IT-Sicherheit gibt es nicht von der Stange

14.10.2004
Von 
Jan Schulze ist freier Autor in Erding bei München.

Wenn das Know-how fehlt

Hierbei helfen keine einfachen Administrationskonsolen. Grundsätzlich gilt die Regel: Je komplexer die IT-Infrastruktur, desto leistungsfähiger müssen die Werkzeuge sein. So sieht Gerhard Langer, Consulting Engineer des auf Sicherheitsfragen spezialisierten IT-Dienstleisters Ampeg GmbH, die Out-of-the-Box-Lösungen auch eher im Mittelstand denn im Enterprise-Umfeld: "Kleinere und mittelständische Unternehmen können in der Regel nicht auf einen Stab speziell ausgebildeter Sicherheitsspezialisten zurückgreifen." Damit sei hier die vereinfachte Administration ein wichtiger Aspekt, um ein Grundmaß an Sicherheit zu erzielen. Für den Einsatz im Enterprise-Umfeld sind laut Langer dedizierte Produkte für exakt umrissene Probleme die bessere Wahl, da sie feiner an die Unternehmensbedürfnisse angepasst werden können.

Dabei spielen mehrere Faktoren eine Rolle. Zum einen arbeiten in großen Organisationen sehr verschiedene Anwender, die unterschiedlich mit dem PC umgehen und auch verschiedene Rechte und Pflichten haben. So stellen zum Beispiel Ingenieure völlig andere Anforderungen an ihren Rechner als ein Call-Center-Agent. Generell müssen die Mitarbeiter in kreativen Positionen mit mehr Rechten ausgestattet werden, was wiederum die Umsetzung von Sicherheitskonzepten an diesen Systemen deutlich schwieriger macht. Denn Sicherheit und Produktivität stehen an vielen Arbeitsplätzen in einem gewissen Widerspruch zueinander. Um in Organisationen mit mehr als 1000 Mitarbeitern allen Anforderungen gerecht werden zu können, müssen granular konfigurierbare Sicherheitsprodukte eingesetzt werden.

Einen höheren Aufwand sieht Langer darin jedoch nicht: "Das Umsetzen einer Sicherheitsstrategie ist mit frei zusammengestellten Einzelprodukten nicht prinzipiell komplizierter als mit einer Komplettlösung." Der einzige Unterschied ist aus seiner Erfahrung, dass sich der Administrator bei einem Best-of-Breed-Ansatz mit den unterschiedlichen Verwaltungswerkzeugen der einzelnen Produkte auseinander setzen muss. Dazu braucht er ein solides Fachwissen.

Ein Aspekt, der selten beachtet wird, ist für Langer auch die Frage nach Updates und Patches: "Manche Komplettlösungen sind nicht zuverlässig in der Lage, Updates so auf die Systeme aufzuspielen, dass kein Neustart nötig ist." Für große Produktionssysteme aber sollten im Rahmen hoher Verfügbarkeit die Reboots so selten wie möglich notwendig sein. Auch müssen Updates genau definiert werden können. So sollten zum Beispiel neue Virensignaturen automatisch installiert, Patches jedoch nur nach einer ausgiebigen Evaluierung durch die IT-Abteilung auf Clients und Servern ausgerollt werden. Welches System wann welche Updates automatisch bekommen soll, muss also genau festgelegt werden können. Nötig sind entsprechende Administrationswerkzeuge.