Organisierte Sicherheit

Kein Produkt kann alles, aber viele Produkte können mittlerweile eine ganze Menge. Auf Benennungen sollte weniger geachtet werden als auf Inhalte. Letztlich spielt sich Sicherheitsmanagement in dem Kraftfeld von Authentisierung und Autorisierung, Netzwerksteuerung und Schwachstellenanalyse ab. Wahrscheinlich wird man in diesem Operationsfeld die Software und Hardware verschiedener Hersteller einsetzen müssen, wenn man seine Geschäftsprozesse angriffsresistent und revisionssicher machen will. Ein Management-Produkt für das genannte Kraftfeld muss diese heterogenen Elemente zusammenführen und möglichst auch in übergeordnete Systemmanagement-Werkzeuge einbinden. Was es auch immer dabei an automatischen Hilfsmitteln gibt und geben wird: Basis eines jeden Sicherheitsmanagements muss eine organisatorische Anstrengung in den Unternehmen sein. Nötig sind zentrale Vorschriften, wie an den verschiedenen Standorten Protokolldaten einheitlich erfasst und gespeichert werden. Darüber hinaus wird eine Übersicht über die vorhandenen Systeme und deren Gewichtung innerhalb der Gesamt-IT beziehungsweise der Geschäftsprozesse benötigt. Erst wenn diese Hausaufgaben erledigt sind, kann ein technisches Managementsystem überhaupt greifen. In einem solchen gut organisierten Sicherheitskontext sind dann vielleicht auch Systeme wie »Security Lighthouse« des Bremer Anbieters Ampeg einsetzbar, die datenmäßig weit weniger tief bohren, sondern sich damit begnügen, im Rahmen der unternehmensweiten Sicherheitsrichtlinien relativ oberflächennah Soll- und Istwerte zu vergleichen und dadurch ein bestimmtes Sicherheitsniveau zu garantieren. Ampeg-Geschäftsführer Peter Graf spricht denn auch von »Security Level Management«, mit dem vor allem der Führungsebene verständliche Zahlen zum IT-Sicherheitsstand des Unternehmens geliefert werden könnten. SIEM und Outsourcing Sicherheitsmanagement ist nicht zuletzt dann unabdingbar, wenn beabsichtigt wird, einige oder alle Sicherheitsfunktionen an einen externen Dienstleister zu vergeben. »Das Management sollte so konzipiert sein, dass es sich den Vorgaben von Auftraggeber und Auftragnehmer anpassen kann und selber nur wenige Vorgaben macht«, formuliert Wieland Alge, Geschäftsführer des Innsbrucker Netzwerksteuerungspezialisten Phion die Anforderungen und fügt süffisant hinzu: »Viele Hersteller von Sicherheitsprodukten, die nicht von Anfang an Sicherheit und Management miteinander eng verknüpft haben, lassen die Dienstleister mit rudimentären Systemen allein, sodass dieser das Sicherheitsmanagement mit hohem Aufwand erst einmal entsprechend erweitern muss, damit er den Auftrag überhaupt zufriedenstellend ausführen kann.« Übrigens: auch das SIEM-System allein lässt sich natürlich an einen externen Spezialisten vergeben. Freilich sollte man bei jeder Auslagerung so viel Wissen im Hause behalten, dass man mit den externen Spezialisten auf Augenhöhe sprechen kann.