Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Noch einmal mit System

Sicherheitstrends 2007

Noch einmal mit System

12. Februar 2007, 23:00 Uhr | Dr. Johannes Wiele

Neuere Untersuchungen und Marktbeobachtungen lassen darauf schließen, dass IT-Sicherheit auch 2007 seine herausragende Bedeutung im Arbeitsgebiet IT behält. Ein paar Trends im Detail lassen sich ebenfalls bereits ablesen - für den Sicherheitsadministrator bedeuten sie allesamt einen Zuwachs an Arbeitsfeldern.

Im vergangenen Jahr schon absehbar war die Verbreitung immer ausgefeilterer, für gezielte
Spionage und Sabotage optimierter Malware. Beim Blick auf ihre Statistiken sind sich Anbieter wie
etwa Webroot und Finjan in ihren jüngsten Untersuchungen einig, dass beispielsweise Spyware in Form
von Rootkits alles andere als eine vorübergehende Plage war. Beim Virenschutz, dessen
Funktionsprinzipien man lange als ausgereift betrachten konnte, sind deshalb in stärkerem Maße
technische Neuentwicklungen gefragt. "Man wird die Erkennung der infizierenden Bestandteile
verbessern müssen", meint dazu Yuval Ben-Itzhak, CTO bei Finjan, "denn die Entfernung bereits
eingedrungener Malware dieser Art bleibt extrem schwierig".

Fiese Malware bleibt im Spiel

Ben-Itzhak weist auch darauf hin, wie professionell Virenprogrammierer inzwischen arbeiten: Für
die Entwicklung von Treibern auf Kernel-Ebene, wie sie für Rootkits notwendig sind, müssen
kommerzielle Unternehmen teure Spezialisten einstellen. Neue Techniken zur Implementierung von
dynamisch sich änderndem und damit schwer zu filterndem Code bewegen sich auf ähnlichem Niveau: "
Das Programmieren von Viren ist nun tatsächlich ein Wirtschaftszweig geworden, hier ist jetzt
wirklich Geld im Spiel". Einer Sicherheitsstudie der Fachzeitschrift KES zufolge, die auf der
Systems 2006 vorgestellt wurde, nehmen gewöhnliche Malware-Vorfälle mit geringem Schaden ab,
Virenprobleme dominieren aber bei den größten Schadensereignissen – das passt ins Bild.

Mobile Sicherheit macht Furore

Wie etwa die aktuelle Studie der Experton Group erkennen lässt, machen sich die Anwender
verstärkt um die Sicherheit mobiler Geräte Sorgen. Investitionen in diesem Sektor stehen bei vielen
Unternehmen weit oben auf der To-do-Liste für 2007. Eine Folge dieser Aufmerksamkeit ist, dass auch
im internen Netz nun Techniken ins Rampenlicht rücken, die in vielen Unternehmen schon längst
hätten implementiert werden müssen: Stärkere Authentifizierung und Netzwerksegmentierung als Folge
des Zwangs, mobile PCs im Remote-Access-Betrieb sicher an die Unternehmensressourcen zu koppeln,
und Verschlüsselung in jeder Form von der PC-Festplatte über Arbeitsgruppenordner bis hin zur
E-Mail. Verschlüsselung im Sektor "Archivierung" ist ebenfalls im Aufwind. Die KES nennt Verlust
und Diebstahl mobiler Systeme als die derzeit häufigste Ursache für Vertraulichkeitsbrüche.

Der Irrtum wird entdeckt

"Irrtum und Nachlässigkeit" belegten in der schon der wähnten KES-Studie den ersten Platz unter
den Gefahrenbereichen. Unfälle seien demnach bedeutsamer als Angriffe, folgern die Veranstalter der
Untersuchung und gehen dabei mit den meisten internationalen Studien von 2006 konform. Dies muss
Folgen für das Sicherheitsmanagement haben: "Weiche" Maßnahmen wie Schulungen und Vereinbarungen
werden mehr Bedeutung bekommen, und man wird sich genauer anschauen, warum es die Mitarbeiter
gerade mit der Sicherheit so schwer haben.

Awareness boomt

Die erste Folge der Neuentdeckung von Irrtum und Unwissen als Faktoren in der
Informationssicherheit dürfte die Erkenntnis sein, dass sich auf dieser Ebene auch etwas für die
Erhöhung des Security-Levels tun lässt. Der Dumm-User hat ausgedient und verwandelt sich im Bereich
IT-Sicherheit in einen schwierigen, aber wertvollen Partner des Administrators – zumindest kann man
nur hoffen, dass diese Sichtweise gegen Versuche der Hersteller von Überwachungs-Tools gewinnt, den
Anwender zum bloßen Risiko umzudeuten und den Kunden deshalb Big-Brother-Lösungen im großen Stil
aufzuschwatzen.

Awareness-Kampagnen und Trainings jedenfalls, etwa gegen Social Engineering, werden 2007 wohl
endlich ähnliche Wertschätzung genießen wie bisher nur die technischen Maßnahmen. Für
Sicherheitsverantwortliche bedeutet dies, dass sie sich auf ungewohntem Terrain weiterbilden und
mit gänzlich neuen Dienstleistern abgeben müssen.

Hersteller unter Druck

Verdächtig oft war jüngst wieder von der Herstellerhaftung für Sicherheitslücken die Rede. Auch
dies hat mit dem Faktor "Irrtum" zu tun, denn einen Grund muss es ja haben, wenn sonst clevere
Mitarbeiter bei simplen Sicherheitsmaßnahmen versagen. Das Reifen der Software beim Kunden und
schlechte Bedienbarkeit will auf Dauer kein Anwender mehr hinnehmen, der selbst unter dem Druck
steht, Banken und Gesetzgebern stets professionelles Sicherheitsmanagement nachweisen zu müssen.
Die schon erwähnten Bestrebungen, den Sicherheitsverletzungen durch Irrtümer von Mitarbeitern
entgegenzuwirken, lenken ebenfalls den Blick auf die Bedienbarkeit der Anwendungen und die
Verständlichkeit ihrer Sicherheits-Features. Die Bestrebungen von Microsoft und der
Industrieorganisation "Certification Authority/Browser Forum", die Qualität von Zertifikaten bei
SSL-Verbindungen durch "Extended-Validation"-Techniken im Browser deutlicher sichtbar zu machen,
weist hier ebenso die Richtung wie die Trends, das Patch-Management weiter zu professionalisieren
und Lösungen für die Abwehr von Malware-Risiken noch während der ersten Ausbruchswellen zu finden.
Generell wird laut Experton Group die Anwendungssicherheit immer wichtiger.

Neue Risiken durch Web 2.0

Der Trend zur Interaktivität im Web, der inzwischen auch die ernsthafte
Unternehmenskommunikation erfasst, wird seine eigenen Gefahren mit sich bringen. Auf Webseiten, die
so häufig und regelmäßig benutzt werden wie die Web-2.0-Portale, lohnt sich das Einschleusen von
Malware, und das Zunehmen "aktiver" Inhalte spielt den Malware-Produzenten in die Hände. In diesem
Bereich sind mehr als jemals zuvor die Anbieter gefragt, meint Yuval Ben-Itzhak. LANline wird sich
mit Sicherheitsaspekten der Web-2.0-Thematik in Kürze gesondert auseinandersetzen.

Sicher steuern wie ein Kapitän

"Professionalisierung" und "Systematisierung" der IT-Sicherheit waren schon 2006 wichtige Ziele
der Security-Verantwortlichen in den Unternehmen. 2007 wird sich dieser Trend fortsetzen, allein
schon auf Grund des Drucks durch verschiedenste Anforderungen, die IT rechtskonform zu Betreiben
oder den Regeln von Finanz- und Wirtschaftsorganisationen anzupassen. Allein schon den
einschlägigen Publikationen lässt sich entnehmen, dass man bestrebt ist, das Modell der Corporate
Governance, der souveränen Steuerung einer Organisation gemäß ihrer Ziele, in Form der
IT-Governance auch auf den Sektor der Informationstechnik anzuwenden. Vorstände und
Geschäftsführung sollen dabei als "Kapitäne auf der Brücke" die Richtung vorgeben, ohne sich mit
Details zu befassen – für die IT-Security-Spezialisten wird dies intensiveres Reporting ebenso
bedeuten wie eine zunehmend nüchterne Bewertung ihrer Maßnahmen der Risiken unter wirtschaftlichen
Gesichtspunkten.

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
Dahua Technology GmbH

Dahua Technology GmbH
elektrofachkraft.de

elektrofachkraft.de
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
easybell GmbH

easybell GmbH
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
nexspace data centers GmbH

nexspace data centers GmbH