Eigentlich sei er ja zur Wachteljagd mit Dick Cheney eingeladen gewesen - mit diesen Worten eröffnete Bill Gates das Gipfeltreffen der Security-Branche im kalifornischen San José, das sich zum 15. Mal jährte. Aus Sicherheitsgründen habe er sich jedoch für die RSA-Konferenz entschieden, scherzte der Microsoft-Gründer in Anspielung auf das Missgeschick des US-Vizepräsidenten, der einen Freund auf der Jagd versehentlich mit einer Schrotladung niedergestreckt und schwer verletzt hatte.
Gates’ Sicherheitskompass
Eine sichere digitale Zukunft erfordert nach Ansicht von Bill Gates folgende Zutaten:
• "Trust Ecosystem": Es gelte, ein Ökosystem zu schaffen, das auf Vertrauen und Verantwortung zwischen Menschen und Unternehmen sowie verlässlichem Code basiere.
• "Engineering for Security": Anstatt im Nachhinein Schwachstellen auszubessern, sollten Sicherheitsaspekte in der Produktentwicklung schon in der Entwurfsphase berücksichtigt werden.
• Vereinfachung der IT-Sicherheit - für Nutzer, IT-Verantwortliche und Entwickler.
• Sichere Plattformbauweise: Isolationstechniken zum Schutz gegen Schadprogramme, mehrere Arten von Authentifizierung, Policy-basierender Zugriff sowie applikationsübergreifend einheitliche Kontrollen sollten schon in der Systemarchitektur integriert sein.
Hier lesen Sie …
• was Bill Gates als die Kernelemente einer sicheren digitalen Zukunft identifiziert hat;
• warum offene Standards für die Branche wichtig sind;
• wie das Vertrauen der E-Commerce-Kunden wiederhergestellt werden soll.
In bekannter Manier nutzte der Softwaremilliardär die Aufmerksamkeit des Auditoriums, um seine Visionen auszubreiten und bei dieser Gelegenheit gleich die Security-Highlights im Microsoft-Produktportfolio anzupreisen. "Es ist eine große Herausforderung, dafür zu sorgen, dass Sicherheit nicht zum Bremsklotz gerät", statuierte Gates. Nicht nur sichere, sondern auch leicht zu handhabende und für den Nutzer transparente Konzepte müssten her, damit die Möglichkeiten des Internets voll genutzt werden könnten. In diesem Kontext appellierte Gates an die Industrie, auf dem Weg in eine sichere digitale Zukunft vier Aspekten oberste Priorität einzuräumen (siehe Kasten "Gates’ Sicherheitskompass").
Misstrauen in die eigenen Netze
Gastgeber RSA Security präsentierte auf der Fachkonferenz die jüngste Ausgabe seines "Internet Confidence Index", der langfristig als Barometer für das Marktvertrauen in E-Commerce fungieren soll. Demnach halten zwar 86 Prozent der US-amerikanischen, britischen und französischen Unternehmen ihre Online-Geschäfte für sicher. Immerhin 67 Prozent der US-Firmen und 37 Prozent der europäischen Unternehmen befürchten jedoch, ihre Netze seien verwundbar. Angesichts der zunehmenden Zahl der Online-Transaktionen ist das riskant. Zudem gab nahezu die Hälfte der US-Verbraucher an, wenig Vertrauen zu haben, dass der Staat, Industrieverbände oder auch Hard- und Softwarehersteller die nötigen Maßnahmen zum Schutz ihrer persönlichen Daten treffen. Hier gelte es demnach aktiv zu werden, forderte John Worrall, Vice President Marketing bei RSA Security.
Offene Standards gefordert
In diesem Sinn appellierten auch Symantec-Chef John Thompson und Verisign-CEO Stratton Sclavos an die Industrie, weit verbreitete offene Standards zu unterstützen, um Web-Services-Föderation sowie sichere Online-Transaktionen voranzutreiben. Nach Ansicht von Sclavos darf der Kunde nicht dazu genötigt werden, sich auf jeder Site auf ein anderes Sicherheitsmodell einzustellen. Damit warb der CEO auch gleich für das eigene Produkt - den Service "Verisign Identity Protection" (VIP). Der auf Standards der Initiative for Open Authentification (OATH) basierende Dienst soll die Zwei-Faktor-Authentifizierung in den Massenmarkt hieven. Mit Ebay, Paypal und Yahoo hat Verisign bereits prominente Unterstützer. Die E-Commerce-Firmen zahlen für den Verisign-Service eine Abonnementgebühr, die sich an der Anzahl der User misst.
Symantec-Chef Thompson mahnte einen besseren Schutz der Kundendaten an. Er sprach sich in diesem Kontext für eine landesweite Rechtsprechung aus, die alle Bereiche der Datensicherheit abdecke, und forderte hohe Strafen für Übertretungen. "Ein effektives Gesetz gegen Datenschutzverstöße sollte beispielsweise die Benachrichtigung aller Nutzer einschließen", so Thompsons Vision. Er empfiehlt Unternehmen jedoch, nicht auf die gesetzliche "Anordnung" eines besseren Datenschutzes zu warten, sondern aktiv nach Möglichkeiten zu suchen, persönliche und vertrauliche Informationen zu schützen. Andernfalls würden Online-Kunden zu Anbietern abwandern, die ihre Sicherheit und Privatsphäre ernst nehmen - unter Umständen sogar in einem anderen Land mit diesbezüglich strengeren Vorschriften.
"Wenn die digitale Wirtschaft florieren soll, ist der Schutz sämtlicher damit verbundener Aspekte - von der Firmeninfrastruktur bis hin zu den erzeugten, übermittelten und gespeicherten Informationen sowie digitalen Interaktionen - obligatorisch", unterstrich Thompson. Im Gepäck hatte der Symantec-CEO den neuen "Network Access Control (NAC) Enforcer". Dabei handelt es sich um Geräte, die die Einhaltung von Regeln im Netz erzwingen sollen.
Symantec bringt NAC-Appliance
Die Appliances, die sich nach Angaben von Symantec mit der Client-Software des 2005 übernommenen NAC-Players Sygate integrieren lassen, sollen "Kill- Signale" an die Clients schicken können, die diese dazu zwingen, Malware wie Keystroke-Loggers zu eliminieren. Ende April wird das Produkt auf den Markt kommen.
Für einen ganzheitlichen Sicherheitsansatz auf Basis offener Standards sprach sich auch Cisco-CEO John Chambers aus: "Security muss auf Infrastrukturebene stattfinden", so der Manager. Dabei dürfe nicht zwischen drahtgebundenen und drahtlosen Netzzugängen unterschieden werden. In jedem Fall müsse ein einheitliches integriertes Schutzkonzept für den Remote-Zugriff vorhanden sein. Der Appell kommt nicht von ungefähr: Cisco verfolgt mit seinen auf der RSA präsentierten Produktneuheiten einen solchen Lösungsansatz beim Sicherheits-Management. So soll die neue "Security-Management"-Suite des Anbieters Konfiguration, Überwachung und Administration herstellerunabhängiger Security-Komponenten von einer zentralen Stelle aus leisten (www. computerwoche.de/go/1208021).
Herb Schneider, Vice President Research und Development bei Extreme Networks, konnte sich eine giftige Bemerkung in Richtung Konkurrenz nicht verkneifen: So warnte er Sicherheitsverantwortliche vor proprietären Zugangskontrollkonzepten wie Ciscos NAC, bei denen die Unterstützung offener Standards zu kurz komme. Dessen Ansatz stütze sich allein auf eigene Hard- und Software - von einer offenen Architektur könne demnach nicht die Rede sein.
Integration im Fokus
Anbieter von ID-Management-Lösungen haben sich das Thema Integration offenbar ebenfalls auf die Fahnen geschrieben: Sowohl CA als auch Hewlett-Packard kündigten in San José bessere Einbindungsmöglichkeiten für ihre jeweiligen Identity-Management-Suiten an, die es Unternehmen erleichtern sollen, sicheren Zugriff auf Applikationen zu gewährleisten und Compliance-Policies durchzusetzen.
Datenbankriese Oracle wiederum nutzte die Sicherheitskonferenz für die Präsentation seiner ersten Identity-Management-Suite: Das Paket "Oracle Identity Management 10g Release 3" - Resultat diverser Zukäufe im vergangenen Jahr - bündelt zwar nach wie vor separate, jedoch inzwischen miteinander verbundene Tools von "Oblix", "Octetstring", "Thor" und "Attestation".
Sun stellt Trusted Solaris ein
Zu den RSA-Neuigkeiten aus dem Hause Sun Microsystems zählte das bevorstehende Ende seines gehärteten Betriebssystems "Trusted Solaris" als separates Produkt. Wie die McNealy-Company in San José ankündigte, wird es stattdessen künftig "Solaris Trusted Extensions" als Erweiterung für das Standard-Betriebssystem geben. Diese laufen auch mit der Solaris-Ausführung für Suns Opteron-basierende x64-Server, während das bisherige Trusted-Solaris-Environment nur für Sparc-Server zu haben war.