Web

Jericho Forum fordert mehr IT-Sicherheit

17.06.2004

Das unter dem Dach der Open Group aktive Jericho Forum, eine Vereinigung hauptsächlich europäischer Anwender, ist in dieser Woche in den USA unterwegs, um sich dort Rückendeckung für ihre Forderung nach mehr IT-Sicherheit zu holen.

"Wir haben den Kampf um die Sicherheit verloren", warnte Jericho-Mitgründer Paul Simmonds, Head of Security beim britischen Chemieriesen ICI, ein Publikum von 100 Chief Security Officers beim CSO Interchange in San Francisco. "Schauen Sie sich an, wo all die netten Exploits sitzen - sie kommen über E-Mail und Web herein." Herkömmliche Perimeter-Sicherheitsmechanismen wie Firewalls schützten nicht effektiv vor Bedrohungen, sondern siebten nur das Gröbste - "Skript-Kiddies und das Grundrauschen des Internet" - aus, so Simmonds.

Jericho verfolgt deswegen das Konzept eines "ent-perimetrisierten" Netzes und versucht, als "Druckmacher" die Security-Hersteller dazu zu bewegen, sich weniger auf den Perimeter zu konzentrieren und stattdessen ihre Produkte interoperabler zu machen. In Wahrheit hätten die meisten Unternehmen den Perimeter ohnehin schon drangegeben, so Jericho - es gebe kaum Firmen, die nicht über das Netz mit Partnern, Telearbeitern und Filialen verbunden seien. ICI beispielsweise habe mehr als 3000 externe Verbindungen, erklärte Simmonds.

Jericho will Frameworks und "Karten" erarbeiten, die das Zusammenspiel verschiedener Security-Produkte aufzeigen, und die Anbieter in diesem Bereich zu mehr Zusammenarbeit bewegen. Ein Rohentwurf für eine "Entperimetrisierung in vier Phasen" liegt bereits vor. Dieser sieht eine allgegenwärtige Verschlüsselung auf Transport- und Datenebene vor sowie Authentifizierung auf Verbindungs- und Datenebene. Letztere Technologie ist, wie Simmonds einräumt, sehr anspruchsvoll und wohl noch zwischen vier und zehn Jahre entfernt.

Derzeit sind bei Jericho rund 50 Firmen involviert, darunter Schwergewichte wie Airbus, BBC, Boeing, BP, Credit Agricole, Credit Suisse First Boston, Deutsche Bank, GlaxoSmithKline, Pfizer, Procter & Gamble, Rolls Royce, Royal Mail oder Shell. Unterstützung aus den USA, wo die meisten IT-Hersteller sitzen, ist für die Gruppe von großer Bedeutung. Nach dem Auftritt bei der von Qualys veranstalteten CSO Exchange sieht es dafür gut aus - Qualys-Director Howard Schmidt ist in vielen wichtigen Security-Gremien involviert und früherer Berater des Weißen Hauses. Schmidt leitet außerdem das Global CSO Council, einen Zusammenschluss von CSOs aus führenden US-Unternehmen. Dieses dürfte nach Einschätzung von "Computerwire" in Kürze seine Unterstützung für das Jericho-Vorhaben erklären. (tc)