computerwoche.de

Security

IT-Sicherheit

Antworten auf die zehn häufigsten Security-Fragen

13.11.2008
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Alle Posts des Autors Email: Connect:
Ist Open Source sicherer als kommerzielle Software? Bringt Compliance mehr Sicherheit? Ist das Outsourcing der IT-Security riskant? Lesen Sie, was die Experten sagen.

Die COMPUTERWOCHE-Schwesterpublikation NetworkWorld hat sieben Experten mit zehn Thesen zur Sicherheit in der IT konfrontiert. Die Antworten waren teilweise überraschend.

1. Je komplexer die Software, desto sicherer

David Lacey, Forscher und Gründer des Jericho Forum: "Das stimmt. Ein Angreifer kann nicht alles über ein komplexes System wissen. Diese Unsicherheit verhindert einen Großteil von IT-Attacken."

Nick Selby, Analyst bei der 451 Group: "Das ist mir zu einfach. Stellen Sie sich vor, Sie leben in einer Gegend mit hoher Einbruchsrate. Sie statten Ihre Haustür mit Stahlschlössern aus und fühlen sich sicher. Den Schlüssel legen Sie aber immer unter den Gartenzwerg…"

Bruce Schneier, Kryptografieexperte und Security-Manager der British Telecom: "Jede Sicherheitslösung braucht Geheimnisse wie beispielsweise einen kryptografischen Schlüssel. Gute IT-Security kommt aber mit möglichst wenigen Unbekannten aus. Je mehr Teile Ihres Systems Sie öffentlich machen können, desto weniger müssen Sie sich auf Geheimniskrämerei und Komplexität verlassen - desto sicherer sind Sie."

Peter Johnson, Global Information Security Architect bei Lily UK: "Das macht die bösen Buben vielleicht langsamer, letztlich hacken sie das System aber doch. Wie wenn Sie Ihre Haustür zuziehen und hoffen, dass niemand versuchen wird, sie wieder zu öffnen."

John Pescatore, Analyst bei Gartner: "Die Aussage stimmt nur, wenn Sie Ihr System selbst noch verstehen. Ihr Passwort unter Verschluss zu halten hilft auch nur, wenn Sie es selbst kennen. Weltfremde Software, die in dem Irrglauben 'Komplex ist automatisch sicher' entwickelt wird, ist zumeist untauglich."

Richard Stiennon, freier Analyst: "Mir fällt dazu ein Beispiel aus der Praxis ein: Es gibt 70 Millionen Top-Level-Domain-Websites, aber bisher wurden nur einige Tausend Web-Application-Firewalls verkauft. Mehr als 99 Prozent der Sites werden nach dem Motto 'Komplex gleich sicher' geschützt - mehr oder minder."

Andrew Yeomans, Mitglied des Jericho Forum und Security-Vorstand in einer Investment-Bank: "Komplexität verschafft Ihnen Zeit, hält aber nicht ewig. Sie baut eine zusätzliche Hürde vor Ihr System und wehrt schlecht vorbereitete Angriffe ab. Gute Angreifer kommen trotzdem durch, und das mit immer preisgünstigeren Mitteln. Die Konsequenz: Wenn die Komplexität erst einmal mit wenig finanziellem Aufwand ausgehebelt werden kann, sind Sie Ihre Sicherheit dauerhaft los."