IT 24.05.2002, 17:34 Uhr

IT-Sicherheit ist kein Produkt, sondern ein Prozess

Offene Unternehmensnetze sind zum Schlüsselelement innovativer, wettbewerbsfähiger Geschäftsmodelle geworden. Doch um diese Netze sicher zu machen, helfen nicht einzelne Maßnahmen. Die IT-Sicherheit muss Bestandteil der Firmenkultur sein, predigen Sicherheitsberater ihren Kunden.

Entscheider sehen IT-Sicherheit inzwischen als unvermeidbare Risikoprämie, so die Erfahrung von Heinz Holtz, Direktor IT-Sicherheit beim IT-Dienstleister Triaton, einem Ableger von Thyssen-Krupp. Investition in die Sicherheit informationstechnischer Systeme muss halt sein.
Gerade die so Erfolg versprechende offene Vernetzung als Geschäftsmodell erhöht die Risiken des unbefugten Zugriffs auf geschäftskritische Hardware, Anwendungen und Daten immens. Nach Erkenntnissen von Information Security hat sich die Zahl der Angriffe auf Webserver im vergangenen Jahr nahezu verdoppelt. Jedes zweite von rund 2500 befragten Unternehmen sah sich externen Angriffen ausgesetzt, gar 60 % solchen von „innen“.
Auf einen „dreistelligen Millionenbetrag“ schätzt Michael Dickopf, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die jährlichen Einbußen durch Betriebsstörungen, den Diebstahl von Firmengeheimnissen und Datenverlust.
Als Folge, so stellt Holtz fest, weicht die lange obwaltende Nonchalance in mancher Chefetage sukzessive einer ernsten Auseinandersetzung mit den Bedrohungsszenarien – und das „nicht erst seit den Terror-Anschlägen in den USA“.
So konkret wie möglich, aber so abstrakt wie nötig müsse das dem Kunden verordnete Maßnahmenpaket sein, so der Triaton-Manager, um die nötige Plattformunabhängigkeit bei den vielfach heterogenen Netzwerkarchitekturen zu garantieren.
Für grundfalsch hält der Sicherheitsexperte die übermäßige Akzentuierung nur punktuell wirksamer Vorkehrungen wie Firewall oder Antiviren-Schild. Viele Betriebe hätten sich infolgedessen in einer trügerischen Scheinsicherheit befunden.
Volker Pampus, Geschäftsführer der Internet Security Systems GmbH, spricht in diesem Zusammenhang von „lokal isolierten Lösungen ohne horizontale Deckung“. Zeitgemäßes Security Management müsse bereits bei einer dezidierten Schwachstellenanalyse ansetzen, um das individuelle Unternehmensrisiko und – in Absprache mit dem Kunden – den Schutzbedarf zu ermitteln. Einmal hergestellt, müsse der „Ordnungszustand“ freilich permanent überprüft werden. Und zwar durch Auswahl und Zusammenführung der zentralen Informationen aus dem Datenwust der Logfiles von Firewall und Intrusion Detection Systems (IDS).
„IT-Sicherheit ist kein Produkt, sondern ein Prozess“, betont Holtz. Gerade die Erhaltung des Ordnungszustands („Security Maintenance“) durch ständige Anpassungen des Hightech-Harnischs gilt den Security-Fachleuten als größte Herausforderung überhaupt. Schließlich seien nicht bloß die Bedrohungsszenarien, sondern auch die Netzwerke selbst pausenlosen Veränderungen unterworfen. Beispiel „Code Red“. Obwohl das als Einfallstor dienende Sicherheitsleck des Computerwurmes längst bekannt war und ein entsprechender Patch bereitstand, konnte er sich auf hundertausenden von Servern in aller Welt einnisten.
„Die Technik ist aber nur die halbe Miete“, so Pampus. Ebenso wichtig sei der strategische Unterbau („Security Policy“), namentlich schriftliche fixierte Verhaltensmaßregeln für sämtliche Mitarbeiter des Unternehmens. „Auch die zuverlässigste Technologie läuft ins Leere, wenn der dahinter stehende Benutzer aus Unkenntnis oder Leichtfertigkeit versagt.“ Genau wie die Technikkomponenten müsse auch das Richtlinienpaket fortwährend angepasst und seine Einhaltung automatisiert überprüft werden.
Zur Ermittlung des vorhandenen Sicherheitsniveaus können Firmen ein vom BSI gemeinsam mit Wirtschaftspartnern entwickeltes Zertifizierungsschema nutzen. Das diesbezügliche „IT-Grundschutzhandbuch“ ist modular organisiert und skizziert für jeden Baustein wie Client-Server-Netze, Anwendungskomponenten oder bauliche Einrichtung die typische Gefährdungslage. Auf dieser Basis kann sodann ein Maßnahmenbündel für die Bereiche Infrastruktur, Personal, Organisation, Hard- und Software, Kommunikation und Notfallvorsorge geschnürt werden.
Auf Antrag erstellt das BSI nach vorherigem Audit ein entsprechendes Zertifikat, dass die Einhaltung der behördlichen Auflagen attestiert und damit sowohl den IT-Dienstleistern als auch deren Auftraggebern gegenüber Geschäftspartnern und Kunden als Qualitätsnachweis dienen kann.
 GERNOT BEISSMANN

IT-Sicherheit
Entscheidender Faktor für Unternehmen
Lange Zeit streng budgetiert und eher als Sahnehäubchen erachtet, hat sich die „IT-Security“ für Wirtschaftsunternehmen zum erfolgskritischen Faktor gewandelt. Angesichts automatisierter Hacking-Tools, Breitbandanbindungen und immer ausgeklügelterer Schadprogramme reicht Software von der Stange für ein widerstandsfähiges Abwehrschild längst nicht mehr hin. Not tut ein ganzheitlicher, bedarfsorientierter Ansatz, der bei einer Schwachstellenanalyse beginnt und sich bis hin zu regelmäßigem Training, Wartung und Datensicherung erstreckt. Betont wird von Experten immer wieder die Bedeutung einer schriftlich fixierten, unternehmensweiten Sicherheitsstrategie („Security-Policy“) mit konkreten Verhaltensmaßregeln, deren Einhaltung regelmäßig zu überprüfen sei. gb

Stellenangebote im Bereich Softwareentwicklung

Pixida-Firmenlogo
Pixida Functional Owner – Digital Services und Connected Devices (m/w/d) München
Porsche AG-Firmenlogo
Porsche AG Softwareingenieur (m/w/d) ASPICE für Entwicklungsprozesse Weissach
Jungheinrich Aktiengesellschaft-Firmenlogo
Jungheinrich Aktiengesellschaft Embedded Softwareentwickler (m/w/d) Norderstedt
Porsche AG-Firmenlogo
Porsche AG IT Security Expert (m/w/d) Digital Workplace Weilimdorf
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Embedded Software Developer (w/m/d) Böblingen
SimonsVoss Technologies GmbH-Firmenlogo
SimonsVoss Technologies GmbH Senior Middleware Stack Architect (m/w/d) Unterföhring bei München
DIgSILENT GmbH-Firmenlogo
DIgSILENT GmbH Ingenieur Elektrotechnik (w/m/d) Anwendungsentwickler C++ Gomaringen
Porsche AG-Firmenlogo
Porsche AG Service-Experte (w/m/d) Data-Streaming Weilimdorf
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Requirements Engineer Bereich Kombiinstrumente (m/w/d) Böblingen
A. Eberle GmbH & Co. KG-Firmenlogo
A. Eberle GmbH & Co. KG Techniker / Ingenieur im Bereich Power Quality (m/w/d) Nürnberg

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.