Aufwand für IT-Sicherheit nimmt zu

04.02.2008
Die Anforderungen an die IT-Sicherheit werden zunehmend komplexer. Neue Aufgabenbereiche wie die Produktionssicherheit erweitern den Verantwortungsbereich. Mobile Clients machen bisher funktionierende Systeme durchlässig. Der Schutz der Information und Kommunikation wird immer aufwändiger. Die Web-Konferenz der COMPUTERWOCHE "Security after Lunch", die über 200 Teilnehmer live verfolgten, thematisierte die neuen Herausforderungen.

Security hat einen hohen Stellenwert im Unternehmen, ergab die aktuelle Studie "The Global State of Information Security" von CIO, CISO und Pricewaterhouse Coopers. Obwohl sich jeder zweite der in Deutschland befragten IT-Verantwortlichen sicher fühlt, zweifeln 43 Prozent an der Wirkung ihrer Sicherheitsaktivitäten. Das liegt nicht zuletzt daran, dass Security einen ständigen Prozess von Veränderungen, Erweiterungen und Aktionen darstellt, der immer komplexer wird.

Susanne Ginschel, Security Consultant bei der Defense AG, stellt einen steigenden Informationsbedarf sowie eine zunehmende Integration der Anwendungen in Unternehmen fest. "Neue Themen wie die Absicherung von Produktionsanlagen kommen auf die Sicherheitsverantwortlichen zu." Oft wollen Unternehmen einfach die Office- in die Produktionswelt einbringen, aber das verträgt sich nicht und kann fatale Folgen haben.

"Ohne Konzept jedoch", so Ginschel, "gibt es keine Sicherheit". Aktuelle, effektive und effiziente Informationssicherheit lasse sich nur durch ein umfassendes Security-Management-System realisieren. Damit entstehe ein Gleichgewicht zwischen Personen, Prozessen und Systemen, das ein gewünschtes Maß an Sicherheit bietet, ohne dabei die Kosten aus den Augen zu verlieren. Denn: "Sicherheit kostet unwahrscheinlich viel Geld."

Dr. Klaus Gheri, Chief Technology Officer, Phion AG, sieht neben den klassischen "Gegnern von Unternehmenskommunikation" - gemeint sind Hacker, Trojaner, SPAM, unzufriedene Mitarbeiter sowie das Internet - weitere Gefahrenquellen, die IT-Verantwortliche künftig stärker berücksichtigen müssen. Dazu gehören zum Beispiel Leitungsschäden durch Provider-Fehler oder Bauarbeiten sowie Naturkatastrophen und andere äußere Einwirkungen. "Auch wenn es eine zusätzliche Belastung für IT-Sicherheitsverantwortliche darstellt, so müssen sie sich dennoch darum kümmern."

Verfügbarkeit kritischer Kommunikation

Bei der Frage, was Sicherheitsinfrastrukturen leisten müssen, stand bislang der Aspekt im Vordergrund, unerwünschte Eindringlinge fernzuhalten. Neu ist, dass die Verfügbarkeit der kritischen Kommunikation verstärkt gewährleistet werden muss.

Dass Appliances eine, wenn auch nicht zentrale Rolle spielen, ist unbestreitbar. Zwei Drittel der Teilnehmer des COMPUTERWOCHE-Webcasts "Security After Lunch" vom 9. Oktober 2007 setzen Appliances in bestimmten Bereichen ein, 11 Prozent ausschließlich und 22 Prozent überhaupt nicht. Das Vertrauen auf Appliances ist hoch. Bei der Frage, ob sie auch ausreichend Sicherheit bieten, differenziert Klaus Gheri. Er sieht klare Vorteil in Appliances, da sie eine kompakte verträgliche Lösung von Hard- und Software darstellen und eine schnelle Inbetriebnahme ermöglichen. Jedoch rät er zu Lösungen, die alle Funktionen erfüllen können - eine Kombination aus Software und Appliance-Produkt, wodurch sich "das Beste beider Welten vereinen lässt". Wichtig sei dabei ein gemeinsames Management aller Komponenten.

Sicherheitsrisiko Mobile Clients

Mobile Clients bergen ein immens großes Risikopotenzial. Für Wolfram Funk, Senior Advisor Experton Group, blieb der große "Hype" der Mobile Security bislang zwar aus. Dennoch, so Funk: "Im Kopf der Leute spielt Mobile Security eine große Rolle." Jedes zweite Unternehmen in Deutschland hat Mitarbeiter, die PDAs oder Smartphones nutzen. 13 Prozent haben private Geräte im Einsatz. "Das ist eine große Herausforderung an die Sicherheit."

Drei Viertel der Webcast-Teilnehmer lehnen nicht firmeneigene mobile Geräte im Netz ab, ein Viertel erlaubt sie. Doch selbst das Verbot dieser beliebten Endgeräte kann das Risko nicht ausschließen, denn: "Der Administrator weiß oft gar nicht, dass an irgendeiner Außenstelle ein Gerät eingebunden ist. Hier besteht eine große Dunkelziffer", so Funk.

Die vielen mobilen Endgeräte, die hohe Verfügbarkeit der kritischen Kommunikation und das effiziente Management komplexer Umgebungen sind für Dr. Klaus Gheri die aktuellen Aufgaben für die IT-Sicherheit. Er sieht ein Problem darin, dass die einst klar definierten Grenzen nicht mehr funktionieren. "Einwegkommunikation wie bei einer Diode, bei der alles raus aber nichts rein geht, gibt es nicht mehr. Die mobilen Klienten sowie die mobilen Office-Plätze verändern die Paradigmen des Sicherheitssystems." Gheri spricht von der Deperimetrisierung der Informationstechnologie: "Wir leben in einer Welt, in der uns die Perimeter abhanden gekommen sind."

Lars Rudolff, Security Consultant beim Beratungshaus Secaron, riet im vierten Webcast der Reihe "Security after Lunch" zu einem integrierten Management-System im Informationsprozess, bei dem die IT-Sicherheit ganzheitlich zu betrachten ist. Er veranschaulichte, wie man bei der Entwicklung des Schwachstellen-Managements konkret vorgehen kann: Zunächst wird die Schwachstelle anhand des Risikos klassifiziert. Abhängig vom Risiko wird deren Behebung priorisiert, also festgelegt, in welcher Zeit sie zu beseitigen ist. An dieser Stelle ist zu berücksichtigen, dass dies nicht immer möglich ist. Daher ist zu überlegen, was geschehen soll, wenn die Schwachstelle nicht rechtzeitig behoben wird. Vorab muss untersucht werden, welches Risiko besteht und was man alternativ machen kann, um das Risiko zu senken. Rudolff: "Alle Fachbereiche müssen in diese Prozesse involviert werden; sie müssen wissen, wie das Risiko aussieht, denn sie stellen die Anforderungen und müssen mit dem Schaden leben."

Notfallvorsorge

Mehr als 82 Prozent der Webcast-Teilnehmer der vierten Sendung verfügen über eine Security-Policy im Unternehmen. 40 Prozent der Teilnehmer haben aber keinen Notfallplan, der die Abläufe für den Fall eines IT-Ausfalls regelt. Jeder Vierte glaubt nicht, dass die Geschäftsprozesse beim Auftreten eines ernsten Problems weiterlaufen würden.

"Notfallvorsorge ist eine Unternehmensaufgabe", sagt Ingrid Dubois, Geschäftsführerin Dubois IT Consulting. Die Unternehmensleitung sei verantwortlich dafür, dass ein Notfallpan entwickelt werde. Bei Vorsorgemaßnahmen geht es um die Frage: "Was kann ich wirkungsvoll tun, damit die Organisation auch in Ausnahmefällen funktioniert?" Eine zentrale Voraussetzung dafür ist, dass die Rahmenbedingungen bekannt sind. Ein wichtiger Faktor kann beispielsweise sein, dass in der Nähe eine Chemiefabrik steht. Dubois: "Letztendlich geht es darum, wie man Schäden vermeiden kann."

Fazit

Die Komplexität der IT-Sicherheit nimmt kontinuierlich zu. Der Druck auf IT-Sicherheitsverantwortliche wächst in gleichem Maße. Wer bislang nur punktuelle Lösungen einsetzt, erhöht das Risiko. Denn: Katastrophen passieren - im Großen zwar seltener, im Kleinen aber nahezu jeden Tag im Unternehmen. Eine zufriedenstellende Lösung kann nur ein vollständiges, ganzheitliches Sicherheits-Management bieten.

Oliver Häußler, freier Journalist, München

Info

Die Webcast-Serie Security after Lunch steht online zur Verfügung unter www.idgevents.de.

Sie finden die Aufzeichnung der folgenden Themen:

  • Was leisten Sicherheits-Appliances?

  • Wie lassen sich mobile Clients effektiv schützen?

  • Security- und Schwachstellen-Management im Unternehmen.

  • Business Continuity: So rüsten Sie sich für den Notfall.

Ergebnisse der Studie "The Global State of Information Security" von CIO, CISO und Pricewaterhouse Coopers werden im Webcast vorgestellt.