RSA Conference 2008

RSA-Chef: Regulierungen machen Daten nicht sicherer

10.04.2008
Immer komplexere Regulierungen zwingen Unternehmen dazu, sich in Sachen IT-Sicherheit primär auf die Einhaltung der Vorschriften sowie entsprechende Audit-Ziele zu konzentrieren, anstatt die Anforderungen ihres Geschäfts zu verstehen und zu adressieren, moniert Art Coviello, Executive Vice President bei EMC und CEO von EMCs Sicherheitssparte RSA.

In seiner Eröffnungsrede auf der aktuell in San Francisco stattfindenden "RSA Conference 2008" appellierte Coviello an Regulierungsbehörden und Verfasser von Vorschriften, nicht einfach eine Liste von Kontrollen zu verordnen, sondern ergebnisorientierte Vorgaben zu kreieren. Aufgabe der Regulatoren sei es, sicherzustellen, dass die von ihnen angeordneten Vorschriften nicht zur Schwächung des Geschäfts führten - etwa indem sie Durchsetzungsaktionen forcierten, die Unternehmen dazu bringen, sich zwar allgemein anerkannten, nicht aber den echten Sicherheitsrisiken zu widmen. Derartige Projekte tragen nach Ansicht des RSA-Managers wenig zur Verbesserung der Gesamthaltung eines Unternehmens in Sachen Sicherheit bei. Statt Vorgaben zu verabschieden, die bei Organisationen etwa die Haltung: "Was ist das erforderliche Minimum, um ein o.k. zu bekommen" provozierten, müssten sich Vorschriften an den darüber zu erzielenden Resultaten orientieren, so Coviello.

Als Beispiel für eine zielführende Regulierung führt der EMC-Manager Kaliforniens "SB-1386"-Gesetz auf, das Unternehmen abverlangt, Kunden über den Verlust ihrer persönlichen Daten zu informieren, statt den Organisationen mitzuteilen, wie sie diese Informationen zu schützen haben.

Eine Möglichkeit, die derzeitige Komplexität im Regulierungswust zu reduzieren, sieht Coviello in der Schaffung eines nationalen Standards zum Schutz sensibler Daten. So könnten die Behörden ein bundesweites Gesetz zur Bekanntgabe von Datenverlusten verabschieden - statt der 40 unterschiedlichen Einzelstaatenvorschriften, mit denen Unternehmen derzeit zu kämpfen hätten.

Security-Verantwortliche in Unternehmen forderte Coviello in seiner Keynote-Ansprache indes auf, sich nicht länger auf Information-Security zu beschränken, sondern verstärkt mit der Entwicklung informationszentrischer Sicherheitsstrategien zu befassen. "Unser Blick muss sich über Tools, die blindlings Daten abriegeln, hinaus auf Mechanismen richten, die in der Lage sind, Informationen zu verstehen und diese intelligent über deren gesamten Lebenszyklus hinweg zu schützen", mahnt der RSA-Chef. Statt Produkte zu implementieren, die sich bestimmten Bedrohungen widmeten, müsse das Ziel sein, Sicherheit zum untrennbaren Teil der Infrastruktur zu machen und Prozesse zur Überwachung und Durchsetzung der Sicherheit weitgehend zu automatisieren. Grundsätzlich, so Coviello, müssten sich Organisationen von statischen Kontrollen verabschieden, die sich in der bloßen Überwachung des Datenzugriffs erschöpfen.

"Viele Sicherheitsprodukte zwingen Anwender dazu, so zu denken, wie das Tool es vorschreibt. Das resultiert in einer Vielzahl komplexer, statischer und starrer Mechanismen", bemängelt der RSA-CEO. Ihm zufolge gilt es, Werkzeuge zu implementieren, die das Normverhalten von Netzen, Benutzern und Inhalten verstehen und fähig sind, auf dieser Basis dynamische Entscheidungen zu treffen.

Techniken, die diese Fähigkeiten ermöglichen, werden allerdings nicht von den heutigen Anbietern von Stand-alone-Sicherheitsprodukten, sondern vielmehr von den großen IT-Infrastruktur-Anbietern entwickelt und integriert werden, statuiert Coviello nicht zum ersten Mal. Ihm zufolge werden unabhängige Anbieter weiterhin Einzelkomponenten dieser Infrastruktur liefern. Langfristig allerdings werde es für eine separate Security-Branche keinen Bedarf mehr geben, wiederholt der Chef der 2006 von EMC geschluckten Sicherheitsfirma RSA seine Prognosen vom vergangenen Jahr. (kf)