Standards gewinnen an Bedeutung

Dabei wollen alle beim unteren und mittleren Mittelstand mitmischen, ist doch hier das Potenzial noch weitgehend unausgeschöpft. Selbst Marktschwergewichte wie Cisco, die am liebsten die ganze IT-Sicherheitsarchitektur auf einer einzelnen Platine in einem Routerchassis unterbrächten, sind neuerdings in diesem Marktsegment aktiv. Mit der ASA 5505 hat Cisco gerade eine Appliance für Freiberufler und Kleinstfirmen herausgebracht und damit die entsprechende Reihe nach unten komplettiert. Klaus Lenssen, Senior Business Development Manager Security bei Cisco Deutschland, ordnet die Erweiterung des ASA-Sortiments in die Gesamtstrategie ein: »Der Trend zur Integration von Sicherheitsfunktionen in alle Netzwerkdevices ist ungebrochen und hilft den Kunden durch Standardisierung der Komponenten und ein zentrales Management und Monitoring Kosten zu sparen. Kunden können die Gerätegröße gemäß den Bandbreitenanforderungen auswählen.«

Für Toralv Dirro, Technical Manager bei McAfee, ist dagegen vor allem die zentrale Konsole das wesentliche Rationalisierungselement. Eine solche zentrale Konsole könne auch »problemlos um neue Technologien wie Network Access Control erweitert werden«, meint Dirro. Besonders interessant, gerade für kleinere Unternehmen, sei ein solcher zentraler Leitstand, wenn er über das Internet angeboten werde. Dieser müsse dann vom einzelnen Unternehmen weder selbst aufgesetzt noch betrieben werden, sondern könne kostengünstig an einen Dienstleister ausgelagert werden.

Das hat wohl auch Thomas Hruby, Geschäftsführer beim Distributor Sysob, im Blick, wenn er sagt: »Die Herausforderung besteht darin, ein zentrales Management und Monitoring zu betreiben und sich dabei gleichzeitig auf die wesentlichen Sicherheitsaspekte zu konzentrieren. Damit kann insbesondere für den Mittelstand ein hoher Sicherheits- Level bei moderatem Kostenaufwand erreicht werden«.

Für die Konzentration auf das Wesentliche plädiert auch Franz Wiedemann, Geschäftsführer beim Konnektivitäts-Spezialisten HOB: Es gelte immer abzuwägen, welche Sicherheit für wie lange benötigt wird. »Echte Hochsicherheitslösungen werden nie besonders preiswert sein, aber nicht in jeder Umgebung spielt es beispielsweise eine Rolle, ob verschlüsselte Daten in 20 Jahren angreifbar sind.« Im Übrigen stelle, so Wiedemann, Zentralisierung kein Allheilmittel dar, da gerade in Zeiten vernetzter Komponenten sowohl die »Client- als auch die Serversysteme vor vielfältigen Angriffen geschützt werden müssten«. Auch Daniel Liebisch, Technical Product Manager Central Europa bei Citrix, ist vorsichtig mit Versprechungen über Kosteneinsparungen: »IT-Sicherheit ist ein Investitionsbereich, der erst einmal Kosten verursacht und nicht einspart«, sagt Liebisch. Aber er hat die Erfahrung gemacht, dass »unsere Kunden bereit sind, erhebliche Investitionen in diesem Bereich zu tätigen, wenn die Lösungen ihre Erwartungen erfüllen«.

Damit sich die Erwartungen erfüllen können, halten es alle Experten für ratsam, eine entsprechende Sicherheitsanalyse auf der Basis anerkannter Standards für das Sicherheitsmanagement (vorzugsweise ISO 17799 oder IT-Grundschutz (BSI)) vorzunehmen. Einer in der Runde geäußerten Befürchtung, dass durch solche standardisierten Analysen das Unternehmen zusätzlich angreifbar werde, wurde unisono widersprochen, da »solche Management-Standards ja nur das Ziel zeigten, die jeweilige Implementierung aber jedem Unternehmen selbst überlassen bleibe«.