CW: Was ist eigentlich unter "Security-Management" zu verstehen?

SCHUBERTH: Security-Management umfasst idealerweise alle Aspekte und Produkte, die für die Absicherung der Unternehmenskommunikation wichtig sind. Der Begriff beschreibt also ein Framework, eine zentrale Management-Instanz, die dazu dient, die notwendigen Sicherheitslösungen implementieren, betreiben und überwachen zu können. Security-Management muss aber auch als kontinuierlicher Prozess verstanden werden, der das für ein Unternehmen festgelegte Maß an Sicherheit fortlaufend kontrolliert und steuert.

CW: Was umfasst das Thema und welche Bereiche berührt es?

SCHUBERTH: In der Funktion einer zentralen Schaltstelle für die Sicherheitsumgebung muss das Security-Management die gesamte Sicherheitsstrategie einer Organisation reflektieren. Es muss praktisch jede Sicherheitskomponente abdecken und berührt damit jeden Unternehmensbereich. Im Vordergrund stehen dabei der Betrieb und die Überwachung der vorhandenen Sicherheitsvorrichtungen. Dieses Monitoring muss um ein umfassendes Reporting ergänzt werden, so dass Trendanalysen möglich sind und eventuelle Sicherheitsrisiken schnell entdeckt und eliminiert werden können.

Für das Erstellen und Ausbringen einer Security Policy, die beispielsweise das Regelwerk einer Firewall definiert und von zentraler Stelle auf die Firewall-Komponenten installiert wird, müssen Installation und Pflege der dafür notwendigen Softwareprodukte in das Management-Konzept einbezogen werden.

Dabei ist die Kommunikationssicherheit nicht allein eine Frage der Datenverkehrskontrolle an einem bestimmten Prüfpunkt. Insbesondere der bislang noch etwas in sich gekehrte Mittelstand muss, getrieben von veränderten Wirtschafts- und Mitbewerbsbedingungen, seine Unternehmensgrenzen mehr und mehr nach außen öffnen. Der Informationsaustausch mit Partnern und Lieferanten ist ebenso erfolgskritisch wie der Fernzugriff der Vertriebsmitarbeiter auf die Geschäftsdaten und Kundeninformationen. Folglich müssen auch mobile Endgeräte mit Desktop-Firewalls und andere Client-Security sowie diverse Verschlüsselungslösungen in das Konzept eines übergreifenden Security-Managements einbezogen werden.

CW: Wann braucht ein Unternehmen Security-Management?

SCHUBERTH: Nur durch eine kontinuierliche Überwachung der eingesetzten Sicherheitslösungen und die Auswertung sämtlicher Sicherheitsvorfälle, der so genannten Security Events, lässt sich der Schutz der Unternehmensdaten vor unbefugtem Zugriff und Missbrauch gewährleisten. Denn nur so ist eine Organisation in der Lage, Gefahren zu erkennen und abzuwehren, noch bevor sie tatsächlichen Schaden anrichten. Besonders für kleinere und mittelständische Unternehmen, die sich oft allein durch den Betrieb von ein bis zwei Appliances an der Netzgrenze ausreichend abgesichert fühlen, ist es wichtig zu verstehen, dass diese Sicherheit nur gegeben sein kann, wenn die Security-Vorrichtungen konsequent gemanagt werden. Und dass Sicherheit vor allem keine Frage eines einzelnen Produkts, sondern eines Prozesses ist, der nur durch Einbeziehen einer adäquaten Management-Lösung Sinn hat.

CW: Welche Voraussetzungen müssen für ein umfassendes Security-Management gegeben sein?

SCHUBERTH: Im Vorfeld müssen die akuten Ziele sowie zukünftige Anforderungen an die Sicherheitsumgebung konzeptionell erfasst werden. Hierbei ist neben der Produktauswahl und den Integrations- oder Ablösemöglichkeiten in eventuell bestehenden Umgebungen auch zu beachten, dass eine umfassende Sicherheitsrichtlinie nebst Management unterschiedliche Abteilungen im Unternehmen involviert. In mittelständischen Betrieben sind idealerweise immer die Geschäftsleitung und das Controlling mit im Boot. Und natürlich ist außer an die IT-Verantwortlichen auch stets an die Belange der Belegschaft zu denken.

CW: Welche organisatorischen Aspekte sind zu berücksichtigen?

SCHUBERTH: Vor allem die erwähnte ausreichende Einbindung aller berührten Unternehmensbereiche spielt eine Rolle und ist gerade im Mittelstand oft der tragende Pfeiler einer erfolgreichen Sicherheits-Management-Strategie. Je nach Projektumfang sollte sich das Unternehmen eventuell Unterstützung von außen holen. Erfahrene Experten überschauen die nötigen Schritte von der Planung bis hin zur Implementierung und Inbetriebnahme oft besser und können das Unternehmen frühzeitig auf den zu erwartenden Aufwand, die Kosten und auch eventuelle Komplikationen hinweisen.

CW: Welche technischen Aspekte sind relevant?

SCHUBERTH: Umfassendes Security-Management muss unterschiedlichste Sicherheitsprodukte adressieren. Grundvoraussetzung für die Management-Lösung muss also sein, dass sie die gesamte Sicherheitsstrategie des Unternehmens abbilden kann und über die Flexibilität verfügt, jederzeit neue Produkte und Verwaltungsaufgaben abzudecken. In der Umsetzung bietet es sich also an, auf ein Lösungsportfolio aus einer Hand oder offene Schnittstellen zu setzen, die das schnelle und flexible Einbinden unterschiedlicher Produkte erlauben.

Da das Security-Management im Unternehmen eine zentrale, erfolgsrelevante Aufgabe übernimmt, sollte eine redundante Auslegung der Management-Lösung in Betracht gezogen werden. Während das Verteilen der Verwaltungsaufgaben auf mehrere Rechnersysteme die Ausfallsicherheit erhöht, spielt spätestens beim Betrieb großer Umgebungen die Mandantenfähigkeit eine zunehmend wichtige Rolle. Ganz unabhängig von der Betriebsgröße müssen die technischen Voraussetzungen immer mit einer intuitiv zu bedienenden, durchgängigen Benutzeroberfläche kombiniert werden, damit im Wirkbetrieb der eigentlichen Aufgabe nachgegangen werden kann.

CW: Wo liegen die größten Herausforderungen?

SCHUBERTH: Entscheidend ist die eindeutige Positionsbestimmung, bevor eine Richtung vorgegeben wird: Wo stehe ich gerade, wo will ich hin? Eine reaktive Vorgehensweise endet meist in einer (Produkt-)Sackgasse, die zu unzureichender Sicherheit führt und erheblichen Mehraufwand bedeutet. Eine nicht sorgfältig geplante Einführung eines umfassenden Sicherheits-Managements führt im schlimmsten Fall zum Gegenteil des gewünschten Ergebnisses.

CW: Woran lässt sich die Effektivität des eigenen Security-Managements messen?

SCHUBERTH: Es gibt sowohl objektive als auch subjektive Aspekte. Regelmäßige Reports, die die Leistungsfähigkeit der Umgebung dokumentieren und aufzeigen, welche Bedrohungen erkannt und abgewehrt wurden, gehören ebenso zu den messbaren Ergebnissen wie etwa eine niedrige Zahl an Problemmeldungen seitens der Benutzer. Weniger Störfälle erhöhen dabei zugleich die Akzeptanz von Sicherheitssystemen, ebenso wie die nahtlose, störungsfreie Implementierung neuer Systeme und Funktionen. Wird neben dem Reporting noch ein Echtzeit-analyse-Tool zum Einsatz gebracht, um das Sicherheits-Management nicht nur für die typischen Security-Produkte einzusetzen, sondern auch für die zu schützende Umgebung, ergibt sich ein vollständiges Bild der Gesamtsituation, das präzise Rückschlüsse auf die Effektivität zulässt.

CW: Lässt sich das Security-Management in fremde Hände geben?

SCHUBERTH: Grundsätzlich ist dies nicht nur möglich, sondern wird von Unternehmen aller Größenordnungen bereits so gelebt. Hierbei nehmen allerdings Themen wie Skalierbarkeit des Management-Systems sowie Hochverfügbarkeit und Mandantenfähigkeit einen noch höheren Stellenwert ein. Während beim Anwenderunternehmens lediglich die Sicherheitsprodukte zum Einsatz kommen, übernimmt der Dienstleister die Pflege und Wartung der Produkte und bietet Komplementärlösungen an – oft "on Demand", also ab dem Zeitpunkt, wo das Mehr an Sicherheit benötigt wird. Durch Konsolidierung der Informationen von unterschiedlichen Standorten und somit eine Überwachung mehrerer Systeme lassen sich neue Bedrohungen frühzeitig erkennen und proaktive Maßnahmen ergreifen. Dies kann als Dienstleistung für einen Einzelstandort ebenso interessant sein wie für ein weltweit operierendes Unternehmen. Basis hierfür ist natürlich immer ein Management-System, das sich den Bedürfnissen aller Beteiligten, also denen des Dienstleisters und des Unternehmens, anpassen lässt.