Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.301 Outsourcing des Sicherheitsgateway - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.301 Outsourcing des Sicherheitsgateway

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement

Der Aufbau und Betrieb eines Sicherheitsgateway bedeutet einen nicht unerheblichen finanziellen und personellen Aufwand. Trotzdem kann auf ein Sicherheitsgateway nicht verzichtet werden, wenn LANs an nicht vertrauenswürdige Netze (insbesondere an das Internet) angeschlossen werden sollen. Oft wird daher überlegt, den Betrieb einer Sicherheitsgateway einem externen Dienstleister zu überlassen. Dabei sind verschiedene Varianten denkbar:

Sowohl beim Remote Management als auch beim Hosting eines Sicherheitsgateways sollte eine Ausweich-Verbindung zum Dienstleister vorhanden sein, um bei einem Ausfall der Hauptanbindung die Administration bzw. die Internet-Anbindung zu gewährleisten. Für die Ausweich-Verbindung muss sichergestellt sein, dass für diese Verbindung mindestens das selbe Sicherheitsniveau gewährleistet ist, wie für die Hauptverbindung.

Bei den verschiedenen Dienstleistungsangeboten ist zu hinterfragen,

Auch wenn die Betreuung des Sicherheitsgateways einem Dienstleister überlassen wird, muss trotzdem intern eine Sicherheitsgateway-Sicherheitspolicy erstellt werden, die mit den Sicherheitszielen der Organisation abgestimmt ist (siehe auch M 2.71 Festlegung einer Policy für ein Sicherheitsgateway). Beim Outsourcing eines Sicherheitsgateways sollte in den Service-Level Agreements insbesondere schriftlich fixiert werden,

Für das Outsourcing einer so sicherheitskritischen Komponente wie dem Sicherheitsgateway muss in jedem Fall der Baustein B 1.11 Outsourcing angewandt werden. Beim Dienstleister sollte idealerweise ebenfalls ein vollständiges Informationssicherheitsmanagement-System z. B. basierend auf IT-Grundschutz existieren. Es wird empfohlen, beim Outsourcing des

Sicherheitsgateways zumindest zu prüfen, ob das Sicherheitsmanagement des Dienstleisters den Anforderungen des Bausteins B 1.11 Outsourcing genügt.

Ergänzende Kontrollfragen: