Jenseits von Gut und Böse

Die jährliche Security-Roadshow des IT-Marktforschers IDC gilt als Trendbarometer in Sachen IT-Sicherheit. Rund 150 IT-Verantwortliche aus österreichischen Unternehmen quer durch alle Branchen diskutierten mit Anbietern von IT-Sicherheitslösungen wie Qualys, Phion, Juniper Networks oder Xyzmo Software über Bedrohungen, Strategien und Lösungen. Ein Fazit der heurigen Veranstaltung: Das Thema hat bei IT-Verantwortlichen nach wie vor höchste Priorität. Dazu IDC-Österreich-Geschäftsführer Joachim Seidler: "Der Security Markt boomt weiterhin. Wir prognostizieren global ein jährliches Wachstum für Security Services von 18,9% für die nächsten 5 Jahre, in Westeuropa steigt der Geschäftsbereich der Managed Security Services jährlich um 21,3%" bis 2011."

Aber an der Frage, ob die wachsenden Sicherheitsbudgets auch richtig angelegt werden, scheiden sich die Geister. Macht mehr Security ein Unternehmen automatisch sicherer? Bjarne Kaiser Lauritzen, Europa-Vizepräsident des Netzwerk-Equipment-Anbieters Juniper, beantwortet die Frage im MONITOR-Gespräch schlichtweg mit "Nein". Ein Grundschutz mit Firewalls, Virenabwehr und Co sei zwar erforderlich, aber den hätten die meisten Firmen ohnehin. "Die größte Gefahr geht von leichtsinnigen Benutzern aus. Nach wie vor sind viele Firmen-PCs mit Passwörtern auf gelben Post-its vollgeklebt. Und nicht selten geben sich Hacker am Telefon als Support-Mitarbeiter aus, erfragen Passwörter und bekommen bereitwillig Auskunft."

Regeln gegen den Leichtsinn

Das althergebrachte Bild, dass das Böse von außen droht, wird so ad absurdum geführt. Und wo will man auch heutzutage die Grenze zwischen innen und außen ziehen? Dazu Lauritzen: "Die Netzwerke haben sich in den letzten zehn Jahren grundlegend verändert. Immer mehr Filialen und eine Flut mobiler Endgeräte sind eingebunden. Netzwerkperimeter können auf der ganzen Welt verteilt sein."

Die Lösung für dieses Problem sieht Lauritzen in einer feingranularen Security-Policy, die den Sicherheitsstatus von Benutzer, Standort und Endgerät berücksichtigt. Für die praktische Durchsetzung der Regeln hat Juniper die Unified Access Control (UAC)-Lösung im Portfolio. Sie setzt sich aus einer Vielzahl von Elementen zusammen. Der Infranet Controller dient als zentralisierter Policy Manager, während es sich beim UAC-Agent um eine dynamisch downloadbare Endpunkt-Software handelt. Hinzu kommt eine flexible Zusammenstellung von Policy-Enforcement-Punkten, zu denen Juniper Firewalls und/oder beliebige 802.1X-fähige Switches oder Wireless Access Points gehören. Der Kunde hat damit die Möglichkeit zur Realisierung von Zugangskontroll-Konzepten in Campus-, Datencenter- und Zweigstellenumgebungen mit leitungsgebundener oder drahtloser Vernetzung. Auch die Anwendungsebene wird mit einbezogen. "Unser System kontrolliert, welcher Benutzer was von welchem Endpunkt aus macht. Ich persönlich kann zum Beispiel im WLAN des Wiener Flughafens E-Mails lesen, aber nicht verschicken - entsprechend der Juniper-Policy."

Management der Ähnlichkeiten

Auch Phion-CEO Wieland Alge sieht das Verschwinden des Innen/Außen-Perimeters als die eigentlich neue Herausforderung in der Security: "Bei den Bedrohungsszenarien gibt es nichts komplett Neues. Das Bedrohungsbild ist aber ein vermischteres geworden. Wirklich neu für die Unternehmen ist die schiere Masse an Notebooks und mobilen Geräten. Darum liegt jetzt ein stärkerer Fokus auf dem Thema End Point Security. Das ist ein Paradigmenwechsel, denn dadurch wechseln auch die Verantwortlichkeiten. Der User als Kommunikationsteilnehmer ist quasi ‚trusted member'. ‚Innen' ist nicht mehr automatisch gut und außen nicht mehr automatisch ‚böse'."

Die technischen Möglichkeiten, Policies für User, Endpoint und Anwendungen unter einen Hut zu bringen, gibt es. "Bei 1000 Mitarbeitern ist nur wieder ein Management-Problem. In der Security geht es um das Management von ähnlichen Dingen. Im Laufe ihrer Nutzung werden selbst gleiche oder ähnliche Geräte und Systeme immer verschiedener. Man muss die Synergie in der Ähnlichkeit finden, eine Mischung zwischen individuellem Management und Profil." Generell ortet Alge ein reiferes Kaufverhalten der Kunden. "Der Business-Nutzen steht mehr im Vordergrund. Nicht "best of breed", sondern "best of need" ist jetzt die Devise. Unternehmen kaufen nicht mehr unreflektiert gleich jedes neue Feature. Sie analysieren ihre individuellen Sicherheitsanforderungen und besorgen sich dann das, was sie wirklich brauchen. Und die Analyse, was schützenswert ist, fällt bei unterschiedlichen Firmen und Branchen auch sehr unterschiedlich aus", so Alge.

Suche nach der Achilles-Ferse

Die Telekom Austria überlässt bei der Analyse ihres Schutzbedarfs nichts mehr dem Zufall. Auf der IDC-Konferenz stellte sie ein neues Kleinod ihres Sicherheitsmanagements vor: ein Vulnerability Management System. Für die automatisierten Vulnerability-Scans wird der QualysGuard, eine Plattform für Risk- und Compliance-Management eingesetzt. "Im Risikomanagement bewerten wir sowohl die Verletzlichkeit als auch den Grad der Schutzwürdigkeit von Systemen und Daten. Nicht jede Vulnerability muss sofort beseitigt werden", erklärte TA-Mann Krystof Müller. Beim Telekom-Marktführer ist das Vulnerability-Management in ein ganzes Konvolut an Sicherheitsframeworks eingebettet. In der Disziplin Standarderfüllung hat es die Telekom Austria schon zu wahrer Meisterschaft gebracht. Sie ist nicht nur nach dem Informationssicherheitsstandard ISO 27001 zertifiziert, sondern erfüllt auch die Anforderungen von Sarbanes Oxley (SOX) und dem IT-Governance-Standard COBIT.

Normen und Regulatorien sind eine Möglichkeit, sich dem Thema Sicherheit ganzheitlich zu nähern. Die Sinnhaftigkeit solcher Sicherheitsstandards ist allerdings nicht ganz unumstritten. Der streitbare Alemanne Alge sieht in ihnen sogar ein Sicherheitsrisiko (siehe Interview).

In jedem Fall tragen sie aber zur Bewusstseinsbildung bei, dass das Thema Sicherheit nicht nur eine IT-Angelegenheit ist, sondern eine Frage sicherer Prozesse von der Vorstandsetage bis hinunter zum Portier. Denn eines ist klar: Solange Passwörter auf Bildschirmen kleben oder Papiere mit sensiblen Informationen im Ausgabefach des Druckers liegen, wenn abends die Putzkolonne anrückt, hilft das teuerste Security-Equipment nichts.