Der Security-Jahresausblick 2012

Alexander Tsolkas ist IT-Sicherheitsmanager und Datenschutzbeauftragter. Für den Marktforscher Experton Group hat er die wichtigsten Trends in Sachen IT-Security und Information Security für das Jahr 2012 zusammengefasst.

Hardware

Multi Function Firewalls: Am stärksten verbreitet sind immer noch ganz normale Legacy-Firewall-Systeme. Diese sind mittlerweile in die Jahre gekommen und sehr oft bereits abgeschrieben. Frei nach dem Motto “never change a running system” wurden diese nicht verändert und verrichten immer noch ihren Dienst. Allerdings werden immer mehr funktionale Anforderungen an Firewalls gestellt. Nächstes Jahr werden bedingt durch den Lebenszyklus der Altsysteme viele neue Multi Function Firewalls beschafft. Multi Function Firewalls sind Systeme, die Mehrfachfunktionen neben dem Firewall-Schutz vorweisen, wie z.B.:

  • Antivirus
  • Web Application Firewall
  • Bandwidth Throttling
  • VPN
  • Mobile VPN
  • XTM Throughput
  • Application Control

Web Application Firewalls (WAF): Neben den Multi Function Firewalls werden vermehrt Web Application Firewalls eingesetzt werden. Die Nachfrage nach diesen Systemen steigt stetig. Diese Art der Firewalls hat auf dem Firewall-Markt immerhin schon einen Anteil von zirka 30 Prozent. Web Application Firewalls schützen vor speziellen Angriffen, die durch Port 80 über http geschleust werden und von normalen Firewalls nicht erkannt werden. Die WAF stellt eine Application Level Firewall bzw. Application Level Gateway dar.

Smartphones: Smartphone-Sicherheit wird 2012 ein sehr großes Thema. Unternehmen, die eine breite Smartphone-Infrastruktur integriert haben, schreien förmlich nach Sicherheitslösungen und zentralen Verwaltungs- und Überwachungslösungen für ihre mobilen Telefone. Wer Android einsetzt, wird gehalten sein, seine OS-Levels auf einen Nenner zu bringen und zu standardisieren und die autorisierten User-Apps zentral freizugeben. Diejenigen, die eine i-Infrastruktur (iPhone, iPad) nutzen, werden weniger zu tun haben, aber höhere Kosten produzieren und werden unflexibler enden als Android-Fans. Für alle gilt, dass gut administrierbare, einheitliche Lösungen gegen Malware und für den erweiterten Schutz von Smartphones gesucht werden, die mit der bestehenden IT-Infrastruktur interoperabel sind.


Software

Datenschutzmanagementsysteme: Der Datenschutz wird in unseren Breiten schwer vernachlässigt. Die Novellierung des Datenschutzgesetzes liegt schon ein wenig zurück, jedoch ist in den Unternehmen bisher noch nicht allzu viel geschehen. BDS (betriebliche Datenschutzbeauftragte) pflegen immer noch ihre Verfahrensverzeichnisse auf diverse Arten und Weisen. Vom Excel-Sheet bis zur eigenentwickelten Software wird alles eingesetzt. Nächstes Jahr werden Datenschutzbeauftragte (und ihre Teams) stärker nach ganzheitlichen Datenschutzmanagementsystemen Ausschau halten.

Wert wird insbesondere darauf gelegt, Schnittstellen zu den vornehmlich drei Bereichen Informationssicherheit, IT-Risikomanagement und Compliance zu haben. Gefordert werden Managementsysteme, die die Dokumentation eines Datensicherheitskonzepts und Datenschutzkonzepts konsolidieren. Beide Bereiche dokumentieren zu 80 Prozent Gleiches. Das ist unnötig und muss im Zuge der Effizienz konsolidiert werden. Viele Unternehmen haben sich diesbezüglich eigene Systeme gebaut. Diese konsolidieren immerhin die verschiedenen Dokumentationen, allerdings ist die Handhabung meist steinzeitlich. Auch stimmt die Integrität der Daten nicht immer, da die manuellen Systeme meist keine Kontrollfunktion bereitstellen.

Security as a Service wird 2012 wieder stärker anziehen. Viele Hersteller stehen in den Startlöchern und sind gut vorbereitet, haben Top-Dienstleistungen entwickelt, die zum Verkauf stehen. Einige kommen wie gerufen. Somit werden sich Security-Dienstleistungen im Bereich Security Monitoring und Event Management, Data Leakage Prevention, Audit und – stark wieder im Kommen – aktives (Kontrollkreislauf-) Schwachstellenmanagement und -scanning, wieder prima verkaufen. Der Preis ist so gut, dass ein “Do it yourself” völlig daneben ist, es sei denn, es gibt Compliance-Anforderungen, die einen derartigen ausgelagerten Service verbieten.

Urban Solutions: Fukushima hat gezeigt, dass Area Disaster schnell einen Strich durch geplante Disaster Recovery Sites machen, die ca. 15 Kilometer auseinanderliegen. Urban Solutions, in Ballungszentren, werden zu erstellende Anstrengungen und Konzepte in 2012 werden, die derartiges verhindern sollen. Hier spielt auch die IT und IT-Sicherheit eine große Rolle, da zur Steuerung von Städten IT eingesetzt wird, für z.B. Stromerzeugung, Wasserwirtschaft, Kanalisation, Verkehrsleitsysteme und viele Komponenten unserer urbanen Infrastruktur, die betroffen sind.

Identity Management muss in 2012 von vielen angepackt werden. Zum einen erfordert dies die Standardisierung im Zuge von Cloud Computing, aber auch Web Apps, die wir täglich allesamt aus dem Internet nutzen (sei es Homebanking oder eine Online-Videothekenservice), taugen in Bezug auf ihre Benutzerfreundlichkeit im Sinne eines Identity Management nichts, und fordern neue Wege.

Data-Leakage-Prevention-Systeme werden 2012 immer stärker, nach und nach, klassische Event-Management-Systeme ablösen. Das hat mehrere Gründe, vor allem aber, dass Event-Management-Systeme wie ArcSight ESM oder NetIQs Security Logmanager zwar die IT und deren Spezies völlig befriedigen können, aber die Business-Schnittstelle völlig außer Acht lassen. Anders ist das bei Data-Leakage-Prevention-Systemen. Zum einen können sie ähnliche Daten berichten wie ESM-Systeme, aber beziehen die Businessebene administrativ und berichtend völlig mit ein, und können sogar einen unberechtigten Zugriff nach der guten Lehre des Kontrollkreislaufs verhindern. Von daher haben sie den hochspezialisierten Event-Management-Systemen mittlerweile einiges voraus. Die Datenflut eines ESM-Systems ist in der letzten Zeit so stark über das Maß gestiegen, dass sehr stark gefiltert werden muss, um überhaupt noch nützliche Daten aus einem ESM-System zu erhalten. Auch ist das Arbeiten mit dem reinen Text-Log-Record-Entry völlig out. Gefragt sind gute und vielseitige visuelle Anzeigen. Mein Tipp: Data Leakage Prevention (DLP).

Revisionssichere Auditierung privilegierter IT-Zugriffe muss ich unmittelbar nach Data Leakage Prevention ansprechen. DLP kann dies schon. Wer sich aber keine DLP-Systeme leisten möchte, der wird in 2012 stärker kleinere und einfachere Systeme zur revisionssicheren Auditierung privilegierter Zugriffe einsetzen. Hier kommt das Triggering dazu wieder aus dem Cloud Computing als vorbereitende Maßnahme für das “Cloudsourcing”.

Meta-Authentifizierung und mobile Authentifizierung (Roaming) sind wichtige Themen, über die man sich in 2012 zumindest stärker Gedanken machen wird. Diese Funktionalitäten sind im Rahmen des Cloud Computings und der Erweiterung der Smartphone-Infrastrukturen mehr gefragt denn je. An Roaming Authentication Concepts wird gerade an vielen Unis auf der Welt gearbeitet – die ersten Produkte liegen schon im Beta vor. Roaming Authentication ist eine Meta-Authentifizierung, bei der die Autorisierungsinstanz, die eine Authentifizierung durchführen kann, mobil ist und von Server zu Server hüpfen kann, wenn sie autorisiert wurde, das zu tun.

Soziale Netzwerke werden immer mehr Telefonie und E-Mail-Systeme ersetzen. In wenigen Jahren kommuniziert die Welt nur über soziale Netzwerke. Dieser Trend ist so sicher wie das Amen in der Kirche. Derzeit beschränken wir uns darauf, Policies zu etablieren, wie Soziale Netzwerke im Betrieb genutzt werden sollen. Das wird nicht reichen. Zum einen reicht die organisatorische Maßnahme schon lange nicht mehr, zum anderen müssen wir die organisatorische Policy in die technische Praxis umsetzen und müssen die betrieblich erlaubte Zone mit der privaten Zone gut in Einklang bringen, denn die Menschheit wird in Zukunft nicht mit mehreren Smartphones herumlaufen. Es wird das betriebliche oder private Device für beide Umgebungen genutzt werden. Genau dafür müssen gute Konzepte aus der Sicherheit entwickelt werden, damit Betriebliches Privates nicht blockt und umgekehrt. Man möchte ja auch als Unternehmen den maximalen Nutzen einer solchen Lösung.

Ganzheitliches Risikomanagement wird trendy. Immer mehr Unternehmen setzen endlich Software für das (IT-) Risikomanagement ein. Das hat lange gedauert, und es fängt erst an. In 2012 wird es einen Anstieg an Käufen von Risikomanagement-Tools geben. Und das ist sehr empfehlenswert.