IDC: "Sicherheit ist ein Prozess"

16.05.2006
Von 
Bernd Seidel ist freier Journalist und Coach in München.
Wird über Banken und IT diskutiert, darf das Thema Sicherheit nicht fehlen. Ein Sicherheitsleck dort kann große Schäden nach sich ziehen. Wie Banken in puncto Sicherheit aufgestellt sind, erklärt Anita Liess, Program Manager Security Solutions European Software Group von IDC EMEA, im Gespräch mit dem freien Journalisten Bernd Seidel.

Wie ist es um die Sicherheit bei Banken heute bestellt?

Liess: Unsere aktuellen Studien zeigen, dass Banken rund 98 Prozent an sicherheitsrelevanten Maßnahmen erledigt haben. Doch der Security-Markt ändert sich stetig, und Systemangreifer bedienen sich heute einer Vielfalt unterschiedlicher Techniken und kombinieren diese in beliebiger Form. Diese "blended threats" ändern die Sicherheitsanforderungen. Hinzu kommen der Trend zur Mobilität und der damit einhergehende Faktor des erhöhten Netzwerkverkehrs, der ein weiteres Feld für böswillige Angriffe darstellt. Ein klassisches Beispiel: Ein Mitarbeiter hat den Bluetooth-Sender bei seinem mitgeführten Laptop per Default auf "aktiv" gestellt - selbst wenn das Gerät ausgeschaltet ist. Da der Sender stetig ein bestimmtes Frequenzprofil aussendet und nach einer verfügbaren WLAN-Verbindung sucht, kann es in diesem Falle auch zur Vortäuschung eines falschen WLAN Access Points kommen, was zu einem ungewollten Datenaustausch führt. Die Sicherheitslage ist sehr dynamisch, so dass kontinuierlich in Sicherheit investiert werden muss und diese nicht als klar abgegrenztes Projekt zu betrachten, sondern vielmehr als Prozess zu verstehen ist.

Welche Trends beobachtet IDC derzeit?

Liess: Wir sehen zurzeit im Wesentlichen zwei große Strömungen: Zum einen rückt das Thema Netzwerksicherheit immer mehr in den Fokus. Es gibt heute keinen Geschäftsprozess oder keine Transaktion, die nicht in irgendeiner Form via Netz, sei es LAN, WLAN oder VPN, ausgeführt wird. Hier setzen sich verstärkt so genannte Security-Appliance-Systeme durch, bei denen Sicherheitsfunktionen, die früher als zusätzliche Software verkauft wurden, nach und nach in Hardwarekomponenten integriert werden.

Ein zweiter Trend ist, dass sich Security-Anbieter verstärkt um Sicherheitslösungen auf Basis von Service-orientierten Architekturen (SOA) bemühen. Ziel hierbei ist es, Sicherheit für verteilte Systeme zu gewährleisten; das Ganze wird dann als Managed Security Service (MSS) angeboten.

Als übergeordneter Trend hierzu ist zu beobachten, dass die Kooperation zwischen Disziplinen wie System-, Anwendungs- und Netzwerk-Management sowie dem Sicherheits-Management im Unternehmen vorangetrieben werden sollte. Denn es ist unerheblich, ob ein fehlerhafter Server eine Störung der Geschäftstätigkeit verursachte oder ob es ein Virus oder Trojaner war.

? Phishing, also das Ergaunern von Passwörtern und Zugangsdaten, ist zurzeit ein heißes Thema. Wie sieht der Schutz vor dieser Art Missbrauch aus?

Liess: Derzeit wird die Einführung von "Two-Factor Authentification" (TFA) propagiert, ein Verfahren, mit dem sichergestellt werden soll, dass bei Diensten, die über das Internet abgewickelt werden (wie Homebanking), nur tatsächlich vorgesehene Kunden Berechtigung hierfür erhalten und keine Angreifer. Dazu werden mit TFA für Transaktionen in Zukunft zwei sichere Verbindungen aufgebaut. Einmal kann es den bisher bekannten Weg mit Passwort und TAN oder PIN geben, und zusätzlich wird über eine zweite Verbindung ein weiterer Authentifizierungs-Schlüssel verlangt. Das Verfahren ist dynamisch, und der zweite Code berechtigt zum einmaligen Systemzugriff und ist üblicherweise nur einige wenige Sekunden gültig.

?Wie können sich Banken gegen Bedrohungen von innen und gegen Social Engineering schützen? Bei Letzterem knüpfen Hacker soziale Kontakte zu Mitarbeitern, um so an sicherheitsrelevante Informationen zu gelangen.

Liess: Die Bedrohung aus den eigenen Reihen ist ein Riesenproblem und rangiert neben den komplexer werdenden Angriffen an Platz zwei in den Köpfen von CIOs. Die Palette reicht von gutgläubigen Mitarbeitern, die fahrlässig mit sensiblen Informationen umgehen, bis hin zu Personen, die sich an ihrem Arbeitgeber rächen möchten.

Hier hilft nur, Sicherheits-Policies zu implementieren, die sich aus rechtlichen Vorgaben und den unternehmensspezifischen Bedürfnissen zusammensetzen. Diese Policies müssen im Unternehmen kommuniziert werden. Darüber hinaus sind Trainings, Schulungen und interne Sicherheits-Workshops für die permanente Aufklärung nötig, um die Mitarbeiter entsprechend zu sensibilisieren.