Angesichts sich ständig wandelnder Bedrohungsszenarien sowie grundlegender Veränderungen im Hinblick auf Datenzugriff und -nutzung sei ein radikales Überdenken der bisherigen Sicherheitspraktiken erforderlich. So lautete eine Kernbotschaft an die rund 15 000 Besucher, die sich zum diesjährigen Gipfeltreffen der Security-Branche in San Francisco eingefunden hatten.

In seiner Eröffnungsrede appellierte Bill Gates an Unternehmen, über die gängigen Security-Strategien hinaus zu denken, die primär darauf abzielten, das Firmennetz gegen Eindringlinge und bösartige Aktionen abzuschotten. Vielmehr müsse Security dazu dienen, den sicheren Zugang zu Informationen zu ermöglichen, anstatt ihn zu unterbinden.

Auch nach Ansicht von Microsofts Chief Research and Strategy Officer Craig Mundie, der sich die Bühne mit Gates teilte, muss der Fokus künftig darauf liegen, den Zugriff auf Informationen zu erleichtern, und dabei gleichzeitig eine echte Nutzer- und Geräteauthentifizierung sowie Datenintegrität und -vertraulichkeit sicherzustellen. Große Bedeutung sei in diesem Zusammenhang Techniken wie IPsec und IPv6 beizumessen, wie sie der Softwarekonzern selbst in einem internen Zugangskontrollsystem nutze. Letzteres gewähre Mitarbeitern und Partnern zwar Zugriff auf die erforderlichen Daten und Applikationen, halte sie jedoch vom restlichen Netz fern, so Mundie. Grundsätzlich gehöre die Zukunft Methoden und Lösungen, die Nutzern eine starke Authentifizierung mittels Zertifikaten statt schwachen Passwörtern ermöglichten.

Ein wesentlicher Punkt der Gates-Keynote war die Ankündigung, Microsoft werde den unabhängigen Web-Authentifizierungsstandard "Open ID" mit seiner in Vista eingebauten Identity-Management-Lösung "Cardspace" (ehemals Infocard) unterstützen. "Die Verschmelzung von Cardspace und Open ID 2.0 bedeutet einen Riesenschritt vorwärts", so Mundie. Der aufkommende Standard soll es Internet-Nutzern ermöglichen, sich auf unterschiedlichen Webseiten einzuloggen, ohne dort jeweils einen eigenen Account anlegen zu müssen (Single Sign-on). Darüber hinaus zeigte Microsoft seinen "Identity Lifecycle Manager 2007", der die Integration starker Authentifizierungstechniken in Microsoft-Netze erleichtern und Anfang Mai verfügbar sein soll.

Daten schützen, nicht Perimeter

Auch Art Coviello, Chef der von EMC geschluckten IT-Sicherheitsfirma RSA Security, zeigte sich selbstkritisch angesichts der erreichten Sicherheitsstandards. "Die Wahrheit ist, dass wir bislang noch keine Informationssicherheit implementiert haben", konzedierte der RSA-Manager. Man habe sich auf den Perimeter um die Informationen herum konzentriert, aber in den seltensten Fällen die Informationen selbst geschützt. Schon bald würden stärker "informationszentrische" Sicherheitsmodelle erforderlich, die sich am Wert der zu schützenden Daten orientierten und nicht auf "perfekte Sicherheit" abzielten. Ein Grund dafür sei, dass Firmen angesichts immer neuer Bedrohungen und Regulierungen zunehmend bessere Kontrollen nachweisen müssten und für Datenverluste verantwortlich seien.

Stand-alone-Security vor dem Aus

"Unsere Branche ist reif für eine Transformation", statuierte Coviello. Diese werde innerhalb von zwei bis drei Jahren - bis auf wenige Ausnahmen - das Ende für die Stand-alone-Security-Industrie bringen. Ein solcher Wandel werde sich allerdings nicht vollziehen, wenn weiterhin Security-Produkte verwendet würden, die auf der Infrastruktur aufsetzten. Stattdessen werde es zur Norm für große Hersteller wie Microsoft, Oracle, Cisco und EMC, Security-Funktionen in ihre Kerntechnik zu integrieren und sie damit sicherer zu machen, glaubt der RSA-Chef.

Angesichts der rund 300 eigenständigen Anbieter, die ihre Lösungen auf der RSA Conference präsentierten - 100 mehr als 2006 - , wirkt Coviellos Konsolidierungsprognose leicht verfrüht. Beim Gros der Aussteller handle es sich jedoch um "Information-Infrastructure-Firmen", so der RSA-Manager.

Koordinierte Gefahrenabwehr

Auf den Weg in die von Coviello beschriebene Zukunft macht sich offenbar Cisco Systems: Der Netzausrüster nutzte die Konferenz, um Erweiterungen seines Security-Portfolios anzukündigen, die das Zusammenspiel der eigenen Sicherheitsprodukte und Services verbessern und Unternehmen damit die Kontrolle der Informationssicherheit erleichtern sollen. Auch nach Ansicht von Cisco werden traditionelle Netzsicherheitskonzepte beziehungsweise Stand-alone-Produkte den veränderten Anforderungen im Security-Umfeld nicht mehr gerecht. Vielmehr gelte es, alle Einzelkomponenten - von Netz-Devices über Endgeräte bis hin zu zentralen Auswertungs- und Analyse-Tools - zu einem integrierten Sicherheitssystem zusammenzufassen. Entsprechend sollen "Intrusion Prevention System 6.0" (IPS), "Cisco Security Agent 5.2" (CSA), die Appliance "Cisco Security Monitoring Analysis and Response System 4.3" (Mars) sowie "Cisco Security Manager 3.1" (CSM) künftig eine über die gesamte Infrastruktur hinweg koordinierte Gefahrenabwehr ermöglichen.

Integration ist Pflicht

Nach Ansicht von Analysten ist es für den Netzspezialisten nach rund zehn sicherheitsrelevanten Akquisitionen in den vergangenen drei Jahren auch an der Zeit, seine Integrationsaufgaben wahrzunehmen. Dies sei wesentlich, wenn Cisco seine neue Position als einer der größten Player im Security-Markt behaupten wolle, so Forrester-Analyst Robert Whiteley. (kf)