Compliance-Anforderungen erfüllen
Sicherheit auf hohem Niveau
Infrastrukturrisikomanagement umfasst mehr als nur Vulnerability Assessments. Schwachstellenanalyse bedeutet mehr als nur das Tracking von Sicherheitslücken auf technischer Ebene. Beider großer Rahmen sollte eine übergreifende Compliance- und IT-Strategie bilden. Diese duldet keinen Aufschub. Denn gesetzliche Auflagen wie die EU-Richtlinie zum Datenschutz oder Sarbanes-Oxley (SOX) setzen Führungskräfte unter Druck. Sie müssen sicherstellen, dass ihre IT-Systeme und Geschäftsprozesse den komplexen gesetzlichen Auflagen entsprechen.
"Ohne ein umfassendes Infrastrukturrisikomanagement wäre es uns unmöglich, den
Compliance-Anforderungen gerecht zu werden", sagt Andreas Wuchner, Head IT Security Architecture
and Strategy von Novartis. Und er muss es wissen. SOX und die Arzneimittelzulassungsbehörde der USA
– Food and Drug Administration (FDA) – setzen dem Pharmahersteller einen rechtlichen Rahmen, der
nur wenig Spielraum lässt. Wuchner hat durchgesetzt, womit sich andere Firmen noch abmühen.
Compliance- und IT-Strategie fehlt
Denn den meisten Unternehmen fehlt eine übergreifende Compliance- und IT-Strategie, die eine
Architektur sowohl auf technischer als auch auf prozessualer Ebene für die kommenden fünf bis zehn
Jahre vorgibt. Dabei weist das Gros der komplexen Bestimmungen durchaus Gemeinsamkeiten auf, die
sich nutzen lassen, um die Compliance-Last zu verringern. Dazu gilt es, die einzelnen Regulierungen
auf ihre Basisanforderungen zu reduzieren und auf diese Weise den größten gemeinsamen Nenner zu
ermitteln. Vier IT-Bereiche seien aber laut John Hagerty, Vice President bei ARM Research,
Bestandteil aller IT-relevanten Gesetze:
Sicherheit,
Prozessmanagement, sprich: Reglementierung des Informationsflusses,
Berichtswesen (Reporting) beziehungsweise Risikomanagement und
Dokumenten- oder Record-Management respektive Vorhaltung bestimmter Daten.
"Wer seine Denkweise bereits dahingehend ausgerichtet hat, tut sich mit Compliance weitaus
leichter", resümiert Hagerty für diesen Fall.
Fragliche Führungsposition
Die fehlende Akzeptanz eines ganzheitlichen Denkansatzes für Risikomanagement – das so genannte
Enterprise Risk Management – führte laut Andreas Herzig, Partner für die Enterprise Risk Services
von Deloitte und Touche in Deutschland, hingegen beim Einsatz von IT-Tools für Risikomanagement und
interne Kontrollen zur Entstehung von Insellösungen. "Deren Nutzen dürfte obendrein weit hinter den
Erwartungen zurückbleiben", so der IT-Fachmann.
Wie weit haben deutsche Firmen diesen Ansatz verstanden? Nach den Erfahrungen von AMR-Analyst
Hagerty verfügen Unternehmen auf dem alten Kontinent über ein ungleich tieferes Verständnis in
Sachen Risikomanagement als US-Firmen. Der Marktforscher scheint auf das in Deutschland seit 1998
geltende "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) zu referieren. Es
macht Manager haftbar, wenn sie keine Vorsorge oder Frühwarnung im Rahmen des unternehmensweiten
Risikomanagements betreiben. Jedoch: Die deutsche IT-Wirklichkeit sieht in Wahrheit anders aus.
Unkenntnis der Schwachstellen
Viele Unternehmen wissen nicht, wie das Sicherheitsniveau im Betrieb ist. Öfter als man glaubt,
sind Unternehmer nicht sicher, welche rechtlichen und regulativen Vorgaben für sie relevant sind
und wie Anforderungen daraus erfüllt werden können: "Ein sehr dünnes Seil bei Sicherheitsvorfällen
und nicht ordnungsgemäßen Abläufen im Unternehmen, an dem sich da so mancher Manager langhangelt",
mahnt Olaf Lindner, Senior Director Symantec Consulting Services.
Dies kann Symantec-Partner Qualys, Anbieter von Dienstleistungen rund um das Scanning von
Schwachstellen, nur bestätigen: "Viele Kunden wissen überhaupt nicht, was in ihrem Netzwerk los ist"
, so Phillipe Courtot, CEO des Unternehmens. Und anders herum: "Die meisten Verantwortlichen
wissen sehr gut, dass sie nichts über ihre Infrastruktur wissen.", ergänzt der Qualys-Chairman.
Nach den Zahlen des Computer Emergency Response Team (CERT) der Carnegie Mellon University
belief sich die Zahl der im Jahr 2002 entdeckten neuen Schwachstellen auf insgesamt 4129, im ersten
Halbjahr 2006 waren es schon 3997 – das entspricht mehr als 150 neuen Sicherheitslücken pro
Woche.
Bekannte Sicherheitslücken in Betriebssystemen und Anwendungen sind ein beliebtes Ziel von
Angreifern. Diese können nahezu beliebig zwischen Angriffstechniken wie Wurm, Virus oder Trojaner
wählen, um die Schwachstellen auszunutzen. Mit komfortablen Tools wird es immer leichter, gezielte
Attacken gegen einzelne Systeme, sogar gegen bestimmte Unternehmen oder Personen zu fahren. "Dabei
ist den Firmen viel zu wenig klar, dass hinter den einzelnen Servern und Clients Business-Prozesse
stecken – die meisten davon geschäftskritisch", meint Philippe Courtot, CEO und Chairman von
Qualys.
Management fordert Ressourcen
"Hätten dies die Unternehmen verstanden, würden sich nur noch wenige von ihnen auf jährlich oder
auch vierteljährlich durchgeführte Audits beschränken", so Lindner von Symantec. Diese könnten
nicht verhindern, dass allgemein bekannte Schwachstellen als Einfalltor für Angriffe genutzt
werden. Jeden Tag werden durchschnittlich mehr als 20 Schwachstellen neu bekannt, und damit
entstehen jeden Tag auch 20 neue potenzielle Einfalltore. "Eine solche jährliche oder
vierteljährliche Bewertung stellt lediglich eine Momentaufnahme der Sicherheitssituation zu einem
bestimmten Zeitpunkt dar und liefert keine Übersicht über die sich im Laufe der Zeit ständig und
rapide ändernde Sicherheitslage eines Unternehmens", warnt er vor fahrlässigem Umgang mit dem
Thema.
Für den, der seine Business-Prozesse und damit seine Compliance-Anforderungen sauber definiert
hat, lohnt der Einsatz von Tools zum Erkennen von Schwachstellen als Teil des Risikomanagements.
Der Qualys-Service etwa funktioniert einfach. "Die Kunden benötigen lediglich einen Webbrowser",
erklärt Qualys-CEO Courtot. Der Qualys-Guard-Dienst scannt bei Kunden alles, was eine IP-Adresse
besitzt. Dies sind mehr Geräte, als so mancher Anwender annimmt: "Viele IT-Verantwortliche kennen
einige Umgebungen recht gut, etwa die Clients oder Server. Aber es gibt im Netzwerk oft eine
‚Schatten-IT‘, also viele Komponenten, wie Drucker, Scanner oder Switches, die nie oder selten in
eine Sicherheitsanalyse einbezogen werden", ergänzt Courtot.
Der Qualys-Guard-Service gewichtet Schwachstellen nach dem Risiko für das Geschäft. Dazu greift
er auf Vorgaben von Initiativen wie dem "Common Vulnerability Scoring System" (CVSS) und "Open
Vulnerability and Assessment Language" (OVAL) zurück, die globale Standards für Risiken festlegen. "
Diese Standards stellen einen Meilenstein dar", urteilt Sicherheitsexperte Lindner, haben sich
doch erstmals alle namhaften Sicherheitsanbieter zu einer einheitlichen Risikobewertung von
Schwachstellen durchringen können. Damit laufen Kunden nicht mehr Gefahr, womöglich eine
Sicherheitslücke unterzubewerten, weil Anbieter x sie für unkritisch hält, oder bei Bekanntwerden
einer neuen Schwachstelle überzureagieren, weil Hersteller y sie für risikoträchtiger erachtet als
der Rest der Security-Dienstleister.
Lesen Sie mehr zum Thema
