Sicherheits-Strategie ist immer noch Mangelware

EnterpriseSicherheit

Geld alleine schließt die Lücken im System nicht

CIOs aus den Global-2000-Unternehmen haben scheinbar alles getan, um die Sicherheitsbedürfnisse ihres Unternehmens zu erfüllen. Nun müssen sie sich Kritik gefallen lassen, weil sie beim Security-Einkauf oft zu unkoordiniert handeln. Das hat das Marktforschungsunternehmen Aberdeen bei der Befragung von 225 CIOs festgestellt.

So sei die Art und Weise, wie sie an die Security-Problematik herangingen, ganz und gar nicht auf die jeweiligen Anforderungen abgestimmt. CIOs würden sich zuweilen verhalten, als lösten sie die Sicherheitsprobleme anderer Firmen. “Sie kennen die verwundbaren Stellen der eigenen Firma nicht und investieren in die falschen Wege”, so Eric Hemmendinger, Studiendirektor für Sicherheitstechnik und Datenschutz bei Aberdeen.

Zwar lobte er, dass die IT-Direktoren derzeit vergleichsweise große Investitionen in die Sicherheits-Software tätigten und Integration bei ihnen groß geschrieben werde. Allerdings finde nur selten eine gründliche Bestandsaufnahme über die tatsächlichen Angriffsflächen und Bruchstellen in der IT statt. “Spätestens wenn die IT-Budgets wieder steigen, sollten die Unternehmen einen detaillierten Investitionsplan auf der Basis brauchbarer Informationen aufstellen”, so Hemmendinger.

Und dass sie wieder steigen werden, damit rechnen die IT-Manager noch im vierten Quartal dieses Jahres. Ganze 3,7 Prozent soll die Steigerung ausmachen, wenn man den Befragten glauben darf. Diese Dollars und Euros wollen aber gut angelegt sein, denn die Gefahrenquellen sind vielseitig.

Patrice Rapalus, Direktorin der US-Forschungseinrichtung Computer Security Institute, sprach gegenüber US-Fachmedien beispielsweise von einer “wahren Myriade” an Gefahren, die die webbasierten Geschäfte unsicher machten. Hier möchte sie den Fokus der IT-Leiter sehen. In einer eigenen Studie für das Jahr 2002 habe das Institute herausgefunden, dass 74 Prozent der Befragten inzwischen ihre Website als das häufigste Angriffsziel betrachten. Im Jahr davor waren es erst 60 Prozent. “Unternehmens-Homepages werden immer sensibler, weil immer mehr Geschäftsprozesse über sie abgewickelt werden”, so Rapalus.

Die gemeinsam mit dem FBI jährlich in den USA durchgeführte Umfrage stellt diese Tatsache offiziell so dar, dass die Unternehmen selbst den Schwarzen Peter erhalten. “Firmen öffnen ihre abgesicherten Grenzen immer mehr, sie öffnen sie Mitarbeitern, Geschäftspartnern und Kunden, um ihre Prozesse effizienter und ihre E-Commerce-Strategie erfolgreicher zu gestalten”, heißt es im Studientext.

Sind die E-Business Unternehmen also selbst schuld an Sicherheitslecks? Mitnichten! Patrick Wheeler, Produktmanager bei dem Security-Unternehmen Internet Security Systems (ISS), rät lediglich im Chor mit der Aberdeen Group dazu, beim Sicherheitsmanagement die “richtige Balance zu finden” – also nicht einer Mode zu folgen, sondern die eigenen Lecks zu kennen und die Produkte vor dem Kauf gut kennen zu lernen. Er gibt beispielsweise den Tipp, sich beim Einkaufsgespräch mit den Herstellern auch nach Produkten zu erkundigen, die nicht beworben werden. CIOs sollten seiner Ansicht nach mit einer firmeneigenen Risiken-Aufstellung in der Hand an den Verhandlungstisch gehen. Das sei die Grundvoraussetzung für den richtigen Einkauf von Security-Produkten.

Rapalus warnt ebenfalls vor übereilten Entscheidungen. Bevor ein Unternehmen seine Security-Strategie nur halbherzig ausarbeite, solle es diese Problematik mit allen Produkten und Entscheidungen lieber auslagern. “Für ein paar Tausend Dollar im Monat” könnten dabei schon passable Ergebnisse erzielt werden.

silicon meint: Sicherheit auslagern? Das klingt doch sehr nach Zukunftsmusik. Viel besser, eindeutig billiger und vielleicht auch wirksamer wäre es doch, wenn jedes Unternehmen endlich anfangen würde, eine für alle Mitarbeiter verbindliche Sicherheitspolitik aufzustellen und diese auch konsequent durchzusetzen. Viele Lecks würden sich so wie von Zauberhand schließen.