IT-Sicherheit 07.11.2003, 18:27 Uhr

Technische Raffinessen allein bringen keine Sicherheit

IT-Sicherheit ist in eine Gesamtstrategie einzubinden. Sie muss organisiert und gelebt werden.

Paradox ist es schon, was die Marktforscher der IDC in ihrer neuesten Studie mit dem Titel „IT-Sicherheit und Unternehmenssicherung“ berichten. Danach halten sich Unternehmen bei Investitionen in diesem Bereich aus zwei Gründen zurück: „Unsicherheit über die Sicherheitsrisiken und anhaltende Sparmaßnahmen.“
Unsicher bei der Sicherheit und dann noch sparen – das ist eine kuriose, aber zutreffende Erklärung für das Verhalten von Unternehmen in einer Zeit, in der kaum ein Tag ohne spektakulären Virenangriff verstreicht. Das Szenario könnte kaum schlimmer ausfallen. Allein im ersten Halbjahr 2003 hat die CERT, das Computer Emergency Response Team der Carnegie-Mellon-University, weltweit 76 400 Sicherheitsverstöße gezählt – fast so viele wie im gesamten Vorjahr und dreimal so viele wie 2001.
Doch mittlerweile scheinen Unternehmen die Gefahren ernster zu nehmen. So prognostizieren die IDC-Analysten eine schnelle Zunahme der Ausgaben für Sicherheitslösungen und rechnen dabei mit doppelt so hohen Zuwächsen wie bei den anderen IT-Ausgaben. Damit allein ist es allerdings nicht getan. Technik ist zwar die Grundlage jeder IT-Sicherheit, sie entfaltet allein jedoch nur begrenzte Schutzwirkung. Drei Punkte müssen hinzukommen. Erstens: IT-Sicherheit ist in eine geschäftsprozessbezogene Gesamtstrategie einzubinden. Zweitens muss IT-Sicherheit organisiert und drittens gelebt werden.

IT-Sicherheit
wird Strategiethema

Mit neuen Geschäftsmodellen und Technologien hat sich das Angriffsspektrum auf die Unternehmens-IT radikal gewandelt und erweitert. Die „24 Stunden x 7 Tage-Verfügbarkeit“ ist für viele Unternehmen zu einem erfolgskritischen Faktor geworden. Wie schnell Unternehmen durch mangelnde Sicherheit in die Bredouille kommen können, hat der E-Mail-Wurm Sobig F kürzlich eindrucksvoll demonstriert, der mehrere hunderttausend Mailboxen verstopfte und produktives Arbeiten verhinderte. In der Abhängigkeit des Geschäftserfolgs von den Leistungen der IT-Infrastruktur liegt der Hauptgrund, dass IT-Sicherheit nicht länger als Nebenrolle behandelt werden kann, sondern strategische Bedeutung hat – und damit zur Chefsache wird.
Durch die Ausweitung der Geschäftsabwicklung auf das mobile Business wird die Situation zusätzlich verschärft: Unabhängig vom Standort können Mitarbeiter via Web jederzeit Daten aus dem Firmencomputer abrufen und übermitteln. Doch der Einsatz drahtloser Geräte wie multifunktionale Handys, PDAs und Laptops erhöht nicht nur die Reaktionsfähigkeit von Unternehmen, er erweitert auch die Gefahrenzonen – innen wie außen. Vor allem die Nahtstellen zwischen mobilen und verkabelten Zugängen zum Firmennetz, die so genannten Access Points, sind bei den drahtlosen Netzen besondere Schwachstellen. Schon heute werden sie von Hackern heimlich gescannt und ausspioniert.
Die interne und externe Vernetzung von Geschäftsprozessen erhöht aber nicht nur das Risiko, dass Unberechtigte mehr Eintrittspforten ins Unternehmen finden: Wenn Unternehmen enger mit Lieferanten, Partnern oder Endkunden zusammenarbeiten, elektronisch kommunizieren, Daten austauschen und sogar externen Partnern Zugang zu unternehmensinternen Datenbanken bieten, sind nicht nur Abwehrmechanismen gegen äußere Bedrohungen gefragt. Genauso wichtig ist es, den Zugang auf die Systeme zu kontrollieren und unter Sicherheitsaspekten zu managen. Wer hat Zugriff auf welche Daten und Ressourcen? Wie verhindert das Unternehmen eine missbräuchliche Nutzung? Auf welche Sicherheitsstandards einigen sich die Marktteilnehmer? So lauten weitere Fragen für die Sicherheitsverantwortlichen.

Unternehmen sind einer Flut an sicherheitsbezogenen Daten ausgesetzt

Die Branche reagiert mit immer spezielleren Sicherheitslösungen auf die neuen Aufgabenstellungen: Anti-Spamsoftware schützt vor digitalem Werbemüll, Virenscanner prüfen Dokumente, Benutzer kommen nur per Passwort ins Firmennetz. Gemäß der Theorie „Mehr ist besser“ werden immer mehr Technologien eingesetzt, um ein adäquates Maß an Sicherheit zu erreichen. Damit wächst aber auch die Anzahl an Meldungen, die von diesen Systemen erzeugt werden. So sehen sich Unternehmen heute einer regelrechten Flut an sicherheitsbezogenen Daten ausgesetzt. Wie die Technologie-Experten der Bostoner Aberdeen Group allerdings feststellten, sind 90 % dieser Informationen Routinedaten, die keine oder eine nur sehr geringe Relevanz für die Sicherheit haben. Um so wichtiger sind jedoch die restlichen 10 %: Sie können ein Unternehmen um seine Zukunft bringen.
Aus dem Strom der Sicherheitsmeldungen gilt es deshalb, die kritischen Informationen herauszufiltern, die redundanten Meldungen von den gefährlichen zu unterscheiden, getreu der Devise „Weniger ist mehr“. Bei mehreren tausenden oder gar Millionen von Meldungen täglich lässt sich diese Sortierarbeit jedoch nicht mehr manuell bewerkstelligen. Die Administratoren sind auf „intelligente“ und automatisierte Managementlösungen angewiesen.
Der Lovsan-Angriff auf eine Schwachstelle im Windows-System hat zudem gezeigt, dass es auch sinnvoll ist, schon im Vorhinein Schwachstellen und Lücken in IT-Systemen aufzuspüren und zu schließen, bevor sie zum Risiko werden. Sicherheitsberater plädieren aus diesem Grund für ein umfassendes übergreifendes IT-Sicherheitsmanagement, das sich nicht im Einzelnen verliert, sondern sämtliche Sicherheitsmaßnahmen koordiniert und überwacht und sie am wichtigsten Ziel der Unternehmen ausrichtet: an der Sicherung des Geschäftserfolgs!
Organisatorisch wird dies mit einem Sicherheitskonzept für das gesamte Unternehmen realisiert, das Risikopotenziale bewertet, Sicherheitsrichtlinien verabschiedet sowie Maßnahmen für Mitarbeitereinweisungen und Zugangskontrollen festlegt. Das technische Pendant dazu ist eine übergreifende Sicherheitslösung wie es ein Security Command Center darstellt. In einer solchen Beobachtungs- und Steuerungszentrale laufen die verschiedenen Sicherheitshinweise in Echtzeit aus allen Netzwerken, IT-Ressourcen und Security-Systemen zusammen und werden von „intelligenten“ Managementsystemen gefiltert, bewertet und in vielen Fällen automatisch behandelt und gelöst.
Neue Technologien machen es sogar möglich, die sicherheitskritischen Meldungen automatisch den Geschäftsprozessen zuzuordnen. Warum ist das so wichtig? Der IT-Administrator kann zukünftig mit einem Blick auf seinen Bildschirm nicht nur erkennen, dass sich eine Sicherheitslücke aufgetan hat, er weiß auch sofort, dass damit zum Beispiel die Auftragsannahme gefährdet wird. Eine solche Zuordnung ermöglicht priorisierte Reaktionen auf Sicherheitsmeldungen und hilft dabei, die Geschäftsprozesse am Laufen zu halten.

Die Sicherheitssysteme werden
in vielen Fällen nicht genutzt

Damit wird eines deutlich: Firewalls, Spamblocker, Virenscanner – ausgeklügelte Sicherheitssoftware ist wichtig, ausreichend sind solche technischen Lösungen allein heute längst nicht mehr. Sicherheit ist zu einem Strategie- und Management-Thema geworden – auf organisatorischer wie auf technischer Seite. Fast banal klingt eine weitere Erkenntnis: Technik, Organisation und Strategie versagen, wenn vorhandene Systeme nicht genutzt werden.
Leider kommt auch diese Variante des IT-Sicherheitsmanagements noch viel zu häufig vor. So ist nach Einschätzung von IDC der Markt für Firewalls fast gesättigt, doch nur die Hälfte der Unternehmen nutzt die Funktionen in der Praxis. Nach dem Motto „Uns kann nichts passieren“ werden Verschlüsselungsfunktionen nicht aktiviert, Sicherheits-Updates nicht eingespielt, Zugangskontrollen umgangen. IT-Sicherheit ist mehr als technische Raffinesse. IT-Sicherheit muss gelebt werden.
ARMIN STEPHAN

Ein Beitrag von:

  • Armin Stephan

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Reiser Simulation and Training GmbH-Firmenlogo
Reiser Simulation and Training GmbH Softwareentwickler C/C++ (m/w/x) Berg
ALTEN GmbH-Firmenlogo
ALTEN GmbH Softwareentwickler (m/w/d) C/C++ München, Ingolstadt, Manching
BAM - Bundesanstalt für Materialforschung und -prüfung-Firmenlogo
BAM - Bundesanstalt für Materialforschung und -prüfung Wissenschaftliche Mitarbeiter*innen (m/w/d) Automatisierungstechnik oder Data Science Engineering der Fachrichtung Elektrotechnik, Informatik / Verfahrenstechnik Berlin-Lichterfelde
Rohde & Schwarz-Firmenlogo
Rohde & Schwarz Software-Entwicklungsingenieur (m/w/d) Vektorielle Netzwerkanalyse München
Uniper SE-Firmenlogo
Uniper SE Working student Perfomance Team Gas Turbine Fleet (m/f/d) Düsseldorf
csi entwicklungstechnik GmbH-Firmenlogo
csi entwicklungstechnik GmbH Ingenieur / Informatiker als Anforderungsmanager/ -ingenieur (m/w/d) (requirements engineer) für die Fahrzeug- / Softwareentwicklung Neckarsulm
OPTIMA pharma GmbH-Firmenlogo
OPTIMA pharma GmbH HMI / SCADA Programmierer (m/w/d) Schwäbisch Hall
OHB Digital Connect GmbH-Firmenlogo
OHB Digital Connect GmbH Ingenieur für Informationssicherheit (m/w/d) Bremen
Airbus-Firmenlogo
Airbus 3D IS Application Developer for Configuration & Documentation Management Systems (m/f/d) Manching
Airbus-Firmenlogo
Airbus FCAS2021: Information System Solution Architect (d/m/f) (Open) Manching

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.