Gartners IT-Security Summit: Viele Holzwege beim Thema Security. Im Bereich IT-Security gibt es gewisse Einstellungen und Verhaltensweisen, die sich über die Jahre herausgebildet haben. Es wäre jedoch ein Fehler, anzunehmen, dass diese Strukturen die allein möglichen sind und sich nicht ändern können, beziehungsweise nicht sogar ändern müssen, warnt das Marktforschungsunternehmen Gartner.

Gartners IT-Security Summit: Viele Holzwege beim Thema Security

Victor Wheatman, Managing VP Security bei Gartner, trat auf dem soeben zu Ende gegangenen IT-Security Summit des Marktforschungsunternehmens mit provokanten Thesen an die Öffentlichkeit. Wheatman versuchte auch eine Einordnung, welche Technologien Unternehmen in den kommenden Jahren tatsächlich benötigen und welche sich als Flops und Eintagsfliegen herausstellen werden. So behauptete der Analyst etwa, dass sich obwohl Sicherheit auch weiterhin ein wichtiger Punkt bleiben wird, der Anteil der Security-Ausgaben am IT-Budget von derzeit durchschnittlich neun auf rund sechs Prozent im Jahr 2006 fallen wird. Das hat unter Umständen damit zu tun, dass Unternehmen These zwei von Wheatman in ihr Handeln übernehmen: »Security muss ein Ziel haben«. Heute werben viele Hersteller gerade gegenüber Reseller noch damit, dass Security ein fortlaufender Prozess sei, eine Quelle ständig neuer Einnahmen. Falsch, meint Wheatman, Ziel sei es, die Frage »Sind wir heute sicherer als letztes Jahr« positiv zu beantworten. Vor diesem Hintergrund würden Budgets schärfer hinterfragt. Der Gartner-Manager hält auch die Annahme für falsch, dass Software immer irgendwie lückenhaft sei: Unternehmen sollten beim Kauf von Software auf Belege und Garantien für die Sicherheit bestehen.

Eine besondere Herausforderung für die Budgetverantwortlichen in Unternehmen stellt die alljährliche »Neuerfindung« von Sicherheitslücken und Schwachstellen dar: Investiert das Unternehmen zu früh, wird Geld verbrannt, investiert es zu spät, erhöht sich das Risiko durch die Schwachstelle Schaden zu erleiden. Wheatman sieht Risiko- und Bedrohungsanalysen daher als wichtiges Instrument um Kosten und Nutzen ins rechte Verhältnis zu setzen.

Gleichzeitig ordnete der Marktforscher derzeit viel diskutierte Technologien in eine Kurve ein, die den Produktlebenszyklus widerspiegelt: Von der »Spitze übertriebener Erwartungen« über das »Tal der Desillusion« hin zur »Hochfläche der Produktivität«. Übertriebene Erwartungen sieht Wheatman derzeit unter anderem an Spam-Filter, Deep Packet Inspection, SSL-VPNs und Pacth Management geknüpft. Sie würden erst in zwei bis fünf Jahren wirklich nutzbringende und effektive Tools werden, Biometrie sogar erst in zehn Jahren. In naher Zukunft versprächen Hardware Tokens, Smart Cards, Identity Management und Single, bzw so genanntes »Reduced-Sign-On« effektiv einsetzbar zu sein. Intrusion Detection Sstemen gibt Wheatman dagegen überhaupt keine Chance, diesen Status zu erreichen: Sie seien überholt, bevor es so weit wäre.