80 Prozent Ersparnis

Automatisiertes Risikomanagement verspricht Effizienz

16.01.2009
Uli Ries ist freier Journalist in München.
Anzeige  IT-Risikomangement ist ein überaus zeitraubendes Geschäft – wenn es händisch erledigt wird. Anbieter von Software zum automatischen Risikomanagement versprechen eine Zeiteinsparung von bis zu 80 Prozent – angesichts knapper Ressourcen ein verlockendes Angebot. Glaubt man den Herstellern wie Skybox Security, stellt sich der ROI bereits binnen weniger Monate ein.
Goldener Mittelweg: Dank automatischer Risikoanalyse sollen sich kontinuierliche Tests zu geringen Kosten umsetzen lassen.
Goldener Mittelweg: Dank automatischer Risikoanalyse sollen sich kontinuierliche Tests zu geringen Kosten umsetzen lassen.
Foto: Skybox Security

ARCM nennt sich die Wunderwaffe gegen ausuferndes IT-Risikomanagement – Automated Risk and Compliance Management. ARCM soll in Zeiten komplexer Richtlinien wie Basel II, Sarbanes-Oxley, ITIL, Cobit, HIPAA oder PCI dafür sorgen, dass auch komplexe und sich ständig verändernde IT-Infrastrukturen sicher und Konform zu den Regularien bleiben.

Anbieter von ARCM-Produkten wie Skybox Security versprechen das Ende der mit großem Personalaufwand meist nur einmal pro Jahr umgesetzten IT-Risk-Audits. Mit Hilfe ihrer Software sollen sich solche Audits auf Knopfdruck binnen weniger Stunden auch in der komplexen IT-Landschaft eines Großunternehmens erledigen lassen. ARCM-Produkte ersetzen aber keine der vorhandenen IT-Sicherheitskomponenten, sie stützen sich aber auf diese und beziehen die zur Analyse notwendigen Daten von ihnen.

ARCM soll insbesondere dabei helfen, binnen weniger Minuten zu erkennen, ob eine geplante Änderung – zum Beispiel neue Firewall-Regeln – die Compliance gefährdet. Der Gründer von Skybox Security, Gidi Cohen, schätzt, dass eine Enterprise-Firewall zwischen 200 und 1000 Regeln kennt. Bei 100 bis 1000 Firewalls pro Unternehmen und ein bis zwei Regeländerungen pro Monat könne laut Cohen kein IT-Team mehr den Überblick behalten.

Ein Mensch benötigt laut Cohen pro zu überprüfender Regel zwei Stunden und länger. Daher würden die Checks nur einmal jährlich gemacht, wodurch große Zeitfenster mit unklarem Zustand entstehen. Die Skybox-Software klopft die Regeländerung binnen zehn Minuten ab, 400 Firewalls sollen sich in zwei Tagen checken lassen. Außerdem liegt der Analyst aus Fleisch und Blut nur in 70 Prozent aller Fälle richtig mit seiner Einschätzung, die Software jedoch zu 99 Prozent.

Außerdem kann Skybox Secure laufend Risk Assessments machen, in dem es Attacken gegen die real vorhandene Infrastruktur simuliert – freilich ohne den Geschäftsbetrieb zu stören. Die Ergebnisse der Tests werden übersichtlich und samt Handlungsvorschlägen dargestellt. Laut Skybox bewertet die Software gefundene Risiken nicht anhand eines abstrakten Klassifizierungssystems wie CVSS, sondern knüpft die Einschätzung der Relevanz an die tatsächlich vorhandene Netzwerk-Infrastruktur.

Ohne Fleiß gibt es aber auch bei ARCM keinen Preis. Damit das Tool effizient arbeiten kann, müssen erst einmal alle relevanten Konfigurations- und Infrastrukturdaten eingepflegt werden. Außerdem gebe es laut Gidi Cohen „keinen Freifahrtschein“, da sich auch die bestehenden Prozesse ändern und an die neuen Möglichkeiten anpassen müssen, die durch ARCM entstehen. Nur dann lässt sich der maximale Return on Invest heraus holen.