Security-Messe it-sa

Vorsicht im World Wild Web

21.10.2009
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.

"Sicherheit passt nicht ins Budget"

Die Fähigkeit, die eigene Security-Infrastruktur richtig einzuschätzen, fehlt in vielen Unternehmen, bestätigt Hubert Große-Onnebrink vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT). Zudem falle den Sicherheits-Verantwortlichen in den Unternehmen die Argumentation pro Sicherheit oft nicht leicht. "Die meisten Organisationen sind darauf ausgelegt, ihren Gewinn zu optimieren", sagt der Security-Experte, "da passt Sicherheit nicht so recht dazu."

Vogel-Strauss-Politik: Laut einer Bitkom-Umfrage reagieren die meisten Unternehmen nicht auf Sicherheitslecks beziehungsweise versuchen das Problem intern zu lösen.
Vogel-Strauss-Politik: Laut einer Bitkom-Umfrage reagieren die meisten Unternehmen nicht auf Sicherheitslecks beziehungsweise versuchen das Problem intern zu lösen.

Dabei bestehe durchaus Bedarf, die Security in den Unternehmen zu verbessern, sagt Große-Onnebrink. Im Rahmen der Initiative "Secure-IT" war das Fraunhofer-Institut an insgesamt rund 200 Security-Audits vor allem bei kleineren und mittelgroßen Unternehmen beteiligt. Zwar seien diese Untersuchungen in erster Linie als grobe Orientierungshilfe zu sehen, schränkt der Fraunhofer-Experte ein. Insgesamt hätten sich jedoch deutliche Sicherheitslücken offenbart. Demnach fehle es vielerorts an einem übergreifenden Security-Management. Die Firmen schlampten mit ihren Risikoanalysen und würden Sicherheitsziele nur selten umfassend dokumentieren. Auch die Policies seien nur vereinzelt schriftlich fixiert, kritisiert Große-Onnebrink, geschweige denn, dass diese gelebt beziehungsweise auch kontinuierlich überprüft würden.

Die Cloud löst keine Sicherheitsprobleme

Die Probleme rund um Security dürften die IT-Verantwortlichen noch eine ganze Weile beschäftigen. Denn auch neue IT-Modelle wie beispielsweise Cloud Computing scheinen längst nicht in der Lage, die drängenden Sicherheitsfragen zu beantworten. "Auch für die Cloud gelten die üblichen Sicherheitsanforderungen", stellt Sebastian Rohr, Analyst von Kuppinger Cole, klar. Offenbar werden die Cloud-Angebote dem aber noch nicht gerecht. Rohr verweist auf eine IDC-Studie, wonach drei Viertel aller IT-Verantwortlichen in erster Linie die Sicherheit als Risiko in Sachen Cloud Computing bewerten. Der Analyst fordert deshalb eine Cloud-Governance, die sicherstellen soll, dass die richtigen Dinge korrekt in der Wolke ausgeführt werden. "Doch das steckt noch in den Kinderschuhen."