Netzwerk-Plage Clients
Security-Konzepte – NAC sei ein gutes Instrument, um das Netz zu schützen, war sich der Roundtable einig, zu dem Network Computing und das Forum Konvergenz & Wireless eingeladen hatten. Anwender haben die Sicherheitsproblematik verstanden. Es fehlt aber an der Umsetzung in der Praxis.
Network-Access-Control ist eine noch relativ junge Technologie. Zudem haben die Hersteller unterschiedliche Konzepte und Namen dafür. Zwei Trends zeigten die Bedeutung des Themas an: die zunehmende Mobilität der Mitarbeiter und die wachsende Anzahl von Geräten mit IP-Interface. Dabei ging es in der Runde einmal darum, welche Bedeutung die Unternehmen selbst NAC beimessen. Auch die Frage nach der Umsetzung in den Betrieben, und wovon der Verbreitungsgrad abhängt, diskutierten die Teilnehmer. Die Vielzahl unterschiedlicher drahtloser Clients erhöht die Komplexität im Wireless-LAN. Für die Gesprächsrunde ging es um einen differenzierten Umgang mit den verschiedenen Endgerätetypen.
Die Bedrohungsszenerien können sehr unterschiedlich sein, und sie verändern sich. Auch das Bewusstsein für Sicherheit ist vorhanden, und vieles ist technisch machbar. Die nicht einfache Umsetzung und der Faktor Mensch nahmen einen breiten Raum im Gespräch ein. In diesem ging es um die Bedeutung der Zusammenarbeit der IT-Abteilungen mit anderen Bereichen. Die Komplexität der Sicherheit zwingt insbesondere kleine und mittelständische Unternehmen, sich Hilfe von außen zu holen. Wie ist es aber um die Ausbildung dieser Systemhäuser und Value-Added-Reseller bestellt ist, war für den Roundtable die Frage.
Wichtig, aber nicht genutzt
Network-Access-Control hat ihre Bedeutung. Mike Lange, Manager Business-Development & Product-Marketing bei D-Link Central-Europe, verdeutlich das an einem Beispiel aus seiner Praxis: In einem Frankfurter Investmenthaus seien Security-Officer, Policies und anderes vorhanden gewesen. »Das Unternehmen hat natürlich auch eine Vielzahl an freien Beratern.« Einer dieser Consultants habe sein Notebook mit einem freien Switch-Port verbunden, um auf das eigene Firmennetz zuzugreifen. Damit sei er aber auch mitten im LAN des Investmenthauses gewesen.
Wolfram Maag, Internetworking-Consultant bei Cisco, greift dies auf: »Wir machen uns sehr viele Gedanken darüber, wie wir eine Gast-Access-Lösung für das Wireless-LAN sicher gestalten können.« Aber die Implementierung bei Betrieben im lokalen Netz sei sehr schwach. Unternehmen haben aber eben keine Kontrolle, wie ein freier Mitarbeiter mit seinem Laptop umgehe, ob er eine Anti-Viren-Software einsetzt. Dr. Frank Nobbe, Director Enterprise-Business bei Fast Lane, verschärft dieses Bild noch: Ein Consultant sei noch vom Fach. »Außendienstmitarbeiter wie im Versicherungsgewerbe haben überhaupt kein Interesse an der IT.« Außerdem gibt Nobbe zu bedenken, dass sich die Arbeitsweise verändert habe. Vor fünf Jahren seien alle im Büro gesessen. »Heute habe ich meine VPN-Verbindung.« Es dürfe nicht sein, dass ein Unternehmen von der Umsicht des Consultants abhängt, dass dieser keine Virenschleuder sei.
Cisco sehe sich, so Maag, mit einer kompletten Ende-zu-Ende-Lösung für die Zugangskontrolle gut gerüstet. Endpunkte ließen sich mit dem Security-Agent absichern. Der andere Teil der Lösung sei der »Clean Access Server«. »Dieser teilt dem Anwender etwa in einem Qurantäne-VLAN mit, auf welcher Seite er die Updates findet.« Wichtig ist dabei für Maag, dass die Lösung sowohl mit der Switch- als auch der mobilen Infrastruktur funktioniert. Jörg Walz, Partner-Technology-Consultant bei Nortel, betont dagegen, dass sich Network-Access-Control nicht vom Endgerätesystem abhängig machen solle. »Dies erfordert dort die Installation eines Clients.«
Statt dessen erwartet Walz, dass das NAC-System die Geräte erkennt und klassifiziert. »Damit wird das Ganze erst handhabbar«. Nortel habe deswegen ihre »Security Network Access Controller« mit verschiedenen Technologien ausgerüstet, damit diese etwa zwischen einem Telefon und einem voll ausgerüsteten Laptop unterscheiden. Es gehe darum, den Netzwerkzugang zu vereinheitlichen. Was Maag auch für die Cisco-Lösung beansprucht. Walz bemängelt dabei aber, dass ein Unternehmen nur über einen kleinen Teil der Netzwerkelemente die Kontrolle hat. Dann gebe es aber noch beispielsweise Geräte von Partnerfirmen, PDAs oder Drucker. Auch Roland Burlaga, Produktmanager VoIP bei Lancom Systems, sieht, dass es gerade durch die Konvergenz immer wieder Geräte geben wird, die sich nicht in eine Ende-zu-Ende-Sicherheit einbinden lassen.
Andreas Seum, Vice-President und Leiter Strategie Konvergente Netze, Enterprise-Mobility und Sicherheit bei Siemens Enterprise Communications, hat die Erfahrung gemacht, dass gerade die Komplexität Anwender vom NAC-Einsatz abhält. Außerdem gebe es die Angst davor, wenn es einmal nicht funktioniert. Dies habe er vor kurzem in einem Gespräch mit einem größeren Kunden erlebt. Lange sieht: Das Thema Netzwerk-Zugangskontrolle ist bei vielen bereits in den Köpfen, seien es Händler, Systemhäuser oder Endkunden. »Viele Ausschreibungen fordern eine solche Lösung.« Angebote ohne dieses Feature kämen gar nicht zum Zuge. »Aber nur wenige setzen es ein.« Eine Hürde bei der Umsetzung ist für Seum etwa, dass ein Unternehmen erst einmal flächendeckend ein Betriebssystem installieren muss, das 802.1x unterstützt.
Die Begriffsverwirrung um das Thema Zugriffskontrolle bemängelt Axel Simon, Sales-Director D/A/CH bei Colubris. Network-Access-Control, Network-Admission-Control oder Unified-Access-Control, jeder Hersteller nenne das anders. Nur mit einer breiten Unterstützung von NAC könne ein Unternehmen wie Colubris aber mit dem Anwender über WLAN diskutieren. Allerdings gehe es erst einmal um eine Grundsicherheit im WLAN, bevor als nächster Schritt NAC komme.
Für Hans-Jürgen Jobst, Produktmanager IP-Lösungen bei Avaya, lautet die Schlussfolgerung auch, dass die Bedrohungsszenerien im LAN doch nicht so dramatisch seien. Es gebe sensible Bereiche wie Remote-Access oder WLAN, wo der Einsatz von IPsec oder 802.1x klar seien. »Technologisch gesehen ist das Thema 802.1x gelöst.« Aber auch Jobst sieht die Komplexität. Außerdem gebe es die Meinung: »Im Moment laufen alle Dienste unverschlüsselt. Warum soll ich dann eine Applikation extra verschlüsseln?« Maag ergänzt, dass im drahtgebundenen Bereich die Bereitschaft für 802.1x geringer sei, weil es als geschützt angesehen wird.
Komplex, aber nicht aussichtslos
In Wireless-LANs gibt es die unterschiedlichsten Arten von Clients. Das fängt beim Laptop an und hört beim Barcode-Scanner auf, und nicht alle unterstützen die gleichen Sicherheitsfunktionen. Simon hat die Erfahrung gemacht, dass Unternehmen dann teilweise das WLAN unverschlüsselt betreiben. Die Begründung lautet: »Das ist jetzt technisch nicht lösbar, weil ein Gerät das nicht unterstützt.« Auf der anderen Seite solle dann der Laptop mit passenden Sicherheitsfunktionen arbeiten. Für Simon ist das der falsche Ansatz. Wenig Sicherheit sei immer noch besser als gar keine, gibt Seum zu Bedenken.
Zunächst geht es für Jobst darum, die kritischen Komponenten für die mobilen Prozesse zu definieren. Das Unternehmen mache Wireless-LAN ja nicht wegen der Technologie, sondern um Geschäftsvorgänge zu unterstützen. »Ein Hotel muss sicher offener sein als ein Krankenhaus.« Diese Szenerie bestimme dann die Sicherheit und anderes wie den passenden Funkstandard. Auch für Walz ist hier der erste Schritt zu differenzieren, was wichtige Komponenten im WLAN sind. Kritisch seien beispielsweise Hand-Scanner im Lager, weil das die Produktion betreffe.
Außerdem müsse das WLAN nicht so monolithisch sein: »Heute ist die Wireless-LAN-Technologie in der Lage, Endgeräte und deren Authentisierungsmöglichkeiten zu erkennen.« Dies ermögliche, die Systeme einem bestimmten Sicherheitspfad zuzuordnen und einen begrenzten Zugang zu gewähren. Für Andreas Gabelin, Central-European-Channel-Manager bei Aruba Networks, ist dabei wichtig, abzusichern, dass ein schwacher Verschlüsselungspfad für Barcode-Scanner nicht von anderen Geräten als Einfallstor missbraucht werden kann. Dies gelte es, auch in Echtzeit zu überprüfen.
Auch Seum sieht, dass es nicht genügt, das Ganze einmal einzuschalten und zu schauen, dass es dann irgendwie läuft. Smart-Wireless-Controller sind für Burlaga hier eine Möglichkeit, diesen differenzierten Ansatz zu realisieren. Je nach Sicherheitslevel würden die Daten in ein VLAN kommen oder über Layer-3-Tunneling woanders hingeleitet. Simon fasst das Ganze ein bisschen weiter und fordert ein zentral administrierbares System. Dazu gehöre auch eine integrierte, umfassende Sicherheitslösung. Wegen der unterschiedlichen Clients müsse die WLAN-Infrastruktur auch NAC-Systeme verschiedener Hersteller unterstützen.
Auch für Nobbe ist eine Konsolidierung des Managements wichtig. Lange empfiehlt eine zentrale WLAN-Switching-Architektur. Auch der kommende Standard 802.11n bringt für ihn mehr Sicherheit im Sinne einer höheren Verfügbarkeit. Geräte könnten etwa einen automatischen Kanalwechsel durchführen oder alternativ im 5-GHz-Band funken. Eine Vereinheitlichung der Sicherheitsfunktionen ist für Maag wichtig, weil dies den Rollout vereinfache. Außerdem gehört für ihn die Beschränkung auf bestimmte Clients dazu.
Neue Fälle und unbearbeitete Akten
Simon findet, dass die Unternehmen sich teilweise wenig Gedanken über das eigentliche Sicherheitsrisiko machten. Er sieht den Grund aber im Bewusstsein der Unternehmen, und nicht in der Technologie. Schließlich würde niemand ein Cat-5-Kabel auf einen Parkplatz legen und dort das interne Netz zugänglich machen. Es sei aber für Betriebe kein Problem, diese Fläche mit einem unverschlüsselten WLAN auszuleuchten. Neue Bedrohungen sieht Seum durch den Trend zu Unified-Communications und Mobility auf die Unternehmen zukommen. Da würden etwa E-Mails mit Spielekonsolen über Wireless-LAN verschickt. Immer mehr Geräte bekämen einen IP-Anschluss und ließen sich somit durch Mitarbeiter ins Netz integrieren.
Was die VoIP-Telefonie anbelangt, ist Maag der Meinung, dass sich ein IP-Telefonie-System so sicher machen lasse, dass niemand einbrechen kann. Die Frage sei aber, wie die Unternehmen das umsetzen. »Hier ist das Know-how für IT-Administratoren ein absolut wichtiges Thema.« Sonst hätten sie nicht die Möglichkeit, ihre Anlagen zu sichern. Auch Nobbe sieht das Problem eher bei der Umsetzung als bei der technischen Machbarkeit. Simon mahnt, neben einem umfassenden Schutz die Anwenderzufriedenheit als Sicherheitsinstrument nicht zu vergessen.
Die Ausstattung von immer mehr Systemen mit IP-Anschluss muss nicht grundsätzlich schlecht sein. Aber es entstehen dadurch auch Gefahren. Seum nennt ein Beispiel: Er habe vor Kurzem einen Kunden getroffen, bei dem die Klimaanlage zu dessen Freude nun über IP zugänglich sei. Das Problem sei nur, so Seum, dass ein Eindringling nicht mehr unbedingt einen Denial-of-Service-Angriff auf die Server verüben muss. Statt dessen hacke er die Klimaanlage und fahre die Temperatur langsam hoch. Auch Walz sieht diesen Trend zur Hyper-Connectivity. Es gehe dann vor allem darum, die Geräte im Netzwerk, und nicht mehr die einzelnen Nutzer zu schützen. Denn es werde deutlich mehr Geräte als PCs beziehungsweise deren Anwender geben.
Die Konsequenz sei, die Security über die Firmengrenzen hinweg auf andere Geräte auszudehnen. Die Problematik gebe es schon heute im Home-Office, so Burlaga. Da seien der Vertriebsmann, der von Technik nicht so viel Ahnung habe, und sein Sohn. Dieser wolle mit seiner Playstation auch das Funknetz des Papas nutzen. Hier sei eine Trennung der Netze wichtig. Das gebe es doch schon dank VPN-Clients, so Maag. Dieses sei aber nicht immer möglich oder gewünscht, entgegnet Burlaga. Da solle es doch eine Box-Lösung sein, weil mehrere IP-Geräte sicher ins Firmennetz müssen. Als neue Gefahrenpunkte sieht Seum auch Anwendungen wie Google-Mail, die Anwender von Unternehmensrechnern aus nutzten. Oder es gehe darum, den Google-Kalender mit dem im Betrieb zu synchronisieren. Der Mehrwert von VoIP sei ja nicht, Sprache über IP zu übertragen. Es gehe um die Integration in Applikationen. In diese Richtung entständen die neuen Bedrohungen.
Sicherheit sei kein neues Thema, befindet Simon, auch nicht, wenn es um Konvergenz und Wireless geht. Mit der WLAN-Security müssten sich aber auch Unternehmen auseinandersetzen, die keine Funknetze betreiben. Es gebe immer wieder Mitarbeiter, die sich in einem Elektromarkt einen Access-Point holen. Jobst sieht beim Abhören von VoIP-Gesprächen keine allgemeine Gefahr im Unternehmen: »Da ist schon kriminelle Energie notwendig.« So gebe es keine Hubs mehr, sondern Switch-Infrastrukturen.
Ein anderer Punkt gegenüber der Intranet-Telefonie ist für ihn allerdings der Weg über das Internet: »Da stehen wir gerade am Anfang.« Angriffe von außen wie Spam-over-Internet-Telephony, kurz Spit, oder Denial-of-Service-Angriffe seien mit einem Rechner wesentlich einfacher als bei ISDN. Er erwartet, dass es hier wie bei Spam-Filtern ähnliche Instrumente geben wird. Was etwa neue Anwendungen wie Skype anbelangt, gebe es mittlerweile Filter auf Firewalls. Diese erkennen, welcher Anwender Skype macht. Es sei dann eine Frage der Policies, ob es erlaubt wird.
Simon sieht bei solchen Problemen NAC als wichtiges Instrument an. Ein Permission-Control-Layer prüfe den Rechner dann auf im Unternehmen nicht zugelassene Applikationen. Was die Firewalls anbelangt, sieht Burlaga allerdings das Problem, dass diese meist nur relativ dumme Regeln verwendeten. Denn es gebe kaum Lösungen, bei denen die Firewall die Verbindungen kennt und weiß, wer mit wem spricht. Diese Information helfe aber beim wichtigen Zusammenspiel zwischen Security und Quality-of-Service. Zum Schutz von Multimedia-Communications hält Walz analog zur DMZ eine »Secure Multimedia Zone« (SMZ) für wichtig. Dort sitze dann der Communications-Server, und die entsprechenden
Streams würden authentisiert.
Das Thema Industriespionage werde wahrscheinlich unterschätzt, so Lange. Dies bringt ihn zu dem Punkt, dass das größte Risiko vor dem Computer sitze. So seien etwa auf der CeBIT kostenlose USB-Sticks mit MP3-Playern verteilt worden. Anwender würden damit oft unbedarft umgehen und sie einfach installieren. Nobbe gibt zu bedenken, dass sich viele Firmen gar nicht bewusst seien, wie kritisch das gesprochene Wort eigentlich ist. Mittelständler dächten hier eher an Daten oder Blaupausen als Intellectuel-Property. Für Jobst ist es wichtig, dass das Unternehmen seine Schwachstellen kennt. Simon verweist auf Security-Audits als passendes Instrument.
Große, vor allem aber auch mittelständische Unternehmen haben oft dieses Know-how gar nicht mehr, um ihre TK-Anlagen in allen Facetten zu administrieren, so Walz. Hier seien dann Partner wie Systemhäuser gefragt. Für den Network-Access kämen aber oft Lösungen zum Einsatz, die einen kompletten Zugang ermöglichen, so Burlaga. Dies sei ein Problem: »Ein Kunde könnte auch anrufen und sagen, dass sein Drucker nicht gehe, weil der Dienstleister im Netzwerk ist.« Der Service-Provider müsse sich dann erklären. Wichtig sei daher, am Netzwerkrand etwa über VLANs Zugänge zu schaffen, so dass der Support nur Zugriff auf die vom Provider betreuten Systeme hat.
Ohne Zusammenarbeit geht es nicht
Sicherheit umfasse viele verschiedene Bereiche, so Walz. Deshalb gehe es ohne ein Zusammenspiel der Abteilungen nicht. Wegen des Budgets und der Umsetzung der Richtlinien brauche es auch die Geschäftsleitung. Bei aller Zusammenarbeit sollte die IT-Abteilung dabei »den Hut aufbehalten«, findet Burlaga. »Vielleicht ist es auch eine Chance, sich hier klar zu etablieren.« Stehe die Geschäftsleitung allerdings nicht dahinter, so Seum, könne die IT-Abteilung den Mitarbeitern so viel sagen, wie sie wolle.
Für Lange ist es wichtig, hier zwischen mittelständischen und großen Betrieben zu unterscheiden. Bei Letzteren betreibe auch die Geschäftsführung das Thema Security ernsthaft. Im Mittelstand sei das Ganze trotz etwa der Kreditvergaberichtlinien Basel II oder des »KonTraG« (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) ein rein technisches Thema, erklärt Lange. Für die Zukunft ändere sich das, weil Kreditinstitute die Geschäftsführer im Rahmen der Kreditvergabe auch nach IT-Security-Management fragen. Sei das Unternehmen schlecht geschützt, so Nobbe, bezahle es den mangelhaften Schutz als hohes Kreditrisiko mit viel Geld. Jobst greift das Thema Firmengröße noch einmal auf: Große Unternehmen haben einen Security-Beauftragten oder sogar ganze Teams. In mittelständischen Betrieben sei meistens nur noch ein Einzelner verantwortlich. Bei kleinen Firmen müsse der IT-Betreuer das Thema noch mitmachen. Ein Sicherheitsbewusstsein allein reicht dabei für Maag nicht aus: »Wir müssen die Security auch implementieren.« Hier fehle es aber oft an der Umsetzung.
»Sicherheit ist im Prinzip ein Prozess, und dieser muss gelebt werden«, betont Seum. Das fange bei jedem Mitarbeiter an und reiche bis zur Geschäftsführung. Es gehe darum, ein Sicherheitsbewusstsein zu entwickeln. Dies sei die Vorraussetzung für technische Lösungen. Letztlich ist es für Seum aber auch ein Budgetproblem: Wie viel sei das Unternehmen bereit zu investieren? Für Walz ist es dabei auch sehr wichtig, das Ganze auf Umsetzbarkeit in Zusammenarbeit mit den Fachabteilungen zu prüfen.
Ohne Sicherheitsbewusstsein überlasse der Mitarbeiter die Security der IT-Abteilung. Dann passiere es, dass er etwa sein Notebook am Wochenende mit nach Hause nimmt und sich dort etwas einfängt. Auch die Sichtweise eines Themas spielt für Gabelin eine Rolle. Sei das Thema Wireless beziehungsweise Mobility nur eine Erweiterung der bestehenden Infrastruktur, dann könnten bestehende Sicherheitsmaßnahmen für Perimetersicherheit ausreichen. Gehe Mobility aber in Richtung Unternehmenskommunikation, reichten traditionelle Konzepte nicht aus. »Denn ich muss zu jeder Zeit allen Anwendern überall die Sicherheitsmaßnahmen zur Verfügung stellen.«
Know-how unterschiedlich verteilt
Gerade kleine und mittelständische Unternehmen, aber auch größere, holen sich für die Implementierung und Betreuung von IT-Lösungen Hilfe ins Haus. Da stellt sich natürlich auch die Frage nach deren Know-how in Sachen Sicherheit. Jobst sieht, dass sich Systemhäuser mit einer immer umfangreicheren Palette an Technologien auseinandersetzen müssen. Dies beginne mit Routing, Firewalls oder WLANs. Das Thema Konvergenz führe dann zu Unified-Communications und Anwendungsintegration. Grund für die Anforderungen sei auch, dass Mittelständler alles aus einer Hand wollen, und nicht separate Spezialisten. Seum betont, dass sich die Dienstleister für VoIP oder Wireless-LAN auch mit Sicherheit auskennen müssten. Dass es mit deren Kenntnisstand sehr unterschiedlich aussieht, betont Nobbe. Die großen und mittleren Systemhäuser seien sehr gut ausgebildet. »Für die kleinen würde ich nicht die Hand dafür ins Feuer legen.« Auch Lange teilt diese Einschätzung und sieht Handlungsbedarf, günstige oder kostenlose Schulungen anzubieten. Kleinere Systemhäuser betreuten meist bei mittelständischen Unternehmen die komplette Netzwerk- und Sicherheitsinfrastruktur. Komme ein Geschäftsführer nach einem Cebit-Besuch plötzlich auf die Idee, ein WLAN-Telefon zu nutzen, schaffe das Probleme: Es fehle das Know-how. Die kleineren Systemhäuser könnten es sich nur selten leisten, Mitarbeiter für teure Schulungen freizustellen. Burlaga hält es für wichtig, auch weitere Anreize zu schaffen, wie mehr Marketinghilfen bei Teilnahme an Trainings. Zufriedene Endanwender kämen auch wieder den Herstellern zugute. Für Nobbe ist es ein weiteres Problem, dass diese Betriebe nicht auf Vorrat ausbildeten. Denn sie wüssten gar nicht, wann sie dieses Wissen benötigen.
Simon nennt aber auch noch eine ganz andere Möglichkeit der Verbesserung. Er moniert, dass die wenigsten Lösungen der Hersteller langfristig einsetzbar seien. Neue Technologien führten zu neuen Produkten. Dies setze die Systemhäuser unter Druck, weil sie durch geänderte Systeme immer wieder weiteres Know-how benötigten. Gabelin sieht hier einen Vorteil bei Wireless-LAN-Systemen, die alle Funktionen wie Security auf einer Plattform vereinigen. Dann sei es für das Systemhaus oder den Händler viel einfacher, diese zu implementieren. Das Spezial-Know-how von Anbietern in den verschiedenen Einsatzbereichen sei dann nicht notwendig. Für Walz ist es hier wichtig, dass Hersteller keine Punktlösung lieferten, sondern dass die Systeme aufeinander abgestimmt und Sicherheit schon mit dabei seien. Auch Maag pflichtet bei, dass die Arbeit mit nur einem Hersteller die Komplexität reduziert.
Fazit
Der Roundtable war sich einig, dass NAC im Zuge der Mobilisierung und IP-Fähigkeit verschiedenster Geräte sehr wichtig ist. Ansonsten hätten Anwender etwa mit Spielekonsolen oder Gäste wie Consultants freien Zugang zum Firmennetz. Außerdem interessieren sich beispielsweise Außendienstmitarbeiter als Nicht-IT-Fachleute wenig für den Schutz ihrer mobilen Systeme. Unternehmen sähen zwar die Notwendigkeit von NAC, kam es aus der Runde. Auf Grund der Komplexität setzten sie es aber nicht ein. Außerdem ist für den Roundtable NAC derzeit nicht transparent genug für den Anwender.
Bei der Client-Komplexität im WLAN gab es keine Patentrezepte, die Probleme in den Griff zu bekommen. Wichtig war etwa, die drahtlosen Endgeräte zu identifizieren und automatisch Sicherheitsmaßnahmen zuzuordnen. Weiter erleichtern WLAN-Controller für die Runde die Administration. Auch gab es hier die Forderung nach NAC.
Was die Bedrohungsszenerien für VoIP anbelangt, wurde dies von den Teilnehmern nicht so hoch gehängt: Es sei ein weiterer Dienst im Netz. Ein Hinweis auf die vielen unverschlüsselten E-Mails ergänze dies. Allerdings gab die Runde auch zu, dass das Thema Industriespionage unterschätzt werde. Technischer Schutz ist für die Teilnehmer gut zu bewerkstelligen. Viel größer sei das Risiko durch den Anwender. In diesem Zusammenhang wurde betont, dass Anwenderzufriedenheit ein wesentliches Sicherheitselement sei.
Um die Sicherheit im Unternehmen voranzubringen, müssten die IT-Abteilungen mit den anderen Bereichen und insbesondere der Geschäftsführung zusammenarbeiten, so die Teilnehmer. Das Bewusstsein für Security ist da. Was die Umsetzung anbelangt, gibt es ein großes Gefälle von großen zu kleinen sowie mittelständischen Unternehmen. Dies spiegelt sich bei den Systemhäusern wider. Während die großen gut ausgebildet seinen, lebten die kleineren mehr von Auftrag zu Auftrag.
wve@networkcomputing.de
