Die Anforderungen an die IT-Sicherheit werden zunehmend komplexer. Neue Aufgabenbereiche wie die Produktionssicherheit erweitern den Verantwortungsbereich. Mobile Clients machen bisher funktionierende Systeme durchlässig. Der Schutz der Information und Kommunikation wird immer aufwändiger. Die Web-Konferenz der Computerwoche "Security after Lunch", die über 200 Teilnehmer live verfolgten, thematisiert die neuen Herausforderungen.

Security hat einen hohen Stellenwert im Unternehmen, ergab die aktuelle Studie "The Global State of Information Security" von CIO, CISO und Pricewaterhouse Coopers. Obwohl sich jeder zweite der in Deutschland befragten IT-Verantwortlichen sicher fühlt, zweifeln 43 Prozent an der Wirkung ihrer Sicherheitsaktivitäten. Das liegt nicht zuletzt daran, dass Security einen ständigen Prozess von Veränderungen, Erweiterungen und Aktionen darstellt, der zunehmend komplexer wird.

Susanne Ginschel, Security Consultant bei der Defense AG, stellt einen steigenden Informationsbedarf sowie eine zunehmende Integration der Anwendungen in Unternehmen fest. "Neue Themen wie die Absicherung von Produktionsanlagen kommen auf die Sicherheitsverantwortlichen zu". Oft wollen Unternehmen einfach die Office- in die Produktionswelt einbringen, aber das verträgt sich nicht und kann fatale Folgen haben.

"Ohne Konzept jedoch", so Ginschel, "gibt es keine Sicherheit". Aktuelle, effektive und effiziente Informationssicherheit lasse sich nur durch ein umfassendes Security-Management-System realisieren. Damit entstehe ein Gleichgewicht zwischen Personen, Prozessen und Systemen, das ein gewünschtes Maß an Sicherheit bietet, ohne dabei die Kosten aus den Augen zu verlieren. Denn: "Sicherheit kostet unwahrscheinlich viel Geld".

Verfügbarkeit kritischer Kommunikation

Dr. Klaus Gheri, Chief Technology Officer der Phion AG, sieht neben den klassischen "Gegnern von Unternehmenskommunikation" – gemeint sind Hacker, Trojaner, Spammer, unzufriedene Mitarbeiter sowie das Internet –weitere Gefahrenquellen, die IT-Verantwortliche künftig stärker berücksichtigen müssen. Dazu gehören zum Beispiel Leitungsschäden durch Provider-Fehler oder Bauarbeiten sowie Naturkatastrophen und andere äußere Einwirkungen. "Auch wenn es eine zusätzliche Belastung für IT-Sicherheitsverantwortliche darstellt, so müssen sie sich dennoch darum kümmern."

In der Frage, was Sicherheitsinfrastrukturen leisten müssen, stand bislang der Aspekt im Vordergrund, unerwünschte Eindringlinge fernzuhalten. Neu ist, dass die Verfügbarkeit der kritischen Kommunikation verstärkt gewährleistet werden muss.

Dass Appliances eine zunehmend wichtige, allerdings noch keine zentrale Rolle spielen, ist unbestreitbar. Zwei Drittel der Teilnehmern des Computerwoche-Webcasts "Security After Lunch" vom 9. Oktober 2007 setzen Appliances in bestimmten Bereichen ein, elf Prozent ausschließlich und 22 Prozent überhaupt nicht. Das Vertrauen in Appliances ist groß. In der Frage, ob sie auch ausreichend Sicherheit bieten, differenziert Klaus Gheri. Er sieht klare Vorteil in Appliances, da sie eine kompakte verträgliche Lösung von Hard- und Software darstellen und eine schnelle Inbetriebnahme ermöglichen. Jedoch rät er zu Lösungen, die alle Funktionen erfüllen können – eine Kombination aus Software und Appliance-Produkt, wodurch sich "das Beste beider Welten vereinen lässt". Wichtig sei dabei ein gemeinsames Management aller Komponenten.

Sicherheitsrisiko Mobile Clients

Mobile Clients bergen ein immens großes Risikopotenzial. Für Wolfram Funk, Senior Advisor der Experton Group, blieb der große "Hype" der Mobile Security bislang aus: "Man wartet heute noch darauf, dass mehr passiert in diesem Umfeld." Der Leidensdruck der Unternehmen sei noch nicht sehr groß, "das zeigen die Lippenbekenntnisse der Unternehmen, die derzeit klar im Widerspruch stehen zu den tatsächlichen Investitionen."

Dennoch, so Funk: "Im Kopf der Leute spielt Mobile Security eine wichtige Rolle". Jedes zweite Unternehmen in Deutschland hat Mitarbeiter, die PDAs oder Smartphones nutzen. 13 Prozent haben private Geräte im Einsatz. "Das ist eine große Herausforderung an die Sicherheit."

Da die Unternehmen bislang wenig Erfahrung mit Sicherheit haben, rät Funk, für mobile Security eine eigene Policy aufzustellen, Awareness für mobile Security zu schaffen und vor allem bei den Anwendern Schulungen durchzuführen. Wichtige Maßnahmen seien Verschlüsselung, Authentifizierung, VPN-Konnektivität und Schutz vor Malware.

Drei Viertel der Webcast-Teilnehmer lehnen private mobile Geräte im Firmennetz ab, ein Viertel erlaubt sie. Doch selbst das Verbot der beliebten Endgeräte kann das Risiko nicht ausschließen, denn: "Der Administrator weiß oft gar nicht, dass an irgendeiner Außenstelle ein Gerät eingebunden ist. Hier gibt es eine große Dunkelziffer", so Funk.

Die vielen mobilen Endgeräte, die hohe Verfügbarkeit der kritischen Kommunikation und das effiziente Management komplexer Umgebungen sind für Phion-CTO Gheri die aktuellen Herausforderungen für die IT-Sicherheit. Er sieht ein Problem darin, dass die einst klar definierten Grenzen nicht mehr funktionieren. "Einwegkommunikation wie bei einer Diode, bei der alles raus, aber nichts rein geht, gibt es nicht mehr. Die mobilen Klienten sowie die mobilen Office-Plätze verändern die Paradigmen des Sicherheitssystems." Gheri spricht von der Deperimetrisierung der Informationstechnologie: "Wir leben in einer Welt, in der uns der Perimeter abhanden gekommen ist."

Security- und Schwachstellen-Management im Unternehmen

Lars Rudolff, Security Consultant beim Beratungshaus Secaron, riet im Webcast der Reihe "Security after Lunch" zu einem integrierten Management-System im Informationsprozess, bei der die IT-Sicherheit ganzheitlich zu betrachten ist. Er veranschaulichte, wie man bei Entwicklung des Schwachstellen-Managements konkret vorgehen kann: Zunächst wird die Schwachstelle anhand des Risikos klassifiziert. Abhängig vom Risiko wird deren Behebung priorisiert - also festgelegt, in welcher Zeit sie zu beseitigen ist. Hier ist zu berücksichtigen, dass dies nicht immer möglich ist. Man muss überlegen, was geschehen soll, wenn die Schwachstelle nicht rechtzeitig behoben wird. Vorab gilt es zu untersuchen, welches Risiko besteht und was man alternativ machen kann, um es zu senken. Rudolff: "Alle Fachbereiche müssen in diese Prozesse involviert werden; sie müssen wissen, wie das Risiko aussieht, denn sie stellen die Anforderungen und müssen mit dem Schaden leben."

Business Continuity –rüsten für den Notfall

Mehr als 82 Prozent der Webcast-Teilnehmer der vierten Sendung verfügen über eine Security-Policy im Unternehmen. 40 Prozent haben aber keinen Notfallplan, der die Abläufe für den Fall eines IT-Ausfalls regelt. Jeder Vierte glaubt nicht, dass die Geschäftsprozesse beim Auftreten eines ernsten Problems weiterlaufen würden.

"Notfallvorsorge ist eine Unternehmensaufgabe", sagt Ingrid Dubois, Geschäftsführerin Dubois IT Consulting. Die Unternehmensleitung sei verantwortlich dafür, dass ein Notfallpan entwickelt werde. Bei Vorsorgemaßnahmen geht es um die Frage: "Was kann ich wirkungsvoll tun, damit die Organisation auch in Ausnahmefällen funktioniert." Eine zentrale Voraussetzung dafür ist, dass die Rahmenbedingungen bekannt sind. Ein wichtiger Faktor wäre beispielsweise, wenn in der Nähe eine Chemiefabrik stände. Dubois: "Letzendlich geht es darum, wie man Schäden vermeiden kann".