computerwoche.de

Security

IT-Basisschutz

Was ist eigentlich Security-Management?

15.04.2009
"Security-Management" ist ein dehnbarer Begriff. Thorsten Schuberth, Senior Technical Consultant bei Check Point Software, konkretisiert das facettenreiche Thema im Gespräch mit CW-Redakteurin Katharina Friedmann.

CW: Was ist eigentlich unter "Security-Management" zu verstehen?

SCHUBERTH: Security-Management umfasst idealerweise alle Aspekte und Produkte, die für die Absicherung der Unternehmenskommunikation wichtig sind. Der Begriff beschreibt also ein Framework, eine zentrale Management-Instanz, die dazu dient, die notwendigen Sicherheitslösungen implementieren, betreiben und überwachen zu können. Security-Management muss aber auch als kontinuierlicher Prozess verstanden werden, der das für ein Unternehmen festgelegte Maß an Sicherheit fortlaufend kontrolliert und steuert.

CW: Was umfasst das Thema und welche Bereiche berührt es?

SCHUBERTH: In der Funktion einer zentralen Schaltstelle für die Sicherheitsumgebung muss das Security-Management die gesamte Sicherheitsstrategie einer Organisation reflektieren. Es muss praktisch jede Sicherheitskomponente abdecken und berührt damit jeden Unternehmensbereich. Im Vordergrund stehen dabei der Betrieb und die Überwachung der vorhandenen Sicherheitsvorrichtungen. Dieses Monitoring muss um ein umfassendes Reporting ergänzt werden, so dass Trendanalysen möglich sind und eventuelle Sicherheitsrisiken schnell entdeckt und eliminiert werden können.

Thorsten Schuberth, Senior Technical Consultant bei Check Point Software.
Thorsten Schuberth, Senior Technical Consultant bei Check Point Software.

Für das Erstellen und Ausbringen einer Security Policy, die beispielsweise das Regelwerk einer Firewall definiert und von zentraler Stelle auf die Firewall-Komponenten installiert wird, müssen Installation und Pflege der dafür notwendigen Softwareprodukte in das Management-Konzept einbezogen werden.

Dabei ist die Kommunikationssicherheit nicht allein eine Frage der Datenverkehrskontrolle an einem bestimmten Prüfpunkt. Insbesondere der bislang noch etwas in sich gekehrte Mittelstand muss, getrieben von veränderten Wirtschafts- und Mitbewerbsbedingungen, seine Unternehmensgrenzen mehr und mehr nach außen öffnen. Der Informationsaustausch mit Partnern und Lieferanten ist ebenso erfolgskritisch wie der Fernzugriff der Vertriebsmitarbeiter auf die Geschäftsdaten und Kundeninformationen. Folglich müssen auch mobile Endgeräte mit Desktop-Firewalls und andere Client-Security sowie diverse Verschlüsselungslösungen in das Konzept eines übergreifenden Security-Managements einbezogen werden.

CW: Wann braucht ein Unternehmen Security-Management?