RSA 2011: Security hat weiterhin oberste Priorität

Es war die zwanzigste RSA-Konferenz. Und eigentlich sollte man glauben, dass die IT-Welt inzwischen so sicher geworden ist, dass nicht mehr Tausende an IT-Experten für teures Geld nach San Francisco pilgern müssen, um ihre IT-Infrastruktur besser zu schützen.

Doch das Gegenteil ist der Fall: “Die Risiken werden immer größer und nicht kleiner”, sagt Sean Brady, RSAs Experte für globale Probleme und Risiko-Analysen. Hierzu verweist er auf die jüngste Untersuchung von Frost & Sullivan, wonach vor allem die neuen Technologien eine bislang unbekannte Art von Bedrohung darstellen. “Mobile Geräte, Social Media und Cloud Computing sind die neuen Großbaustellen, auf denen in puncto Sicherheit noch viel Arbeit anfallen wird”, prophezeit Brady.

Das Neue an diesen Bedrohungen sei, dass sie nicht mehr nur mit technischen Mitteln bekämpft werden können. “Wir müssen auf allen User-Ebenen das Wissen um die modernen Cyberangriffe und deren Abwehrmöglichkeiten verbessern. Hierzu sind umfangreiche Ausbildungs- und Aufklärungskampagnen nötig”, lautet Bradys Forderung. Als Beispiel verweist er auf den Bereich Data Loss Prevention (DLP): “Idealer Weise verhindert DLP, dass sensitive Daten illegal kopiert oder per E-Mail verschickt werden, doch tatsächlich, lässt sich mit dieser und ähnlichen Technologien nur ein Bruchteil solcher Aktionen automatisch entdecken und blockieren.” Notwendig sei ein System bei dem Vertrauen und Kontrolle ein ausgewogenes Verhältnis darstellen, sodass frustrierte Administratoren nicht mehr ganze Städte blockieren können, so wie es in San Francisco bereits passiert ist.

Vortrag auf der RSA Conference. Quelle: RSA
Vortrag auf der RSA Conference. Quelle: RSA

Was die Unsicherheit von mobilen Anwendungen angeht, so wies Juniper Networks in einer Präsentation besonders eindringlich auf die neuen Sicherheitslöcher hin. “98 Prozent aller Smartphones haben überhaupt keine Security-Software und 80 Prozent der User benutzen ihr Smartphone auch für den Zugang zum Firmennetz, ohne dass es ihnen erlaubt ist”, sagte Junipers Vice President Mark Bauhaus. Zwar räumte er ein, dass die bisherigen Attacken auf Smartphones harmlos seien im Vergleich zu dem, was in der PC-Welt stattfindet – aber, “die Bedrohung ist real, sie steigt rasant an und wird mit zunehmender Smartphone-Nutzung für Business-Apps weitere Kriminelle anlocken”, lautet seine Warnung an die CIOs.

Auch Social Media kommt bei den Sicherheitsexperten nicht gut weg. Abhilash Sonwane, Researcher bei Cyberoam, stellte die Ergebnisse einer selbst durchgeführten Untersuchung vor. So habe man ein wenig Datamining in den Social-Media-Plattformen betrieben. Betrachtet wurden dabei über 20 Unternehmen, deren Mitarbeiter in Social Media besonders engagiert seien. “Die Ergebnisse sind amüsant und gelichzeitig furchterregend”, sagte er über das, was sein Unternehmen dabei entdeckt habe.

So konnte man die Organigramme, die Stimmung in einzelnen Abteilungen, Fotos von unveröffentlichten Produkten und anderes Geistiges Eigentum aufspüren. In einem besonders krassen Fall beklagten sich viele Mitarbeiter einer Handelskette andauernd über die miserablen finanziellen Verhältnisse und untermauerten das mit eindrucksvollen Beispielen – zwei Monate später stellte das Unternehmen Vergleichsantrag.

Einen besonders breiten Raum nahm das Thema Cloud Computing ein. Art Coviello, langjähriger Chef von RSA und seit neuestem “nur noch” Senior Vice Präsident bei EMC, widmete den größten Teil seiner Keynote dem Bereich Sicherheit in der Cloud. Seiner Ansicht nach ist Cloud Computing heute sogar sicherer als die bisherigen IT-Schutzmaßnahmen. Der Grund sei, dass in einer virtualisierten IT-Umgebung die Sicherheitsvorgaben fester Bestandteil der Anwendungen und Informationen sind und somit enger miteinander verzahnt sind, als das sonst der Fall ist.

Eran Feigenbaum, Security-Verantwortlicher für die Google-Apps ging sogar noch einen Schritt weiter: “Cloud-Provider bieten schon deshalb eine größere Sicherheit, da sie diese von Anfang an in ihre Planung und Installationen mit einbezogen haben”, sagte er in seiner Präsentation. Doch damit zog er sich den Unmut der Mehrheit der Teilnehmer zu. Dazu gehörte auch die Anwältin Tanya Forsheight, die ihrem Unmut lautstarkes Gehör verschaffte: “Ob Daten in der Cloud sicherer sind oder nicht, ist gar nicht die Frage, entscheidend ist, dass der Besitzer der Daten für eine ordnungsgemäße Handhabung verantwortlich ist – und diese Verantwortung kann er nicht outsourcen”, schimpfte sie.

Einchecken bei der Sicherheitskonferenz. Quelle: CA.
Einchecken bei der Sicherheitskonferenz. Quelle: CA.

Hierbei wurde sie von einem weiteren Zuhörer unterstützt, der von einem Fall berichtete, bei dem in einer kanadischen Bank die Marketing-Abteilung eine SaaS-Lösung nutzte, ohne dass darüber die IT- und die Rechtsabteilung informiert waren. “Die haben sich dabei nicht nur über interne Anweisungen hinweg gesetzt, sondern gegen eine Reihe von Gesetzen verstoßen. Wenn da was passiert wäre, hätte es die Bank viel Geld gekostet”, lautete sein eindringlicher Hinweis.

Neben Mobile Computing, Social Media und Cloud Computing brachte die eingangs erwähnte Untersuchung von Frost & Sullivan auch einen ganz anderen Sicherheitsaspekt ans Tageslicht: So stuften die 10.000 befragten Sicherheitsexperten auch individuelle Anwendungsentwicklung sowie Webbrowser als äußerst bedenklich ein. “Die Anwendung von Sicherheitsstandards bei der Software-Entwicklung steckt noch in den Kinderschuhen. Folglich ist es kaum möglich eine Eigenentwicklung von Beginn an so auszurichten, dass keine besonderen Sicherheitsrisiken anfallen. Eine rückwirkende Prüfung ist jedoch äußerst zeit- und kostenintensiv”, sagt Rob Ayoub, Analyst bei Frost & Sullivan und Verfasser der Studie.