überlegungen beschäftigen, wenn man entscheiden will, ob Managed Hosting aus wirtschaftlichen Erwägungen sinnvoll ist:

  • Faktor Zeit: Wie viel Arbeitszeit bindet der eigene IT-Betrieb, und wie viel davon bräuchte man viel dringender für die eigentlichen Geschäftsabläufe?
  • Faktor Ressourcen: Wie viele Mitarbeiter werden wird von der IT-Administration in Anspruch genommen? Gehört sie zu ihren Kernaufgaben, oder machen sie vieles davon mehr oder weniger „fachfremd“?
  • Faktor Qualität: Ist genügend Know-how intern vorhanden, um die Komplexität im modernen IT-Betrieb abzubilden, und wird darüber hinaus auch die technisch-infrastrukturelle Ausstattung den Anforderungen gerecht – nicht nur aktuell, sondern auch perspektivisch für die Zukunft?

Befasst man sich eingehender mit den genannten Punkten, wird Managed Hosting mit Sicherheit sehr schnell zu einer gar nicht mehr so abseitigen Alternative.