Das SBIC ist ein von RSA, der Security Division von EMC, gesponserter Zusammenschluss von 17 Chief Information Security Officers aus Großunternehmen, darunter eBay, BP, SAP, Nokia und T-Mobile USA. Das Board diskutiert Sicherheitskonzepte und spricht Empfehlungen für die Branche aus. Im jüngsten SBIC-Report "Getting Ahead of Advanced Threats" heißt es: "Die meisten Unternehmen wissen nicht genug über die aktuelle Bedrohungslage sowie ihre eigenen Stärken und Schwächen bei der IT-Sicherheit, um sich angemessen verteidigen zu können." Weil die Muster der neuesten Angriffstechniken nicht ausreichend analysiert würden, könnten auch keine entsprechenden Abwehrmechanismen entwickelt werden.
Dabei verlangen gerade die Advanced Persistent Threats danach, sein Netz genau zu kennen. Weil diese Bedrohungen in Form von Spionageprogrammen wie Stuxnet oder Duqu hochkomplex ("advanced") und meist nur durch Zufall auffindbar ("persistent" - dauerhafte und langwierige Auskundschaftung von IT-Systemen, ohne wirklichen Schaden anzurichten) sind, sei es nach Meinung des SBIC umso wichtiger, normale von anormalen Netz- und Anwenderaktivitäten unterscheiden zu können.
Statt "Compliance-bedingter" oder "Vorfall-bedingter" Sicherheitsprozesse, die nur Vorschriften und Gesetzen genügten oder sich von Tag zu Tag je nach Bedrohungslage ausrichteten, plädiert das Board für eine "Intelligence-driven Security"-Strategie, zu deutsch in etwa "informationsorientierte Sicherheit". Nicht das gesamte Netz könne zentral geschützt werden, sondern die einzelnen Daten und Informationen müssten nach Meinung der SBIC-Experten eine besondere Aufmerksamkeit erfahren.
Michael Teschner, bei RSA im Bereich Business Development tätig, kommentiert den Report gegenüber der COMPUTERWOCHE: "Neue Herausforderungen im Bereich Security und Compliance verlangen neue strategische Ansätze der IT-Sicherheit. Vor allem das Business muss stärker eingebunden werden." Wichtige Fragen diesbezüglich seien:
Wie sehen die Unternehmenswerte aus?
Wer könnte ein Interesse daran haben?
Mit welchen Methoden werden diese angegriffen?
Durch die Professionalisierung und Industrialisierung des "Untergrunds" sei jedes Unternehmen gleichermaßen gefährdet und könne sich nur entsprechend verteidigen, wenn es wisse, was genau es zu verteidigen gebe.
Das Board gibt Tipps, wie eine "Intelligence-driven Security"-Strategie aussehen kann:
