Aufgrund der zunehmenden Nutzung von Techniken wie Web-Services und Service-orientierten Architekturen seien Unternehmen heute abhängiger von IT und Informationen denn je und gleichzeitig so verwundbar für Hacker-Attacken wie nie zuvor. "Trotz Investitionen in Milliardenhöhe haben wir Informationssicherheit bislang noch nicht erfolgreich implementiert", erinnerte RSA-Chef Art Coviello das Publikum bei seiner Eröffnungsrede auf der europäischen Ausgabe der Security-Konferenz in London.
Angesichts der zunehmenden Öffnung nach außen und der damit verbundenen, neuen Herausforderungen und Gefahren ist es nach Überzeugung des RSA-Managers höchste Zeit, die alten Sicherheitsdogmen über Bord zu werfen. Vor allem gelte es, den klassischen perimeterorientierten Mauerbau durch informationszentrische Sicherheitsmodelle abzulösen, die sich am Wert der zu schützenden Daten orientieren und zugleich die Öffnung weiterer Kundenkanäle ermöglichen. Primäre Aufgabe in diesem Kontext sei es, die Risiken für die jeweils wertvollsten Informationen im Unternehmen zu reduzieren. Dazu müssten Firmen allerdings nicht wie bisher vorrangig in Technik, sondern stärker in die Steigerung des Risikobewusstseins investieren. Aber auch die Anbieterfront sieht Coviello in der Pflicht, über ihr spezielles Produkt hinauszudenken und für von Haus aus sichere Lösungen zu sorgen.
Vertrauensbildende Maßnahmen
Als einen Vorstoß in diese Richtung versteht sich das "Software Assurance Forum for Excellence in Code" (Safecode), das auf der RSA-Konferenz aus der Taufe gehoben wurde. Zu den Mitgliedern der Industrieinitiative gehören die RSA-Muttergesellchaft EMC, SAP, Juniper Networks sowie die beiden Branchenschwergewichte Symantec und Microsoft. Letztere hatten sich im vergangenen Jahr wegen Microsofts Sicherheitsmaßnahmen zum Schutz des Vista-Kernels in den Haaren gelegen, die Drittanbieter bei der Implementierung von Schutz-Software für Vista behinderte.
Ziel der Non-Profit-Organisation Safecode ist es, mittels Best Practices für Entwicklung sicherer Software, Hardware und Services das Vertrauen in Informationstechnik zu erhöhen.
Blindes Vertrauen in Security-Produkte ist nach Ansicht von Bruce Schneier, CTO bei BT Counterpane, allerdings fehl am Platz. Der namhafte Sicherheitsexperte warnte Unternehmen in seiner Keynote-Ansprache davor, sich in jedem Fall auf die versprochene Wirkkraft von Sicherheitslösungen zu verlassen. So manches Produkt auf dem Markt biete eher ein "Gefühl der Sicherheit" als tatsächlichen Schutz. Dem Experten zufolge bringt die IT-Sicherheitsindustrie sowohl gute als auch minderwertige Lösungen hervor, die für Unternehmen aufgrund mangelnder Informationen jedoch nur schwer einzuschätzen sind. "Es gibt keine Funktionstests, anhand derer man herausfinden könnte, welches Produkt gut und welches schlecht ist", so Schneier. Grundsätzlich sollten sich Firmen in Sachen Sicherheit nicht von Angst oder anderen Gefühlen leiten lassen, sondern versuchen, mit Hilfe vertrauenswürdiger Experten innerhalb der Organisation die jeweiligen Risiken zu verstehen, um fundierte Kaufentscheidungen zu fällen.
Banken schwächeln beim Risiko-Management
Von Defiziten im Umgang mit Risiken zeugt auch eine auf der Konferenz vorgestellte Studie zum Thema Information Risk Management, die Datamonitor im Auftrag von RSA bei europäischen Finanzdienstleistern vorgenommen hat. Demnach messen Banken dem Management von Informationsrisiken zwar einen hohen Stellenwert bei, doch ist es dort selten Bestandteil eines integrierten durchgängigen Sicherheitskonzepts. So gab die Hälfte der Befragten an, die Einhaltung einschlägiger Vorschriften nicht auf strategischer Ebene, sondern fallweise anzugehen. Auch halten es nur 43 Prozent für notwendig, das Risiko-Management über eine Absicherung der Außengrenzen hinaus auf die Daten auszudehnen, die sich außerhalb des eigenen Systems etwa bei Partnern und Beratern befinden.
Auch Microsofts Ben Fathi hatte aktuelle Forschungsergebnisse im Gepäck. Der Vice President of Development bei der Microsoft-Einheit Windows Core Operating Systems nutzte seinen Auftritt auf der RSA-Konferenz unter anderem, um den jüngsten Security Intelligence Report der Gates-Company zu präsentieren. Demnach wurden in den ersten sechs Monaten dieses Jahres 31,6 Millionen Phishing-Versuche entdeckt, was laut Microsoft einer Steigerung um gut 150 Prozent entspricht. Außerdem will der Softwarekonzern um 500 Prozent mehr Angriffsversuche durch Trojaner, Passwort-Ausleser, Tastaturlogger und andere auf den Diebstahl von Anwenderdaten spezialisierte Schadsoftware registriert haben.
Datenschutz erfordert interne Kooperation
Darüber hinaus zog Fathi die Ergebnisse einer aktuellen, vom Ponemon Institute vorgenommenen Umfrage unter rund 3600 Sicherheitsverantwortlichen, Datenschutzbeauftragten und Marketing-Managern in Deutschland, Großbritannien und den USA aus dem Ärmel. Sie verdeutliche, wie wichtig angesichts der zunehmend bedrohten persönlichen Informationen die verstärkte Zusammenarbeit zwischen diesen Funktionen sei. Demnach waren in den letzten zwei Jahren Firmen mit mangelhafter Kooperation mehr als doppelt so häufig von Datendiebstahl betroffen wie Unternehmen, deren Abteilungen gut zusammenarbeiten. Laut Studie gehen 78 Prozent der Security-Verantwortlichen davon aus, dass ihre Marketing-Kollegen sie ansprechen, bevor sie personenbezogene Informationen sammeln oder verwenden. Doch nur 30 Prozent der Marketing-Manager geben tatsächlich Bescheid. Gleichzeitig betrachten aber mehr als 65 Prozent der Marketiers Pflege und Verbesserung des Firmenimages als eines der wichtigsten Motive für den Datenschutz. (kf)