Datensicherheit

Kontrolle über Corporate Networks ist illusorisch

Christoph Witte arbeitet als Publizist, Sprecher und Berater. 2009 gründete er mit Wittcomm eine Agentur für IT /Publishing/Kommunikation. Dort bündelt er seine Aktivitäten als Autor, Blogger, Sprecher, PR- und Kommunikationsberater. Witte hat zwei Bücher zu strategischen IT-Themen veröffentlicht und schreibt regelmäßig Beiträge für die IT- und Wirtschaftspresse. Davor arbeitete er als Chefredakteur und Herausgeber für die Computerwoche. Außerdem ist Witte Mitbegründer des CIO Magazins, als dessen Herausgeber er bis 2006 ebenfalls fungierte.
Ohne eine globale Organisation, die Security-Anforderungen formuliert, und Dienstleister, die sie umsetzen, ist Netzsicherheit kaum noch zu erreichen.

Je sicherer etwas gemacht werden soll, desto unsicherer scheint es zu werden. Das klingt paradox, ist aber leider wahr. Um einen Rechner oder ein Netzwerk gegen alle Eventualitäten abzusichern, also gegen Angriffe von innen und von außen, gegen unvorhergesehene Downtimes und gegen Katastrophen, müssten Unternehmen unendlich viele Details bedenken und damit mehr Geld und Arbeitszeit aufwenden, als sich die meisten leisten können. Jeder CIO weiß das und muss damit leben. Weil er glaubt, die Risiken in "seinen" Rechnern und "seinem" Netzwerk zu kennen, bringt ihn dieses Restrisiko nicht um den Schlaf. Schließlich kann er ja bestimmen, wer Zugriff auf sein Netzwerk bekommt und wer nicht beziehungsweise wer wann welche Operationen ausführt. Diese fast lückenlose Kontrolle lässt die Risiken überschaubar erscheinen.

Das ändert sich allerdings, wenn niemand mehr das Unternehmensnetz kontrollieren kann, weil zu viele Partner, Lieferanten und Kunden sich darin bewegen. Diese Netzgäste betreiben in der Regel wieder Netze, die von eigenen Mitarbeitern, aber eben auch vielen Gästen bevölkert werden, analysieren die Auguren von Forrester Research. Zudem bieten die Firmennetze verschiedene Zugänge ins öffentliche Internet. Damit geht die Kontrolle über das eigene Coporate Network verloren.

Ohne Kontrolle aber geraten viele Sicherheitsmaßnahmen, die der CIO für "sein" Netzwerk eingerichtet hat, zur Farce. In ihrer Wirksamkeit vergleichbar mit den Beuteln, in die man Flüssigkeiten beim Flug-Check-in verfrachten muss. Der Kontrollverlust könnte zu folgende Konsequenzen führen: Der CIO legt die Netzsicherheit in die Hände eines dedizierten Providers, der über entsprechende Mittel und Know-how verfügt. Die Sicherheitsanforderungen, die solche Anbieter zu erfüllen hätten, müssten allerdings von einem internationalen Nutzerverband - ähnlich der Icann im Web - formuliert und durchgesetzt werden. Damit gäbe es klare, verbindliche Anforderungen und Dienstleister, die ihre Einhaltung gewährleisten könnten.

Weitere Meinungsbeiträge und Analysen finden Sie im Blog des Autors unter www.wittes-welt.eu.