Kontrolle über Firmennetze ist illusorisch

09.06.2009

e sicherer etwas gemacht werden soll, desto unsicherer scheint es zu werden. Das klingt paradox, ist aber leider wahr. Um einen Rechner oder ein Netzwerk gegen alle Eventualitäten abzusichern, also gegen Angriffe von innen und von außen, gegen unvorhergesehene Downtimes und gegen Katastrophen, müssten Unternehmen unendlich viele Details bedenken und damit mehr Geld und Arbeitszeit aufwenden, als sich die meisten leisten können. Jeder CIO weiß das und muss damit leben. Weil er glaubt, die Risiken in "seinen" Rechnern und "seinem" Netzwerk zu kennen, bringt ihn dieses Restrisiko nicht um den Schlaf. Schließlich kann er ja bestimmen, wer Zugriff auf sein Netzwerk bekommt und wer wann welche Operationen ausführt. Diese fast lückenlose Kontrolle lässt die Risiken überschaubar erscheinen.

Das ändert sich allerdings, wenn niemand mehr das Unternehmensnetz kontrollieren kann, weil zu viele Partner, Lieferanten und Kunden sich darin bewegen. Diese Netzgäste betreiben in der Regel wieder Netze, die von eigenen Mitarbeitern, aber eben auch vielen Gästen bevölkert werden. Zudem bieten die Firmennetze verschiedene Zugänge ins Internet. Damit geht die Kontrolle über das eigene Coporate Network verloren.

Ohne Kontrolle aber geraten viele Sicherheitsmaßnahmen, die der CIO für "sein" Netzwerk eingerichtet hat, zur Farce. Der Kontrollverlust könnte zu folgende Konsequenzen führen: Der CIO legt die Netzsicherheit in die Hände eines dedizierten Providers, der über entsprechende Mittel und Know-how verfügt. Die Sicherheitsanforderungen, die solche Anbieter zu erfüllen hätten, müssten allerdings von einem internationalen Nutzerverband – ähnlich der Icann im Web – formuliert und durchgesetzt werden. Damit gäbe es klare, verbindliche Anforderungen und Dienstleister, die ihre Einhaltung gewährleisten könnten.

Weitere Meinungsbeiträge und Analysen finden Sie im Blog des Autors unter www.wittes-welt.eu.