Startseite > Datacenter & Verkabelung > Unternehmensfeste Security

Netzwerk-Sicherheit

Unternehmensfeste Security

13. August 2014, 13:12 Uhr | Uwe Scholz, Journalist aus Berlin

Es ist befremdlich: Einerseits lassen NSA, Spammer, Hacker und Datendiebe jeden verantwortungsvollen Sicherheitsbeauftragten tagtäglich die Hände über den Kopf zusammenschlagen. Andererseits entwickeln fleißige Ingenieure immer neue Produkte für immer neue Anwendungsbereiche, und Systemmanager trachten mit ihren Mitarbeitern danach, die größten Schäden zu begrenzen. Alles in allem führt das zu einem Marktvolumen irgendwo zwischen 70 und 100 Milliarden Dollar – wohlgemerkt nur die offiziellen Umsätze – und damit zu Wirtschaftswachstum und Beschäftigung. In der Praxis erweisen sich alle Bemühungen, den Schweregrad der Bedrohungen und die Zahl der Angriffe einzudämmen als rechte Sisyphusarbeit.

Kaum ist irgendwo ein Loch gestopft, tut sich irgendwo ein anderes auf. Das entspringt sowohl der Kreativität der Angreifer als auch den aufkommenden neuen Technologien, die neue Einfallstore öffnen, auf die aber schlechterdings nicht verzichtet werden kann, will man am Marktgeschehen teilhaben. Folgerichtig ist der Markt für Security-Produkte und Dienstleistungen kaum überschaubar und fragmentiert wie ein Flickenteppich. Kategorisierungen ergeben sich etwa im Hinblick auf die Anwendungsbereiche – von der Endpoint über die Netzwerksecurity bis hin zu Cloud-, Application- und Content-Security, wobei jeweils auch die mobile Komponente nicht vergessen werden darf.

Unüberschaubarer Markt

Zur Errichtung von Verteidigungslinien stehen eine Vielzahl von Produkten bereit: Firewall, Antivirus, Encryption, Identity- und Access-Management, Intrusion-Detection, Data-Loss-Prevention, Disaster-Recovery, Web-Filtering, Risk-, Compliance-, Vulnerability- und Unified-Threat-Management. In Verbindung mit den dazugehörigen Services von Consulting über Design und Integration bis hin zu Training und Ausbildung ergibt das ein erhebliches Marktvolumen mit Wachstumsraten bis nahezu zehn Prozent, je nach dem welches Segment gerade betrachtet wird.

Für den Security-Manager im Unternehmen oder der Behörde stehen die Chancen schlecht, sich ohne fachkundige Hilfe in diesem Dickicht zurechtzufinden. Zumal sich das Vertrauen auf die technische Kompetenz der Anbieter und die Integrität ihrer Services derzeit auf einem absteigenden Ast befindet. Die unternehmenskritischen Daten in einem Rechenzentrum von Google oder Microsoft abzuliefern, hat sich im vergangenen Jahr als problematisch erwiesen. Ebenso hat die Bereitschaft der potenziellen Kunden, Geschäfte online abzuwickeln oder mehr als die unbedingt nötigen Daten herauszugeben in Anbetracht der Kompromittierung ganzer Adressbestände erheblich gelitten.

Eines scheint zumindest klar: Ohne durchdachtes Konzept für die Etablierung eines adäquaten Sicherheitslevels kommt kein Unternehmen aus, das auch morgen noch Geschäfte in einer vernetzen Welt machen möchte.

Entsprechend bietet der Markt eine ganze Reihe von Ansätzen und Lösungen für einen ganzheitlichen und integrierten Angang der Sicherheitsproblematik – von Unified-Threat-Management-Systemen über die holistische IT-Sicherheitskonzeption bis zu vertrauenswürdigen Ecosystemen für die IT-Sicherheit.

Der Ansatz, IT-Security nicht als eine Ansammlung von Geräten und Systemen zu begreifen, die – an geeigneter Stelle im Netzwerk platziert – spezifischen Aufgaben nachgehen, ohne voneinander zu wissen und ohne zentrales Management administriert werden müssen, ist an sich nicht unbedingt neu. Ein Ergebnis aus dieser Erkenntnis ist die Entwicklung von Unfied-Thread-Management-Systemen, die eine ganze Reihe von Security-Funktionen in einer Appliance vereinigen, etwa Firewall, Network-Intrusion-Prevention, Gateway-Antivirus, Anti-Spam, VPN, Content-Filtering oder Data-Leak-Prevention, kombiniert mit einem integrierten Reporting und Single-Point-Adminstration.

Integrierte Lösungen

Der Markt für derartige Geräte zum Schutz des Perimeters gegen externe Angriffe prosperiert, nur sind diese Produkte eben auch nur ein – wenn auch wesentliches – Element der Sicherheitsstrategie.

Eine andere Komponente entsteht aus der Aufgabenstellung festzulegen, wer Zugang zu den Unternehmensressourcen erhält und auf welche Weise er sie nutzen darf.

Schon in den 90er Jahren des vergangenen Jahrhunderts gab es selbst aus deutscher Entwicklung bereits integrierte Systeme wie den Security-Administration-Manager SAM, der insbesondere für große Unternehmen eine integrierte Steuerung der Sicherheitsaufgaben versprach. Das Produkt ermöglichte eine rollenbasierte Zugangskontrolle, automatische Rollendefinition, bot einen Workflow für Anforderungen von Zugangsrechten, Passwort-Synchronisierung und Single-Sign-On.

Zudem umfasste das Konzept die Einbeziehung physikalischer Sicherungsmaßnahmen und Businessprozesse.

IAM-Systeme haben sich seither am Markt fest etabliert. Das gegenwärtige Marktvolumen wird auf rund 3,5 Milliarden Dollar geschätzt. Bedingt durch die fortschreitende „Cloudisierung“ der geschäftlichen Transaktionen kommt dem Identity- und Access-Management eine immer bedeutendere Rolle zu.

IAM regelt idealerweise, wer Zugang zu den benötigten Ressourcen zu welchem Zwecke und zu welcher Zeit erhält. Damit ist IAM im Gegensatz zu Threat-Management weniger technisch orientiert, sondern benötigt entsprechende Skills hinsichtlich der Geschäftsprozesse. Schließlich muss sichergestellt werden, dass entsprechende Zugangsrechte nicht nur erteilt, sondern auch konsequent wieder entzogen werden. Das erfordert ein geeignetes Prozessmodell.

Holistischer Ansatz

Es ist nur folgerichtig, bei der Entwicklung von Sicherheitskonzepten die physikalischen mit den Business-orientierten Sicherheitsfragen zu kombinieren. Dafür plädiert der holistische Ansatz für die IT-Security. Wie nicht anders zu erwarten, wird er häufig von entsprechenden Beratungsunternehmen und Systemintegratoren vertreten, und selbstverständlich gibt es eine ganze Reihe unterschiedlicher Interpretationen, was holistische IT-Security denn beinhaltet.

Klar ist, dass eine ganzheitliche Betrachtung der IT-Sicherheit nicht ohne entsprechende Expertise auskommt und selbstverständlich auch ein adäquates Investment erfordert. Die Aufgabe ist ebenso klar wie schwierig zu lösen. Es gilt, die grundlegenden Businessprozesse zu analysieren, die entsprechenden Informationsflüsse zu klassifizieren, die gesetzlichen Vorgaben und andere Richtlinien zu berücksichtigen und auf dieser Grundlage eine risikobasierte Entscheidung für geeignete Werkzeuge zu treffen, die auch noch finanzierbar sein müssen. Aber nur dieser Ansatz ermöglicht es, Unternehmenswerte, Bedrohungen und Schwachstellen in eine Beziehung zu setzen und auf dieser Basis sachgerechte
Entscheidungen zu treffen.

Ohne Zweifel werden Unternehmen und ihre Rechenzentren ohne die Implementierung eines stringenten Identity-Managements-Programms mit granularer Authentifizierung, starker Verschlüsselung für Storage und Datenübertragung, der Erkennung von Bedrohungen sowie eines ausgeprägten Monitorings den Sicherheitsanforderungen in einer Cloud-orientierten Geschäftsumgebung kaum nachkommen können. Aber damit nicht genug. Schließlich gilt es, nicht nur die eigenen Werte zu schützen und die Integrität der Kunden- und Mitarbeiterdaten zu garantieren, sondern auch den jeweiligen Vorschriften zu entsprechen. Dazu müssen auch unterschiedliche Erfahrungshintergründe von technischen, kaufmännischen und rechtlichen Experten überwunden werden, auch wenn sie letztendlich das gleiche Ziel verfolgen. Die BSI-Standards und IT-Grundschutzkataloge geben hier eine Orientierung, was bei der Entwicklung eines Security-Konzepts zu berücksichtigen ist und wie eine darauf aufbauende Zertifizierung hilft, zumindest im Ernstfall auf der sicheren Seite zu sein.