"Wir haben den Kampf um die Sicherheit verloren", warnte Jericho-Mitgründer Paul Simmonds, Head of Security beim britischen Chemieriesen ICI, ein Publikum von 100 Chief Security Officers (CSOs) beim CSO Interchange in San Francisco. "Schauen Sie sich an, wo all die netten Exploits sind - sie kommen über E-Mail und Web herein." Herkömmliche Mechanismen zum Schutz der Unternehmensgrenzen wie Firewalls wehrten Bedrohungen nicht effektiv ab, sondern seien lediglich in der Lage, die "großen Brocken" auszusieben. Dazu zählt Simmonds "Skript-Kiddies" sowie das "allgemeine Grundrauschen des Internets".
Das im vergangenen Januar ins Leben gerufene Jericho Forum mahnt deswegen an, nicht mehr von Netzgrenzen im klassischen Sinn zu sprechen. Die Realität in den meisten Unternehmen sehe ohnehin so aus, dass sie nicht mehr über eine räumlich klar umrissene Infrastruktur verfügten. Stattdessen sind sie über das Internet mit Partnern, Telearbeitern und Filialen verbunden, die auf Ressourcen im Firmennetz zugreifen, was im Hinblick auf die IT-Sicherheit besondere Herausforderungen bedeutet. ICI beispielsweise habe mehr als 3000 externe Verbindungen, erklärte Simmonds. Die Gruppe will die Security-Hersteller daher dazu bewegen, sich weniger auf die Absicherung der Außenbereiche zu konzentrieren.
Stattdessen sollen sie für eine bessere Interoperabilität ihrer Produkte sorgen. Hierzu will das unter dem Dach der Open Group aktive Jericho Forum beitragen, indem es Frameworks und Pläne erarbeitet, die aufzeigen, in welchem Zusammenhang die unterschiedlichen Lösungen der Sicherheitsanbieter zueinander stehen, und die Hersteller in diesem Bereich zu mehr Zusammenarbeit bewegen. Einen Rohentwurf für einen Vier-Stufen-Plan zur Erreichung der genannten Ziele hat das Forum bereits erarbeitet. Dieser sieht unter anderem eine ständige Verschlüsselung auf Transport- und Datenebene vor sowie Authentifizierung auf Verbindungs- und Datenebene. Letztere Technik ist, wie Simmonds einräumt, sehr anspruchsvoll und wohl noch zwischen vier und zehn Jahre entfernt.
Im Hinblick auf Interoperabilität will Jericho Rahmendokumente erstellen, in die sich dann Produkte einsetzen lassen, um so die gegenseitigen Abhängigkeiten darzustellen. Die Hersteller sollen daraufhin an den Berührungspunkten für die notwendige Kompatibilität sorgen.
Derzeit zählen zu Jericho rund 50 Firmen, darunter Schwergewichte wie Airbus, BBC, Boeing, BP, Credit Agricole, Credit Suisse First Boston oder GlaxoSmithKline. Hierzulande ist die Deutsche Bank involviert. Unterstützung aus den USA, wo die meisten IT-Hersteller sitzen, ist für die Gruppe von großer Bedeutung. Die Voraussetzungen dafür sind gut: Das Jericho Forum erntete auf der CSO Exchange, einer Veranstaltung des auf Schwachstellenanalyse spezialisierten Unternehmens Qualys, viel Beifall. Qualys-Director Howard Schmidt sitzt in vielen Security-Gremien und war früher Berater des Weißen Hauses. Schmidt leitet außerdem den Global CSO Council, einen Zusammenschluss von Chief Security Officers (CSOs) aus führenden US-Unternehmen. Dieses Gremium dürfte nach Einschätzung des Computerfachblatts "Computerwire" in Kürze seine Unterstützung für das Jericho-Vorhaben erklären. (tc/ave)