IT-Sicherheit

Cloud und Mobile machen Security-Manager nervös

Karin Quack arbeitet als freie Autorin und Editorial Consultant vor allem zu IT-strategische und Innovations-Themen. Zuvor war sie viele Jahre lang in leitender redaktioneller Position bei der COMPUTERWOCHE tätig.
Jeder zweite IT-Sicherheitsverantwortliche betrachtet die unternehmenseigenen Mitarbeiter als größte Risikoquelle. Auf der Prioritätenliste ganz oben stehen aber neue Angriffsszenarien, Cloud Computing und der Zugriff auf die Unternehmensinformationen über mobile Endgeräte.
Foto: drizzd, Fotolia.de

Was ist ein neues Angriffsszenario? Diese Frage hatte Matthias Zacher, Senior Consultant des Marktforschungsunternehmens IDC Central Europe GmbH, zu beantworten. Denn dieser Punkt steht auf der Prioritätenleiste der deutschen IT-Security-Manager ganz oben - zumindest nach den Ergebnissen einer gerade vorgestellten IDC-Studie.

Dafür hatten die Marktforscher 202 IT-Sicherheits-Experten aus deutschen Unternehmen mit mehr als 100 Mitarbeitern befragt. Und 42 Prozent davon nannten die Abwehr neuer Angriffsszenarien als eines der Themen, das ihnen den Schlaf raubt. Die IDC-Berater verstehen darunter Bedrohungen, die erst während der Nutzung eines Systems ihr Gesicht zeigen - beispielsweise wenn eine Applikation vernetzt oder neu konfiguriert wird.

Wie Zacher erläuterte, entstehen Gefahren für die Sicherheit von IT-Systemen auf drei Ebenen: bereits während der Programmierung, durch ein falsches Konzept, durch mangelhafte Konfiguration oder durch menschliches Fehlverhalten. Oft sei es aber auch ein Mix aus verschiedenen Komponenten, der ein System am Ende unsicher machen - beispielsweise dann, wenn ein Programmierfehler nur innerhalb einer bestimmten Konfiguration seine Schadenswirkung entfaltet.

Anforderungen and die Cloud-Provider

Den Spitzenplatz auf der Liste der Herausforderungen teilen sich die neuen Bedrohungszenarien in der IDC-Studie mit dem Thema "Cloud Security. Dass hier Vieles schief laufen kann, will Zacher überhaupt nicht abstreiten. Allerdings bemängelt er, dass die Unternehmen zu selten differenzieren. "Es könnte immer etwas passieren, aber wichtig als die technischen Aspekte ist die Frage, welche Auswirkungen es hat, wenn etwas passiert."

Dennoch stellen die Anwender durchaus technische Anforderungen an die Cloud-Provider. Besonders wichtig (mit jeweils zwei Fünfteln Zustimmung) erscheinen ihnen eine starke Authentifizierung und Zugriffskontrolle sowie die Implementierung von Best-Practice-Lösungen. Fast ebenso häufig genannt wurde die Verschlüsselung der Kommunikation zwischen Cloud-Anbieter und -Nutzer sowie zwischen unterschiedlichen Cloud-Standorten.