"Best of need" kommt statt "best of breed":
IT-Security aus einer neuen Perspektive
Die jährliche Security-Roadshow des IT-Marktforschers IDC ist ein gutes Trendbarometer in Sachen IT-Sicherheit. Fazit der heurigen Veranstaltung: Das Thema hat bei IT-Verantwortlichen nach wie vor höchste Priorität. Die Investitionen der Firmen in den Schutz ihrer EDV-Systeme steigen jährlich um zehn Prozent. Aber an der Frage, ob das Geld auch sinnvoll angelegt wird, scheiden sich die Geister. Macht mehr Security ein Unternehmen automatisch sicherer? Bjarne Kaiser Lauritzen, Vizepräsident des Netzwerk-Equipment-Anbieters Juniper, beantwortet die Frage schlichtweg mit "Nein".
Ein Grundschutz mit Firewalls, Virenabwehr und Co sei zwar erforderlich, aber den hätten die meisten Firmen ohnehin. "Die größte Gefahr geht von leichtsinnigen Benutzern aus. Nach wie vor kleben auf vielen Firmen-PCs gelbe Post-its mit Passwörtern. Und nicht selten geben sich Hacker am Telefon als Support-Mitarbeiter aus, erfragen die Zugangsdaten und bekommen bereitwilligst Auskunft."
Der Schluss daraus: Man braucht nicht immer mehr und bessere Technik, um die Sicherheit des Unternehmens zu verbessern. Oft reichen einfache Maßnahmen zur Bewusstseinsbildung und zur Verbesserung von Sicherheitsprozessen. Wieland Alge, CEO des Tiroler Firewall-Herstellers Phion, bemerkt eine Trendwende am Markt: "Die Firmen kaufen nicht mehr unreflektiert das teuerste Equipment. Sie analysieren ihre individuellen Sicherheitsanforderungen und kaufen dann das, was sie wirklich brauchen. Nicht, best of breed', sondern, best of need' ist jetzt die Devise. Der Geschäftsnutzen steht im Vordergrund."
Sobald Passwörter auf Bildschirmen kleben oder Papiere mit sensiblen Informationen im Ausgabefach des Druckers liegen, wenn die Putzkolonne anrückt, hilft ohnehin selbst die teuerste Firewall nichts. Spätestens dann wird klar, dass die Sicherheit von Daten und Informationen nicht nur eine Frage von IT-Lösungen ist, sondern eine Frage sicherer Unternehmensprozesse von der Vorstandsetage hinunter bis zum Portier. Eine immer populärere Möglichkeit, sich dem Thema Sicherheit ganzheitlich zu nähern, sind internationale Normen - zumal gesetzliche Bestimmungen wie Sarbanes Oxley (SOX) oder Basel II (siehe Kasten) die Firmen zwingen, einen Nachweis zu führen, dass sie nach international anerkannten Sicherheitsstandards arbeiten.
Und der Normendschungel lichtet sich. 2006 wurde von der International Standardization Organisation ein einheitlicher Standard für Informationssicherheit veröffentlicht, der das bisherige Wirrwarr an regionalen und nationalen Normen ablösen soll. Er dient als Grundlage zur Einführung von Sicherheitsmanagementsystemen. Hat man die darin vorgesehenen Prozesse im Unternehmen implementiert, kann man sich von der nationalen Prüfstelle CIS (Certification & Information Security Services) im Rahmen eines umfangreichen Audits zertifizieren lassen. Die CIS bildet auch Mitarbeiter von Firmen und Sicherheitsdienstleistern zu "Information-Security-Managern" aus. Die Einführung von ISO 27001 ist aufwendig und ohne entsprechende Expertise nur schwer zu schaffen. Wer Berater mit Kompetenz sucht, wendet sich am besten an die CIS.
Den kompletten Beitrag können Sie im FORMAT Nr. 40/07 nachlesen!