IT-Sicherheit 07.11.2003, 18:27 Uhr

Technische Raffinessen allein bringen keine Sicherheit

IT-Sicherheit ist in eine Gesamtstrategie einzubinden. Sie muss organisiert und gelebt werden.

Paradox ist es schon, was die Marktforscher der IDC in ihrer neuesten Studie mit dem Titel „IT-Sicherheit und Unternehmenssicherung“ berichten. Danach halten sich Unternehmen bei Investitionen in diesem Bereich aus zwei Gründen zurück: „Unsicherheit über die Sicherheitsrisiken und anhaltende Sparmaßnahmen.“
Unsicher bei der Sicherheit und dann noch sparen – das ist eine kuriose, aber zutreffende Erklärung für das Verhalten von Unternehmen in einer Zeit, in der kaum ein Tag ohne spektakulären Virenangriff verstreicht. Das Szenario könnte kaum schlimmer ausfallen. Allein im ersten Halbjahr 2003 hat die CERT, das Computer Emergency Response Team der Carnegie-Mellon-University, weltweit 76 400 Sicherheitsverstöße gezählt – fast so viele wie im gesamten Vorjahr und dreimal so viele wie 2001.
Doch mittlerweile scheinen Unternehmen die Gefahren ernster zu nehmen. So prognostizieren die IDC-Analysten eine schnelle Zunahme der Ausgaben für Sicherheitslösungen und rechnen dabei mit doppelt so hohen Zuwächsen wie bei den anderen IT-Ausgaben. Damit allein ist es allerdings nicht getan. Technik ist zwar die Grundlage jeder IT-Sicherheit, sie entfaltet allein jedoch nur begrenzte Schutzwirkung. Drei Punkte müssen hinzukommen. Erstens: IT-Sicherheit ist in eine geschäftsprozessbezogene Gesamtstrategie einzubinden. Zweitens muss IT-Sicherheit organisiert und drittens gelebt werden.

IT-Sicherheit
wird Strategiethema

Mit neuen Geschäftsmodellen und Technologien hat sich das Angriffsspektrum auf die Unternehmens-IT radikal gewandelt und erweitert. Die „24 Stunden x 7 Tage-Verfügbarkeit“ ist für viele Unternehmen zu einem erfolgskritischen Faktor geworden. Wie schnell Unternehmen durch mangelnde Sicherheit in die Bredouille kommen können, hat der E-Mail-Wurm Sobig F kürzlich eindrucksvoll demonstriert, der mehrere hunderttausend Mailboxen verstopfte und produktives Arbeiten verhinderte. In der Abhängigkeit des Geschäftserfolgs von den Leistungen der IT-Infrastruktur liegt der Hauptgrund, dass IT-Sicherheit nicht länger als Nebenrolle behandelt werden kann, sondern strategische Bedeutung hat – und damit zur Chefsache wird.
Durch die Ausweitung der Geschäftsabwicklung auf das mobile Business wird die Situation zusätzlich verschärft: Unabhängig vom Standort können Mitarbeiter via Web jederzeit Daten aus dem Firmencomputer abrufen und übermitteln. Doch der Einsatz drahtloser Geräte wie multifunktionale Handys, PDAs und Laptops erhöht nicht nur die Reaktionsfähigkeit von Unternehmen, er erweitert auch die Gefahrenzonen – innen wie außen. Vor allem die Nahtstellen zwischen mobilen und verkabelten Zugängen zum Firmennetz, die so genannten Access Points, sind bei den drahtlosen Netzen besondere Schwachstellen. Schon heute werden sie von Hackern heimlich gescannt und ausspioniert.
Die interne und externe Vernetzung von Geschäftsprozessen erhöht aber nicht nur das Risiko, dass Unberechtigte mehr Eintrittspforten ins Unternehmen finden: Wenn Unternehmen enger mit Lieferanten, Partnern oder Endkunden zusammenarbeiten, elektronisch kommunizieren, Daten austauschen und sogar externen Partnern Zugang zu unternehmensinternen Datenbanken bieten, sind nicht nur Abwehrmechanismen gegen äußere Bedrohungen gefragt. Genauso wichtig ist es, den Zugang auf die Systeme zu kontrollieren und unter Sicherheitsaspekten zu managen. Wer hat Zugriff auf welche Daten und Ressourcen? Wie verhindert das Unternehmen eine missbräuchliche Nutzung? Auf welche Sicherheitsstandards einigen sich die Marktteilnehmer? So lauten weitere Fragen für die Sicherheitsverantwortlichen.

Unternehmen sind einer Flut an sicherheitsbezogenen Daten ausgesetzt

Die Branche reagiert mit immer spezielleren Sicherheitslösungen auf die neuen Aufgabenstellungen: Anti-Spamsoftware schützt vor digitalem Werbemüll, Virenscanner prüfen Dokumente, Benutzer kommen nur per Passwort ins Firmennetz. Gemäß der Theorie „Mehr ist besser“ werden immer mehr Technologien eingesetzt, um ein adäquates Maß an Sicherheit zu erreichen. Damit wächst aber auch die Anzahl an Meldungen, die von diesen Systemen erzeugt werden. So sehen sich Unternehmen heute einer regelrechten Flut an sicherheitsbezogenen Daten ausgesetzt. Wie die Technologie-Experten der Bostoner Aberdeen Group allerdings feststellten, sind 90 % dieser Informationen Routinedaten, die keine oder eine nur sehr geringe Relevanz für die Sicherheit haben. Um so wichtiger sind jedoch die restlichen 10 %: Sie können ein Unternehmen um seine Zukunft bringen.
Aus dem Strom der Sicherheitsmeldungen gilt es deshalb, die kritischen Informationen herauszufiltern, die redundanten Meldungen von den gefährlichen zu unterscheiden, getreu der Devise „Weniger ist mehr“. Bei mehreren tausenden oder gar Millionen von Meldungen täglich lässt sich diese Sortierarbeit jedoch nicht mehr manuell bewerkstelligen. Die Administratoren sind auf „intelligente“ und automatisierte Managementlösungen angewiesen.
Der Lovsan-Angriff auf eine Schwachstelle im Windows-System hat zudem gezeigt, dass es auch sinnvoll ist, schon im Vorhinein Schwachstellen und Lücken in IT-Systemen aufzuspüren und zu schließen, bevor sie zum Risiko werden. Sicherheitsberater plädieren aus diesem Grund für ein umfassendes übergreifendes IT-Sicherheitsmanagement, das sich nicht im Einzelnen verliert, sondern sämtliche Sicherheitsmaßnahmen koordiniert und überwacht und sie am wichtigsten Ziel der Unternehmen ausrichtet: an der Sicherung des Geschäftserfolgs!
Organisatorisch wird dies mit einem Sicherheitskonzept für das gesamte Unternehmen realisiert, das Risikopotenziale bewertet, Sicherheitsrichtlinien verabschiedet sowie Maßnahmen für Mitarbeitereinweisungen und Zugangskontrollen festlegt. Das technische Pendant dazu ist eine übergreifende Sicherheitslösung wie es ein Security Command Center darstellt. In einer solchen Beobachtungs- und Steuerungszentrale laufen die verschiedenen Sicherheitshinweise in Echtzeit aus allen Netzwerken, IT-Ressourcen und Security-Systemen zusammen und werden von „intelligenten“ Managementsystemen gefiltert, bewertet und in vielen Fällen automatisch behandelt und gelöst.
Neue Technologien machen es sogar möglich, die sicherheitskritischen Meldungen automatisch den Geschäftsprozessen zuzuordnen. Warum ist das so wichtig? Der IT-Administrator kann zukünftig mit einem Blick auf seinen Bildschirm nicht nur erkennen, dass sich eine Sicherheitslücke aufgetan hat, er weiß auch sofort, dass damit zum Beispiel die Auftragsannahme gefährdet wird. Eine solche Zuordnung ermöglicht priorisierte Reaktionen auf Sicherheitsmeldungen und hilft dabei, die Geschäftsprozesse am Laufen zu halten.

Die Sicherheitssysteme werden
in vielen Fällen nicht genutzt

Damit wird eines deutlich: Firewalls, Spamblocker, Virenscanner – ausgeklügelte Sicherheitssoftware ist wichtig, ausreichend sind solche technischen Lösungen allein heute längst nicht mehr. Sicherheit ist zu einem Strategie- und Management-Thema geworden – auf organisatorischer wie auf technischer Seite. Fast banal klingt eine weitere Erkenntnis: Technik, Organisation und Strategie versagen, wenn vorhandene Systeme nicht genutzt werden.
Leider kommt auch diese Variante des IT-Sicherheitsmanagements noch viel zu häufig vor. So ist nach Einschätzung von IDC der Markt für Firewalls fast gesättigt, doch nur die Hälfte der Unternehmen nutzt die Funktionen in der Praxis. Nach dem Motto „Uns kann nichts passieren“ werden Verschlüsselungsfunktionen nicht aktiviert, Sicherheits-Updates nicht eingespielt, Zugangskontrollen umgangen. IT-Sicherheit ist mehr als technische Raffinesse. IT-Sicherheit muss gelebt werden.
ARMIN STEPHAN

  • Armin Stephan

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Porsche AG-Firmenlogo
Porsche AG Entwicklungsingenieur (m/w/d) Integration E2E – Kommunikationsschnittstellen Weissach
Caljan Rite-Hite GmbH-Firmenlogo
Caljan Rite-Hite GmbH SPS Programmierer – Softwareentwickler (m/w/d) Steinhagen
TECCON Consulting&Engineering GmbH-Firmenlogo
TECCON Consulting&Engineering GmbH Softwareentwickler (m/w/d) Java / Spring / Hibernate / Maven keine Angabe
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Requirements Engineer Bereich Kombiinstrumente (m/w/d) Böblingen
seleon gmbh-Firmenlogo
seleon gmbh Senior-Softwareentwickler (m/w/d) Heilbronn
A. Eberle GmbH & Co. KG-Firmenlogo
A. Eberle GmbH & Co. KG Techniker / Ingenieur im Bereich Power Quality (m/w/d) Nürnberg
DMK Deutsches Milchkontor GmbH-Firmenlogo
DMK Deutsches Milchkontor GmbH PLC Software Engineer (m/w/d) Anlagentechnik Lebensmittelproduktion Georgsmarienhütte
OHB Digital Connect GmbH-Firmenlogo
OHB Digital Connect GmbH Proposal Manager Satellite Ground Systems (m/f/d) Bremen
OHB Digital Connect GmbH-Firmenlogo
OHB Digital Connect GmbH DevOps Engineer (m/w/d) Bremen
HENSOLDT-Firmenlogo
HENSOLDT Systemingenieur Airborne SIGINT (w/m/d) Ulm

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.