IT 24.05.2002, 17:34 Uhr

IT-Sicherheit ist kein Produkt, sondern ein Prozess

Offene Unternehmensnetze sind zum Schlüsselelement innovativer, wettbewerbsfähiger Geschäftsmodelle geworden. Doch um diese Netze sicher zu machen, helfen nicht einzelne Maßnahmen. Die IT-Sicherheit muss Bestandteil der Firmenkultur sein, predigen Sicherheitsberater ihren Kunden.

Entscheider sehen IT-Sicherheit inzwischen als unvermeidbare Risikoprämie, so die Erfahrung von Heinz Holtz, Direktor IT-Sicherheit beim IT-Dienstleister Triaton, einem Ableger von Thyssen-Krupp. Investition in die Sicherheit informationstechnischer Systeme muss halt sein.
Gerade die so Erfolg versprechende offene Vernetzung als Geschäftsmodell erhöht die Risiken des unbefugten Zugriffs auf geschäftskritische Hardware, Anwendungen und Daten immens. Nach Erkenntnissen von Information Security hat sich die Zahl der Angriffe auf Webserver im vergangenen Jahr nahezu verdoppelt. Jedes zweite von rund 2500 befragten Unternehmen sah sich externen Angriffen ausgesetzt, gar 60 % solchen von „innen“.
Auf einen „dreistelligen Millionenbetrag“ schätzt Michael Dickopf, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die jährlichen Einbußen durch Betriebsstörungen, den Diebstahl von Firmengeheimnissen und Datenverlust.
Als Folge, so stellt Holtz fest, weicht die lange obwaltende Nonchalance in mancher Chefetage sukzessive einer ernsten Auseinandersetzung mit den Bedrohungsszenarien – und das „nicht erst seit den Terror-Anschlägen in den USA“.
So konkret wie möglich, aber so abstrakt wie nötig müsse das dem Kunden verordnete Maßnahmenpaket sein, so der Triaton-Manager, um die nötige Plattformunabhängigkeit bei den vielfach heterogenen Netzwerkarchitekturen zu garantieren.
Für grundfalsch hält der Sicherheitsexperte die übermäßige Akzentuierung nur punktuell wirksamer Vorkehrungen wie Firewall oder Antiviren-Schild. Viele Betriebe hätten sich infolgedessen in einer trügerischen Scheinsicherheit befunden.
Volker Pampus, Geschäftsführer der Internet Security Systems GmbH, spricht in diesem Zusammenhang von „lokal isolierten Lösungen ohne horizontale Deckung“. Zeitgemäßes Security Management müsse bereits bei einer dezidierten Schwachstellenanalyse ansetzen, um das individuelle Unternehmensrisiko und – in Absprache mit dem Kunden – den Schutzbedarf zu ermitteln. Einmal hergestellt, müsse der „Ordnungszustand“ freilich permanent überprüft werden. Und zwar durch Auswahl und Zusammenführung der zentralen Informationen aus dem Datenwust der Logfiles von Firewall und Intrusion Detection Systems (IDS).
„IT-Sicherheit ist kein Produkt, sondern ein Prozess“, betont Holtz. Gerade die Erhaltung des Ordnungszustands („Security Maintenance“) durch ständige Anpassungen des Hightech-Harnischs gilt den Security-Fachleuten als größte Herausforderung überhaupt. Schließlich seien nicht bloß die Bedrohungsszenarien, sondern auch die Netzwerke selbst pausenlosen Veränderungen unterworfen. Beispiel „Code Red“. Obwohl das als Einfallstor dienende Sicherheitsleck des Computerwurmes längst bekannt war und ein entsprechender Patch bereitstand, konnte er sich auf hundertausenden von Servern in aller Welt einnisten.
„Die Technik ist aber nur die halbe Miete“, so Pampus. Ebenso wichtig sei der strategische Unterbau („Security Policy“), namentlich schriftliche fixierte Verhaltensmaßregeln für sämtliche Mitarbeiter des Unternehmens. „Auch die zuverlässigste Technologie läuft ins Leere, wenn der dahinter stehende Benutzer aus Unkenntnis oder Leichtfertigkeit versagt.“ Genau wie die Technikkomponenten müsse auch das Richtlinienpaket fortwährend angepasst und seine Einhaltung automatisiert überprüft werden.
Zur Ermittlung des vorhandenen Sicherheitsniveaus können Firmen ein vom BSI gemeinsam mit Wirtschaftspartnern entwickeltes Zertifizierungsschema nutzen. Das diesbezügliche „IT-Grundschutzhandbuch“ ist modular organisiert und skizziert für jeden Baustein wie Client-Server-Netze, Anwendungskomponenten oder bauliche Einrichtung die typische Gefährdungslage. Auf dieser Basis kann sodann ein Maßnahmenbündel für die Bereiche Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge geschnürt werden.
Auf Antrag erstellt das BSI nach vorherigem Audit ein entsprechendes Zertifikat, dass die Einhaltung der behördlichen Auflagen attestiert und damit sowohl den IT-Dienstleistern als auch deren Auftraggebern gegenüber Geschäftspartnern und Kunden als Qualitätsnachweis dienen kann.
 GERNOT BEISSMANN

IT-Sicherheit
Entscheidender Faktor für Unternehmen
Lange Zeit streng budgetiert und eher als Sahnehäubchen erachtet, hat sich die „IT-Security“ für Wirtschaftsunternehmen zum erfolgskritischen Faktor gewandelt. Angesichts automatisierter Hacking-Tools, Breitbandanbindungen und immer ausgeklügelterer Schadprogramme reicht Software von der Stange für ein widerstandsfähiges Abwehrschild längst nicht mehr hin. Not tut ein ganzheitlicher, bedarfsorientierter Ansatz, der bei einer Schwachstellenanalyse beginnt und sich bis hin zu regelmäßigem Training, Wartung und Datensicherung erstreckt. Betont wird von Experten immer wieder die Bedeutung einer schriftlich fixierten, unternehmensweiten Sicherheitsstrategie („Security-Policy“) mit konkreten Verhaltensmaßregeln, deren Einhaltung regelmäßig zu überprüfen sei. gb

Stellenangebote im Bereich Softwareentwicklung

AGCO GmbH-Firmenlogo
AGCO GmbH Softwareentwickler (m/w/d) elektronische Steuergeräte Marktoberdorf
Lauer & Weiss GmbH-Firmenlogo
Lauer & Weiss GmbH Entwicklungsingenieur (m/w/d) modellbasierte Softwareentwicklung Fellbach bei Stuttgart
Lauer & Weiss GmbH-Firmenlogo
Lauer & Weiss GmbH Entwicklungsingenieur (m/w/d) Embedded Softwareim Bereich Automotive Fellbach bei Stuttgart
Lauer & Weiss GmbH-Firmenlogo
Lauer & Weiss GmbH Software-Entwickler (m/w/d)im BereichAutomotive Fellbach bei Stuttgart
Northrop Grumman LITEF GmbH-Firmenlogo
Northrop Grumman LITEF GmbH Softwareingenieur (m/w/d) Produktentwicklung Freiburg
TECCON Consulting&Engineering GmbH-Firmenlogo
TECCON Consulting&Engineering GmbH Softwareentwickler (m/w/d) Java / Spring / Hibernate / Maven keine Angabe
h.a.l.m. elektronik GmbH-Firmenlogo
h.a.l.m. elektronik GmbH Application Engineer (m/w/d) Solarzellen EL-Qualitätskontrolle mittels Machine-Learning Frankfurt am Main
MED-EL Medical Electronics-Firmenlogo
MED-EL Medical Electronics Development Engineer, Digital Signal Processing (m/f) Innsbruck (Österreich)
Bertrandt Services GmbH-Firmenlogo
Bertrandt Services GmbH Embedded Software Entwickler (m/w/d) keine Angabe
Bertrandt Services GmbH-Firmenlogo
Bertrandt Services GmbH Software Entwickler (m/w/d) keine Angabe

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.