? Die IT-Sicherheit ist ein äußerst komplexes Thema, ständig tauchen neue Schwachstellen, Angriffstechniken, Gefahren, Patches und Schutzmethoden auf. Selbst Experten können mit der rasanten Entwicklung nur mit Mühe Schritt halten. Wie sehen Sie die Situation der Unternehmen - haben Sie überhaupt noch die Möglichkeit, den Status Ihrer IT-Sicherheit zuverlässig selbst zu bewerten?

Frank Thias, F5 Networks: Durchaus. Beim Thema Antivirenschutz zum Beispiel über die Kontrolle, ob der Virenscanner tatsächlich läuft. Ich kann sehen, ob die Signaturen noch aktuell sind. Das ist immerhin schon ein ganz guter Ansatzpunkt zu einer Überprüfung: Habe ich eine Endpunkt-Sicherheit, wenn ja, welche? Je nach dem Ergebnis darf der Rechner dann auf Ressourcen zugreifen. Dabei muss ich mich nicht auf ein bestimmtes Produkt festlegen.

? Die Lösungen sind also letztlich austauschbar?

THIAS: Ja, sie sollten offen gestaltet sein, so dass ich sie austauschen kann.

? Wie realistisch ist diese Forderung? Funktioniert das tatsächlich?

Richard Mayr, eEye Digital Security: In der Theorie schon: Das einzelne Schutzsystem darf nicht die gesamte Sicherheitsarchitektur beeinflussen. Zumindest müssen Hersteller versuchen, negative Wechselwirkungen zu vermeiden. Einzellösungen dürfen nicht im Vordergrund stehen.

Hanno Viehweger, Extreme Networks: Bei dieser Diskussion über Produkte dürfen wir eines nicht vergessen: Security ist in erster Linie ein strategischer Ansatz. Auch Angreifer gehen bei ihrem Tun strategisch vor. Sie überlegen sich, wie IT-Systeme und Schutzlösungen funktionieren, um dann einen Weg zu finden, die Security zu unterlaufen. Das ist ein ständiger Prozess, durch den Sicherheit zur nicht enden wollenden Herausforderung wird.

? Welche Konsequenz hat das für Unternehmen?

VIEHWEGER: Wenn Sie in Sicherheit investieren, ist das für Sie in erster Linie eine Versicherung. Sie fragen sich natürlich, was Sie dafür bekommen, was sie im Schadensfall davon haben. Wegen der Unwägbarkeiten lässt sich eine Antwort darauf aber nur schwer geben. Das macht es wiederum schwer, einem Kunden ein System als sicher darzustellen und den erforderlichen Gegenwert für den Aufwand zu bekommen, den man nun mal betreiben muss, um Systeme abzusichern.

? Der Kunde will wissen, was er für sein Geld bekommt. Er will aber auch wissen, wovor er letztlich geschützt wird, welche negativen Ereignisse von ihm ferngehalten werden. Wie lässt sich diese Frage beantworten?

VIEHWEGER: Nur ganz schwer. Heute werden viele Techniken ineinander integriert - denken Sie nur an die Sprach- und Datenkommunikation, die früher voneinander getrennt waren -, was dann ganz neue Herausforderungen schafft, nicht zuletzt im Bereich Security.

Klaus Lenssen, Cisco Systems: Das kann ich nur unterstreichen. Der Kunde erwartet heute keine x-beliebige Technik an einem x-beliebigen Punkt im Netz, die er mühsam integrieren muss und mit viel Spezial-Know-how am Laufen hält. Vielmehr geht die Erwartung dahin, dass die Struktur Sicherheit beinhaltet und nicht mehr extra zugeschaltet werden muss. Sie sollte als Service bereitstehen und bei Bedarf neue Applikationen schützen können, ob das nun Video, Telefonie oder eine Anwendung aus dem Business-Bereich ist.

? Das entspräche dem, was die Analysten von Gartner unter dem Schlagwort "Security 3.0" fordern. Diese Diskussion wird schon seit Jahren geführt, getan hat sich jedoch nichts.

LENSSEN: Es ist relativ wenig passiert. Das liegt wohl auch daran, dass wir es letztlich mit ganz unterschiedlichen Herstellern zu tun haben, die sich jeweils auf Spezialaufgaben konzentrieren. Auf lange Sicht werden aber wohl nur die Anbieter überleben, die die gesamte Breite der Anwendungen abdecken können.

Arne Klein, Astaro: Wir sprechen in erster Linie kleine Unternehmen mit unseren Lösungen an. Dort erleben wir etwas, was man das Microsoft-Office-Syndrom nennen kann: Die Applikationen schwellen an, bekommen immer mehr Funktionen, von denen der Standardanwender aber höchstens fünf Prozent tatsächlich nutzt. Das bedeutet unter dem Security-Aspekt, dass potenzielle Sicherheitslücken vorhanden sind, die nicht da sein müssten.

? Was ist mit Security-Tools?

KLEIN: Da verhält es sich ähnlich: Sie sind zwar vorhanden, kommen aber nicht voll zum Einsatz. Wir beobachten daher einen starken Konsolidierungstrend. Insbesondere kleine Unternehmen gehen dazu über, Funktionen zusammenzulegen, und investieren in eine einfache Bedienung, die sie nicht überfordert.

? Die Überforderung und das Verlangen nach Einfachheit kommen ja auch von der Vielzahl an Bedrohungen.

KLEIN: Sicherheit darf keine Wissenschaft sein, sondern eben eher ein Service, der im Hintergrund läuft. Mit IT-Sicherheit will sich ja niemand beschäftigen.

? Aber gleichzeitig will jeder genug Sicherheit haben, um sich nicht in einer Situation wiederfinden zu müssen, wo es plötzlich ein echtes Problem gibt. Und es ist klar, dass alle es einfach haben wollen - in diesem Kontext ist der Vergleich zum Auto schon oft bemüht worden: Hier muss sich der Käufer auch nicht extra um Bremsen, Airbag oder Gurte bemühen, diese auch noch selbst einbauen und ineinander integrieren.

Oliver Gajek, Brainloop: Ich glaube nicht, dass die einzelnen Anwender mit der Sicherheit überfordert sind - das Thema ist ihnen vielmehr häufig egal. Im Unternehmen gibt es ja Leute, die dafür verantwortlich sind und ihren Kopf hinhalten müssen. Die sollen sich um die Security kümmern, dürfen aber bitteschön nicht die Geschäftsabläufe damit stören. Wenn man sich nun ansieht, wie sich die IT-Architekturen entwickeln, dann ist das nicht mehr so einfach umzusetzen: Es gibt kein "drinnen" und "draußen" mehr, die Unternehmensnetze sind inzwischen riesig und kaum noch abzuschotten. Das wird noch dadurch verstärkt, dass immer mehr Anwendungen die Unternehmensgrenzen überschreiten und das Internet nutzen.

LENSSEN: Ich habe meine Zweifel, ob dies so realisierbar ist. Alle Funktionen, die aus dem Applikationsbereich stammen - Firewalls waren ursprünglich auch nur Applikationen - wandern nach und nach ins Netz, weil sie dann besser skalieren. Dort lassen sie sich dann anderen Prozessen zur Verfügung stellen. Das passiert auch bei XML- oder Soap-Gateways. Man könnte deren Sicherheitsfunktion auch in die Anwendung selbst einbauen - das hieße aber unter Umständen, je nach Unternehmensgröße hunderte oder gar tausende Programme anzupassen. Das ist nicht realistisch. Die Alternative kann nur lauten, die Sicherheit als Service irgendwo bereitzustellen.

Peter Marte, Phion AG: Viele, insbesondere größere Unternehmen haben einen großen Bedarf in anderen Bereichen: Die meisten haben ja eine Security Policy, die von externen Beratern erarbeitet wurde. Sie stehen dann da mit sehr vielen Dokumenten und fragen sich, wie sie diese Vorgaben umsetzen können. Meist erfolgt dann ein großer Schritt runter zur Applikationsebene, um zu schauen, wie man dort für mehr Sicherheit sorgen kann. Dabei werden jedoch die Prozesse vernachlässigt. Die Unternehmen dürfen sich dann selbst überlegen, wie sie ihre ganzen Clients managen.

? Man könnte oft den Eindruck bekommen, dass die Mehrzahl genau nach dem von Ihnen zuletzt skizzierten Muster verfährt und auf Verdacht Sicherheitslösungen implementiert, die man zu brauchen glaubt, ohne es wirklich zu wissen.

MARTE: Was Banken und Großbetriebe betrifft, ist das sicher nicht so. Dort gibt es klare Auflagen, diese Unternehmen müssen klar nachweisen, dass Sicherheit durchgesetzt wird. Das ist sehr unbarmherzig, Alibi-Lösungen haben da keine Chance. Die Herausforderung besteht aber für diese Organisationen darin, die Anforderungen von außen und das Daily Business unter einen Hut zu bringen. Es ist jedoch möglich, umfassende Security technisch umzusetzen und stringent auf die Einhaltung der Sicherheitsregeln zu achten. Wir müssen als Hersteller jedoch versuchen, die Schwelle der Komplexität zu senken, so dass sich der Security-Verantwortliche auch traut, Security zu implementieren. Das heißt auch, ihm Tools an die Hand zu geben, die es ihm ermöglichen, die Gefahren zu verstehen und Maßnahmen zu ergreifen, ohne dass er in allen Bereichen Fachmann sein muss.

MAYR: Ich möchte in diesem Zusammenhang noch auf etwas anderes hinweisen: Es geht nicht nur darum, beim Kunden Geräte zu platzieren. Angesichts von gesetzlichen Vorgaben benötigt er zudem einen Nachweis, dass die realisierten Maßnahmen auch tatsächlich sinnvoll sind und der Notwendigkeit entsprechen. Das ist besonders für Entscheider auf C-Level immens wichtig. In diesem Bereich sehe ich daher große Wachstumschancen.

KLEIN: Ich glaube nicht, dass dem Endanwender das Thema Security egal ist. Jeder einfache Mitarbeiter schreit sofort auf, wenn die Quote der Werbe-Mails steigt. Ich glaube, dass nicht zuletzt deswegen das Thema Sicherheit auf die eine oder andere Art den Endanwender massiv beschäftigt, und darauf muss die Technik reagieren.

? Der Endanwender spielt aber noch eine ganz andere Rolle in diesem ganzen Szenario: Viele sehen ihn als die größte Bedrohung für die IT-Sicherheit im Unternehmen, wie eine Online-Umfrage des CIO-Magazins unlängst bestätigte. 66 Prozent gaben dabei an, dass nicht von Viren, Spyware oder Hackern die größte Gefahr ausgeht, sondern eben von den eigenen Mitarbeitern.

LENSSEN: Dem Anwender ist Sicherheit aber nicht egal. Wir haben vergangenes Jahr in einer Umfrage herausgefunden, dass über 40 Prozent der Mitarbeiter Online-Banking lieber in der Firma machen, weil sie die Umgebung dort für sicherer erachten.

? Security-Outsourcing beziehungsweise Security-Services sind ja kein neues Thema.

KLEIN: Was outgesourct wird, ist das reine Doing, das Implementieren von Sicherheitslösungen. Ich glaube, die Unternehmen haben eine ganz konkrete Vorstellung davon, welche Probleme sie haben und welchen Schutz sie benötigen. Dann holen sie sich halt jemanden, der das umsetzt.

? Sind Sie sich da ganz sicher?

KLEIN: Zumindest diejenigen, mit denen ich spreche. Die haben schon eine ganz bestimmte Lösung vor Augen. Aber es gibt sicher einige, die das nicht wissen.

? Wie können die Unternehmen das wissen? Studien zufolge betreiben nur etwa 50 Prozent überhaupt ein umfassendes Risiko-Management, zu dem auch ein Risk-Assessment, also das Analysieren der drohenden Gefahren, gehört. Nur dann kann ja auch eine valide Aussage getroffen werden, welche Schutzmaßnahmen sinnvoll sind und tatsächlich benötigt werden.

LENSSEN: Risiko-Management darf aber nicht mit IT-Sicherheit zusammengeworfen werden. Risiko-Management betrachtet das Ganze aus der Geschäftsperspektive. Da werden die finanziellen Risiken und die ganzen Geschäftsprozesse beleuchtet, die IT und deren Sicherheit ist dabei nur ein kleiner Bruchteil. Die IT hat da gar keine Chance, wenn sie argumentiert, dass bestimmte Maßnahmen nötig sind, die eine Million kosten, weil da zuerst gefragt wird, wofür.

? Eben. Wenn ich ein IT-Risiko-Management habe, dann weiß ich, wofür ich das brauche.

LENSSEN: Aber Risiko-Management fängt erst ganz oben an, das sind die Top 500, bei denen es überhaupt erst Einzug hält. An den kleinen Mittelständlern geht dieses Thema völlig vorbei.

Stefan Bichler, Infinigate: Es gibt Unternehmen, die haben ihre ganze IT-Security unter die Risk-Management-Abteilung gehängt. Die wissen ziemlich genau, was sie wollen. Die Frage ist nur, ob man denen nicht Tools an die Hand geben kann, um das Risk-Management zu automatisieren. Sicher, ich kann keine Policies erstellen lassen, wohl aber vorhandene mit den installierten Sicherheitsmaßnahmen abgleichen. Hier sind natürlich die Hersteller gefragt, weil dazu eine besondere Integration benötigt wird. Besser wäre es, wenn ich nicht nur die Security-Lösungen eines Herstellers, sondern alle im Unternehmen vorhandenen Sicherheitsprodukte verwalten kann. Da müssen wir hin.

VIEHWEGER: Das Interessante dabei ist vor allem die Aufklärung. Die gesamten Prozesse sind gar nicht so leicht zu durchschauen, besonders weil im Mittelstand etwa Schwerpunkte auf ganz anderen Ressourcen liegen. Klar, die Top-Unternehmen können sich das leisten. Ich stimme auch zu, dass die "Gesamtsicherheit" nicht nur mit der IT-Security steht und fällt. Es gibt ja auch innerhalb der IT-Security ganz unterschiedliche Disziplinen. Die Infrastruktur- und die Applikationsleute beispielsweise sind ganz verschiedene Ansprechpartner. Was nützt mir ein höherwertiges, sicheres Netz, wenn ich dem falschen Mann davon erzähle? Die einheitliche Sicht in den Unternehmen ist noch Wunschdenken.

? Auch Ihnen als Anbieter würde es helfen, wenn es nur einen Ansprechpartner geben würde. In größeren Unternehmen haben wir mit dem Chief Security Officer eine solche Position ja bereits.

VIEHWEGER: Aber nicht besonders häufig.

MARTE: Wir haben die Erfahrung gemacht, dass wir das Thema Security am einfachsten ansprechen können, wenn wir über die Connectivity kommen. Security allein ist schwer zu verkaufen, weil es keinen Vorteil für das Business bringt, höchstens etwas verhindert. Wenn Sie sich die Connectivity anschauen, sieht das anders aus. Für die Anbindung unterschiedlicher Standorte ist Geld vorhanden, die müssen einfach miteinander kommunizieren können. Die Security kommt dann quasi huckepack mit, plötzlich sind Projekte möglich, für die vorher kein Geld da war.

? Hat das damit zu tun, dass Security nicht in dem Maße als "enabling", also geschäftsfördernd gesehen wird wie andere Techniken?

MARTE: Das ist definitiv so.

MAYR: In Deutschland, insbesondere im Mittelstand, treffen wir den eben angesprochenen Chief Security Officer sehr selten an. Daher greifen gerade diese Unternehmen in ihrer Not sehr häufig zu Appliance-Lösungen. Ohne Appliances abwerten zu wollen, ist das so eine Art Notnagel: Ich kaufe ein paar Appliances, und dann wird es schon passen. Ob das nun sinnvoll ist oder nicht ist eine andere Frage.

Gerald Pernack, McAfee: Problematischer ist aber etwas anderes: Wenn die Unternehmen erst einmal Security implementiert haben, lehnen sie sich gleich zurück - die Lösungen laufen ja. Dabei wird es genau in diesem Moment interessant, denn nun müssen Hersteller und Partner zusehen, dass der Kunde ein einwandfreies Management bekommt, egal welche Gefahren gerade aktuell sind. Es darf nicht mit dem Implementieren einer Sicherheitslösung aufhören, sondern muss weitergehen. Wer hat denn eine Policy? Wo wird sie tatsächlich umgesetzt? Das Geschäft muss laufen, und für dieses Ziel wird Security häufig geopfert. Warum? Weil der Mitarbeiter nicht dafür trainiert ist.

Oliver Kunzmann, Norman Data: Wir dürfen nicht vergessen, wie Produkte auf dem Markt verkauft werden. In 90 Prozent aller Fälle läuft das über Systemhäuser in einer Größe von fünf bis 50 Mitarbeitern. Die haben ihr festes Portfolio und betreuen damit die kleinen Kunden. Dabei geht es nur darum, Security günstig, schnell und einfach zu implementieren. Die Appliances und Security-Lösungen, die es auf dem Markt gibt, müssen die Kunden auch bezahlen. Wenn man heute von einem kleinen Mittelständler 10 000 Euro für Sicherheit haben will, dann wird er das nicht gerne tun, sondern im Zweifelsfall zu einer Notlösung aus Client-Security und vielleicht einer zentralen Firewall greifen.

? Wo drückt den Anwender, die Unternehmen, der Schuh? Nehmen wir mal das Thema Mobilität, das für viele Firmen eine wichtige Rolle spielt. Dennoch tun viele Anwender nichts, um für mehr Sicherheit zu sorgen. Woran liegt das?

Christopher Coppess, RIM: Das Know-how der Anwender ist zum Teil erschreckend gering. Noch überraschender finde ich aber, dass Unternehmen, nachdem sie sich für den Einsatz eines Produkts entschieden haben, dessen Sicherheitsfunktionen gar nicht richtig nutzen. Beispiel Policies: Unsere Lösung bietet die Möglichkeit, Regeln für die Sicherheit der Geräte zu definieren, etwa Passwortpflicht.

? Gerade Sie als Anbieter standen vor einiger Zeit in der Kritik, als es um die Verschlüsselung der E-Mail-Kommunikation ging. Wie stehen Sie zu der Forderung, dass Anbieter Sicherheitsfunktionen direkt in ihre Produkte integrieren müssen?

COPPESS: Unsere Lösung unterstützt mehrere Verschlüsselungstechniken.

? …aber Ihr Unternehmen zählt ja nicht zu den Sicherheitsanbietern. Ihre Kunden reden ja mit Ihnen, weil sie Mobile E-Mail nutzen wollen…

COPPESS: …und erwarten von uns eine sichere Lösung. Wir sind in der glücklichen Lage, dass bei unserem Angebot sowohl Software als auch Hardware aus einer Hand kommen. Das macht es uns natürlich leichter, sie abzusichern. Unsere Kunden müssen auch nichts nachträglich dazukaufen, es ist alles Teil der Lösung.

PERNACK: Ich möchte auf eine andere Gefahr hinweisen, die im Zusammenhang mit der Vielzahl mobiler Geräte steht. Wie steht es um die Sensibilisierung der Mitarbeiter für die damit verbundenen Risiken? Und wie sorgen Unternehmen dafür, dass kritische Informationen nicht auf diesem Weg in falsche Hände geraten?

COPPESS: Wir hatten als einer der ersten Anbieter dafür gesorgt, dass Daten auf verloren gegangenen Geräten nicht missbraucht werden können, indem wir eine "Kill-Funktion" integrierten: Damit können Administratoren aus der Ferne das Gerät sperren, wenn es verloren geht, und veranlassen, dass die Daten gelöscht werden, wenn das Passwort mehrfach falsch eingegeben wird. In vielen Firmen fehlt aber einfach der Gesamtüberblick über die vorhandenen Geräte.

? Es sind aber die Unternehmen, die hier in der Pflicht sind, nicht die einzelnen Mitarbeiter. Es darf halt nicht zugelassen werden, dass einzelne Personen x-beliebige Geräte an ihren PC und damit ans Firmennetz hängen.

GAJEK: Das Problem betrifft aber nicht nur die mobilen Geräte. Wer will, kann wichtige Informationen von seinem Arbeitsplatz aus an einen Web-Mail-Account schicken, das ist noch viel einfacher. Aber das lässt sich alles technisch lösen.

LENSSEN: Mit einem richtigen Security-Policy-Management könnte man die Probleme mit mobilen Geräten in den Griff bekommen und auch das Versenden vertraulicher Dokumente verhindern. Nur eines sollte man auch bedenken: Dazu ist es notwendig, dass die Dateien auch entsprechend klassifiziert werden.

Meine Herren, wir bedanken uns für dieses Gespräch.