![[Aufmachergrafik: heller, corporate design]](06-2-014-0a.jpg)
Strategie senkt Komplexität ![[Aufmachergrafik: heller, corporate design]](06-2-014-0b.jpg)
Planvolles Sicherheitsmanagement als Lösung gegen erdrückende Komplexität Strategie senkt Komplexität Planvolles Sicherheitsmanagement als Lösung gegen erdrückende KomplexitätMit komplexeren IT-Landschaften wächst gleichzeitig auch die Komplexität von IT-Bedrohungen und Anforderungen an die unternehmensinterne IT-Sicherheit. IT-Leiter suchen verständlicherweise nach möglichst einfachen Lösungen, um den vielfältigen Herausforderungen adäquat zu begegnen. Doch lässt sich diese Komplexität wirklich einfach managen? Oder muss auch die eingesetzte Sicherheitstechnik zwangsläufig immer komplexer werden? Und was wäre die Folge? Grundsätzlich gilt, dass die Sicherheit eines Systems bei steigender Komplexität abnimmt: Insgesamt lässt seine Verlässlichkeit nach, da ein Versagen jeder Komponente das Versagen des Gesamtsystems bedeuten kann. Komplexe Systeme laufen daher meistens nicht so stabil wie einfache.
Die IT-Umgebung entwickelt sich jedoch zunehmend in Richtung mobiler, stark vernetzter Systeme, deren Bedeutung für die Abwicklung der Geschäftsprozesse gleichzeitig weiter steigt. Die Anforderungen an Sicherheitslösungen steigen somit ebenfalls kontinuierlich, noch verstärkt durch den Trend zur Kriminalisierung von Cyber-Attacken. Hinzu kommt wirtschaftlicher Druck: Nur wer seinen Kunden und Geschäftspartnern die Sicherheit gespeicherter wie übertragener Daten garantieren kann, wird sich langfristig behaupten. Und nicht zuletzt gilt es eine Vielzahl gesetzlicher Regelungen und Anforderungskataloge über den Umgang mit Unternehmensdaten, ihre Sicherheit und Sicherung zu beachten.
Die Situation, der sich IT-Leiter, Systemadministratoren und auch Sicherheitsverantwortliche stellen müssen, ist heikel. Oft erschweren knappe Ressourcen und Budgets diese Aufgabe noch weiter. Einen wirksamen Schutz in dem skizzierten Umfeld zu gewährleisten, das durch hohe technische und organisatorische Komplexität geprägt ist, wird zur entscheidenden Herausforderung. Um sie zu lösen und der drohenden Komplexitätsfalle zu entgehen, bedarf es einer langfristigen Strategie, die mit einem Information-Security-Management-(ISM)-Plan beginnt.
Wichtig ist dabei, die Sicherheit nicht als rein technisches Problem zu betrachten. Ein ISM-Plan muss vielmehr drei zentrale Aspekte gleichermaßen berücksichtigen: Technik, Prozesse und Menschen. Das heißt auch, spezifische Geschäftsmodelle und Arbeitsweisen der Mitarbeiter einzubeziehen. Der Schlüssel für nachhaltige Sicherheitslösungen ist die Frage, ob sich alle Mitarbeiter des Problems bewusst sind. Denn auch die beste technische Lösung ist nur so gut wie das schwächste Glied in der Kette: menschliches Verhalten.
Ein erster Schritt bei der Erstellung eines umfassenden Informationssicherheits-Managements ist die Analyse von IT-Systemen und geschäftsspezifischen Anforderungen. Mit der Dokumentation schützenswerter Schlüssel-Ressourcen und der Bewertung drohender Risiken schafft ein Unternehmen die Basis für strategische Entscheidungen, die potenzielle Schäden vermeiden oder auf ein Minimum begrenzen können. Sind die Risiken einmal bekannt und bewertet, so lassen sich geeignete Gegenmaßnahmen entwickeln. Auch im Notfall funktionierende Prozesse und Verfahren sind dabei deutlich wichtiger als beispielsweise redundante Hardware. Bereits kleine präventive Änderungen können die Sicherheit des Unternehmens um ein Vielfaches erhöhen. Dabei haben organisatorische Maßnahmen häufig eine geringere Komplexität zur Folge als zusätzliche technische Sicherungen.
Aus strategischer Sicht ist IT-Sicherheit der Schutz von Informationen zu vertretbaren Kosten. Es gilt, das Budget für die IT-Sicherheit sinnvoll einzusetzen und mit minimalem Einsatz maximalen Effekt zu erzielen. Jedes Unternehmen muss hier seine individuelle Sicherheitsinfrastruktur aufbauen, die auf einer Kombination von Richtlinien, Verfahren und Technik basiert. Insellösungen sind darin nicht zu empfehlen, da sie Kosten in die Höhe treiben und meist nur schwer in ein Gesamt-Management zu integrieren sind.
Sicherheits-Management besteht nicht zuletzt darin, die enorme Datenmenge aufzubereiten, die Virenschutz-, Firewall- und Intrusion-Detection-Sensoren sowie Schwachstellenanalysen liefern. Diese Daten nach Relevanz zu gewichten, miteinander in Beziehung zu setzen, zu analysieren und Handlungsempfehlungen daraus abzuleiten, muss zum Ziel haben, rechtzeitig ein umfassendes Bild des Sicherheitszustands im Unternehmen zu erhalten. Dieses Sicherheitsbild ist Voraussetzung für Disaster-Recovery-Maßnahmen. Es ermöglicht, potenzielle Störungen zu minimieren, die Auswirkungen von Sicherheitsvorfällen zu mildern, sämtliche Betriebsabläufe rasch wiederherzustellen und für die Verfügbarkeit aller relevanten Informationen zu sorgen.
Von der Analyse, über die Einführung von Prozessen und die Installation technischer Lösungen bis hin zu ihrer fortwährenden Kontrolle muss jeder einzelne Schritt Bestandteil des Information-Security-Management-Plans sein. Erst dann verfügt der Verantwortliche über ein Anforderungsprofil, auf dessen Basis er sich für angemessen integrierte Sicherheitslösungen entscheiden kann.
Bei Dienstleistungen und Sicherheits-Lösungen spricht man von "Best-of-Breed"-Konzepten, wenn man die jeweils besten Teile von unabhängigen Anbietern einkauft. Üblicherweise nutzt jedes solche Teilsystem ein spezifisches Datenmodell. Es handelt sich meist um Stand-alone-Produkte mit der besten Lösung für eine bestimmte Funktion, die sich häufig auch nur auf dieses spezifische Problem konzentrieren. Solche "Klassenbesten" lassen sich jedoch in der Regel nur mit hohem Aufwand in ein bestehendes Gesamt-System integrieren, die Gestaltung der Schnittstellen der einzelnen funktionalen Module ist kompliziert. Während bei Komplettlösungen der Lieferant für die Integration und den Datenaustausch verantwortlich ist, muss dieses bei "Best-of-Breed" entweder der Erwerber selbst realisieren oder einen Dienstleister hinzuziehen.
Ein alternativer Ansatz ist das "Best-of-Suite"-Konzept: Hierunter versteht man (vor-)integrierte Sicherheitslösungen für ganze funktionelle Bereiche wie Client-, Server- oder Gateway-Security. Solche Lösungen bieten Kunden meist einfachere Integrationsmöglichkeiten, da sie sich nicht mit einer großen Anzahl unterschiedlicher Schnittstellen auseinandersetzen müssen. Durch einheitliche Strukturen auf einem gemeinsamen Datenmodell und die Abstimmung verschiedener Sicherheitsmodule aufeinander lassen sich Erweiterungen und Änderungen meist leichter in die Gesamtarchitektur einpassen. Kompromisse in Einzelfragen können bei diesem Konzept zugunsten der Gesamthandhabbarkeit gefragt sein, sich aber insgesamt durchaus rechnen. Dies gilt umso mehr, da die Wartungskosten heutzutage zumeist die Anschaffungskosten bei weitem übersteigen, Vorteile bei operativen Folgekosten also besonders stark ins Gewicht fallen.
Welches Anbietermodell man auch wählt: Eine Lösung für die Sicherung der Client-Systeme muss angesichts der aktuellen Gefährdungslage unbedingt enthalten sein. Hierbei sollte auch die Richtlinienkonformität der Endgeräte überprüfbar sein und nur in Abhängigkeit davon der Zugriff auf das interne Netzwerk gewährt werden. Derartige Lösungen zur Netz-Zugangskontrolle können Sicherheitsprozesse automatisieren, und kombiniert mit Security-Appliances sowie Schwachstellen- und Patch-Management-Tools lässt sich an dieser Stelle ein gutes Maß an Komplexität "einsparen".
Auf komplexe Fragen bezüglich der IT-Sicherheit gibt es weiterhin keine einfachen Antworten. Die Informations-Sicherheit ist ein hohes Gut, das messbar zum Erfolg jedes Unternehmens beiträgt. Der Schutz vor Gefahren darf daher nicht einfach als Kostenverursacher gelten, sondern muss als Investitionsschutz oder Versicherung verstanden werden. Um komplexe Systeme ohne übermäßig hohen Aufwand zu sichern und zu verwalten, muss an erster Stelle eine umfassende Analyse der potenziellen Gefahren für das Geschäftsmodell des Unternehmens stehen. Dann können die Verantwortlichen mithilfe verschiedener Szenarien eine Sicherheits-Strategie entwickeln, die der Technik, den Prozessen und Anforderungen der Mitarbeiter gleichermaßen gerecht wird. Erst auf dieser Basis sollte man effiziente IT-Sicherheitslösungen implementieren.
Nur eine Lösung, die sich auf die wesentlichen, strategischen Kernpunkte konzentriert, kann maximalen Schutz zu minimalen Kosten bieten – und die allgemeine Komplexität reduzieren. Dabei sind die Methoden der Dienstleisterauswahl oder Netzwerkkontrolle ein wichtiges Detail – entscheidend ist jedoch ein guter Plan: Denn Sicherheit beginnt im Kopf.
Olaf Lindner ist Director Symantec Security Services.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#2, Seite 14
| 