IT 24.05.2002, 17:34 Uhr

IT-Sicherheit ist kein Produkt, sondern ein Prozess

Offene Unternehmensnetze sind zum Schlüsselelement innovativer, wettbewerbsfähiger Geschäftsmodelle geworden. Doch um diese Netze sicher zu machen, helfen nicht einzelne Maßnahmen. Die IT-Sicherheit muss Bestandteil der Firmenkultur sein, predigen Sicherheitsberater ihren Kunden.

Entscheider sehen IT-Sicherheit inzwischen als unvermeidbare Risikoprämie, so die Erfahrung von Heinz Holtz, Direktor IT-Sicherheit beim IT-Dienstleister Triaton, einem Ableger von Thyssen-Krupp. Investition in die Sicherheit informationstechnischer Systeme muss halt sein.
Gerade die so Erfolg versprechende offene Vernetzung als Geschäftsmodell erhöht die Risiken des unbefugten Zugriffs auf geschäftskritische Hardware, Anwendungen und Daten immens. Nach Erkenntnissen von Information Security hat sich die Zahl der Angriffe auf Webserver im vergangenen Jahr nahezu verdoppelt. Jedes zweite von rund 2500 befragten Unternehmen sah sich externen Angriffen ausgesetzt, gar 60 % solchen von „innen“.
Auf einen „dreistelligen Millionenbetrag“ schätzt Michael Dickopf, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die jährlichen Einbußen durch Betriebsstörungen, den Diebstahl von Firmengeheimnissen und Datenverlust.
Als Folge, so stellt Holtz fest, weicht die lange obwaltende Nonchalance in mancher Chefetage sukzessive einer ernsten Auseinandersetzung mit den Bedrohungsszenarien – und das „nicht erst seit den Terror-Anschlägen in den USA“.
So konkret wie möglich, aber so abstrakt wie nötig müsse das dem Kunden verordnete Maßnahmenpaket sein, so der Triaton-Manager, um die nötige Plattformunabhängigkeit bei den vielfach heterogenen Netzwerkarchitekturen zu garantieren.
Für grundfalsch hält der Sicherheitsexperte die übermäßige Akzentuierung nur punktuell wirksamer Vorkehrungen wie Firewall oder Antiviren-Schild. Viele Betriebe hätten sich infolgedessen in einer trügerischen Scheinsicherheit befunden.
Volker Pampus, Geschäftsführer der Internet Security Systems GmbH, spricht in diesem Zusammenhang von „lokal isolierten Lösungen ohne horizontale Deckung“. Zeitgemäßes Security Management müsse bereits bei einer dezidierten Schwachstellenanalyse ansetzen, um das individuelle Unternehmensrisiko und – in Absprache mit dem Kunden – den Schutzbedarf zu ermitteln. Einmal hergestellt, müsse der „Ordnungszustand“ freilich permanent überprüft werden. Und zwar durch Auswahl und Zusammenführung der zentralen Informationen aus dem Datenwust der Logfiles von Firewall und Intrusion Detection Systems (IDS).
„IT-Sicherheit ist kein Produkt, sondern ein Prozess“, betont Holtz. Gerade die Erhaltung des Ordnungszustands („Security Maintenance“) durch ständige Anpassungen des Hightech-Harnischs gilt den Security-Fachleuten als größte Herausforderung überhaupt. Schließlich seien nicht bloß die Bedrohungsszenarien, sondern auch die Netzwerke selbst pausenlosen Veränderungen unterworfen. Beispiel „Code Red“. Obwohl das als Einfallstor dienende Sicherheitsleck des Computerwurmes längst bekannt war und ein entsprechender Patch bereitstand, konnte er sich auf hundertausenden von Servern in aller Welt einnisten.
„Die Technik ist aber nur die halbe Miete“, so Pampus. Ebenso wichtig sei der strategische Unterbau („Security Policy“), namentlich schriftliche fixierte Verhaltensmaßregeln für sämtliche Mitarbeiter des Unternehmens. „Auch die zuverlässigste Technologie läuft ins Leere, wenn der dahinter stehende Benutzer aus Unkenntnis oder Leichtfertigkeit versagt.“ Genau wie die Technikkomponenten müsse auch das Richtlinienpaket fortwährend angepasst und seine Einhaltung automatisiert überprüft werden.
Zur Ermittlung des vorhandenen Sicherheitsniveaus können Firmen ein vom BSI gemeinsam mit Wirtschaftspartnern entwickeltes Zertifizierungsschema nutzen. Das diesbezügliche „IT-Grundschutzhandbuch“ ist modular organisiert und skizziert für jeden Baustein wie Client-Server-Netze, Anwendungskomponenten oder bauliche Einrichtung die typische Gefährdungslage. Auf dieser Basis kann sodann ein Maßnahmenbündel für die Bereiche Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge geschnürt werden.
Auf Antrag erstellt das BSI nach vorherigem Audit ein entsprechendes Zertifikat, dass die Einhaltung der behördlichen Auflagen attestiert und damit sowohl den IT-Dienstleistern als auch deren Auftraggebern gegenüber Geschäftspartnern und Kunden als Qualitätsnachweis dienen kann.
 GERNOT BEISSMANN

IT-Sicherheit
Entscheidender Faktor für Unternehmen
Lange Zeit streng budgetiert und eher als Sahnehäubchen erachtet, hat sich die „IT-Security“ für Wirtschaftsunternehmen zum erfolgskritischen Faktor gewandelt. Angesichts automatisierter Hacking-Tools, Breitbandanbindungen und immer ausgeklügelterer Schadprogramme reicht Software von der Stange für ein widerstandsfähiges Abwehrschild längst nicht mehr hin. Not tut ein ganzheitlicher, bedarfsorientierter Ansatz, der bei einer Schwachstellenanalyse beginnt und sich bis hin zu regelmäßigem Training, Wartung und Datensicherung erstreckt. Betont wird von Experten immer wieder die Bedeutung einer schriftlich fixierten, unternehmensweiten Sicherheitsstrategie („Security-Policy“) mit konkreten Verhaltensmaßregeln, deren Einhaltung regelmäßig zu überprüfen sei. gb

Top Stellenangebote

Hochschule Esslingen - University of Applied Sciences-Firmenlogo
Hochschule Esslingen - University of Applied Sciences Professor:in (W2) für das Lehrgebiet "Elektrische Energieversorgung" Esslingen
Hochschule Hannover-Firmenlogo
Hochschule Hannover Professuren Hannover
Hochschule Kaiserslautern-Firmenlogo
Hochschule Kaiserslautern Professur für Werkstoff- und Fertigungstechnik (W2) Kaiserslautern
Alfred-Wegener-Institut Helmholtz-Zentrum für Polar- und Meeresforschung-Firmenlogo
Alfred-Wegener-Institut Helmholtz-Zentrum für Polar- und Meeresforschung Referent/in (m/w/d) für IT-Services Bremerhaven
Alfred-Wegener-Institut Helmholtz-Zentrum für Polar- und Meeresforschung-Firmenlogo
Alfred-Wegener-Institut Helmholtz-Zentrum für Polar- und Meeresforschung Projektleitung für PV- und Beleuchtungsoffensive (m/w/d) Bremerhaven
Alfred-Wegener-Institut Helmholtz-Zentrum für Polar- und Meeresforschung-Firmenlogo
Alfred-Wegener-Institut Helmholtz-Zentrum für Polar- und Meeresforschung Projektleitung "Bluehouse und Bauunterhalt" Helgoland (m/w/d) Helgoland
Hochschule für angewandte Wissenschaften München-Firmenlogo
Hochschule für angewandte Wissenschaften München W2-Forschungsprofessur für Materialforschung mittels Focused-IonBeam-Rasterelektronenmikroskop (FIB-REM) (m/w/d) München
Bundesanstalt für Immobilienaufgaben-Firmenlogo
Bundesanstalt für Immobilienaufgaben Betriebsmanagerin / Betriebsmanager (Ingenieurin / Ingenieur Heizungs-, Lüftungs- und Sanitärtechnik, Klimatechnik, Versorgungstechnik, Anlagenbetriebstechnik oder Technische Gebäudeausrüstung) (w/m/d) Magdeburg
Diehl Aerospace GmbH-Firmenlogo
Diehl Aerospace GmbH Entwicklungsingenieur (m/w/d) - Testsysteme Hardware Frankfurt am Main
Diehl Aerospace GmbH-Firmenlogo
Diehl Aerospace GmbH Entwicklungsingenieur (w/m/d) Avionik (System) Überlingen
Zur Jobbörse

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.