computerwoche.de

Security

Cisco und IT-Security

IT-Security: Anwender richtig in Angst und Schrecken versetzen

19.03.2008
Hersteller möchten IT-Sicherheit verkaufen, IT-Security-Verantwortliche wollen ein größeres Budget. Die Vermarktungsstrategien beider Seiten ähneln sich stark. Ein Manager von Cisco gibt Tipps, wie sich die Abteilung IT-Sicherheit besser verkaufen kann.

In Urzeiten der IT ging die Mär um, dass Antiviren-Hersteller selbst Malware produzieren, um ihre Umsätze in die Höhe zu treiben. Diese Vorgehensweise wurde stets abgestritten, was nicht weiter verwundert. Dabei müssen sich die einschlägigen Lieferanten von IT-Security nicht einmal die Hände schmutzig machen - es reicht völlig aus, wenn sie in einer gewissen Regelmäßigkeit vor den gewaltigen Bedrohungen warnen und branchentypische Horrorgeschichten zum Besten geben. Die Strategie des "Dauerfeuers" wirkt aber nicht nur in die Unternehmen hinein, sondern auch innerhalb der Firmen selbst. Schließlich gilt es auch hier, sich einen möglichst großen Teil vom Budget-Kuchen zu sichern.

Der Chief Security Officer (CSO) von Cisco, John Stewart, gehört zu den "IT-Anwendern", die sich über mangelnde Sicherheitsausrüstung nicht beklagen können, schließlich produziert sein Konzern selbst diverse Lösungen für IT-Security. Allerdings hat Stewart laut eigener Aussage eine wesentlich effektivere Waffe als Hard- und Software, wenn es um die Verteidigung des Unternehmens geht: das gesprochene Wort. Auf der IDC-Konferenz CSO Perspectives in Atlanta sagte der Cisco-Manager, die Verbreitung grausiger Details über tägliche Angriffe auf die Konzern-IT sei der wirkungsvollste Mechanismus zur Stärkung des Sicherheitsbewusstseins, berichtet die CW-Schwesterpublikation "InfoWorld". Jeden Freitag seien Top-Manager von Cisco zu einer Telefonkonferenz eingeladen, auf der einer der rund 250 Security-Mitarbeiter von Cisco die gefährlichsten Attacken und Vorfälle der zurückliegenden Woche rekapituliert. Das wirkt, denn das Top-Management trägt Verantwortung.

Laut Stewart ist das allmählich sinkende Bewusstsein für Bedrohungen innerhalb einer Organisation ein gravierendes Problem. Hintergrund sei schlicht, dass die IT-Security einen guten Job macht - und so die Anwender nicht mitbekämen, welche Dimension die Herausforderung überhaupt erreicht hätte. Damit sich Anwender (und Manager) nicht in einer trügerischen Sicherheit wiegen, müssten sie regelmäßig und nachdrücklich an die sinistren Absichten der Übeltäter erinnert werden, selbst wenn diese die Sicherheitseinrichtungen der Organisation nicht überwinden konnten. "Es geht darum, die Illusion zu zerstören, dass nichts passiert", so Stewart. Wenn die IT-Sicherheit reibungslos funktioniere, wecke dies innerhalb der Organisation zwangsläufig Begehrlichkeiten beim Security-Budget. Dies kann nicht im Interesse der CSOs sein (und auch nicht im Interesse Ciscos, versteht sich). Kurz: Klappern gehört zum Handwerk.