IT-Sicherheit: Das sind die Herausforderungen 2009

Sicherheit trotz Krise – Tipps für die Diskussion mit dem CFO

Um den Betrieb aufrechtzuerhalten ist IT-Sicherheit unerlässlich. Das Problem: Oft erkennt man den Wert von Sicherheitsinfrastruktur erst, wenn etwas passiert ist. Im Normalbetrieb fallen die Maßnahmen im Idealfall nicht auf. Dadurch gelangen Administratoren in eine Zwickmühle: Sie müssen gegenüber der Finanzabteilung Kosten rechtfertigen, die im besten Fall dafür sorgen, dass nichts passiert. In Zeiten knapper Kassen benötigen Admins gute Argumente, um neue Investitionen zu rechtfertigen. Wie also erklärt man Nicht-ITlern, dass Sicherheit zwar Geld kostet, aber auch eine Wertschöpfung für die Firma darstellt?

Gert Hansen, Astaro: Ziel in 2009 wird es sein, mit den vorhandenen Ressourcen und kleinen Investments den größten Nutzen zu erzielen. Das bezieht sich auf IT-Sicherheit genau so wie auf die Effizienz von Mitarbeitern. Heutige Sicherheitsprodukte, vor allem die aus dem UTM-Bereich, bieten neben dem Schutz vor möglichen Gefahren auch Funktionalitäten, um die Produktivität der Mitarbeiter und des Unternehmens zu steigern. Die Filterung von Spam, das Blockieren von nicht-produktiven Webseiten sowie das Kontrollieren von Instant Messaging und Peer-to-Peer-Applikationen führt zu weniger Ablenkung am Arbeitsplatz und senkt den manuellen Aufwand, unerwünschte Daten auszusortieren.

Eine gute, effektive Sicherheitsleistung ohne Wartungs- und Administrationsaufwand hält den CIOs den Rücken frei, um sich anderen Aufgaben im Unternehmen zu stellen. CIOs sollten sich neben den großen, bekannten Anbietern auch kleinere Hersteller anschauen, weil diese bei mindestens gleicher Funktionalität meist ein viel besseres Preis-Leistungs-Verhältnis bieten.

Kurt Denk, CA: Ich würde den Admins eine unabhängige weltweite Studie zu den Kosten von Compliance-Maßnahmen vom November 2008 zur Hand geben. Und die Kernaussage zu den Risiken und Kosten einer zentralen Kontrolle ganz dick anstreichen: „...die Studie belegt zudem, dass die Mehrzahl der Befragten versucht, auf manuellem Wege die Einhaltung von Compliance-Vorgaben zu erreichen. Klar ist jedoch, dass das Fehlen einer zentralen Kontrolle „die Garantie für schwindelerregende Ausgaben“ – in einer zunehmend regulierten Umgebung – ist.“

Robert Rothe, Eleven: Gerade E-Mail-Sicherheitslösungen bieten Einsparungspotenziale, die zu einer Kostensenkung im Unternehmen beitragen können. So können Managed Services, die Spam-Mails bereits abfangen, bevor sie das Unternehmen erreichen, die Belastung der E-Mail-Infrastruktur um bis zu 95 Prozent reduzieren. Das Ergebnis: Zusätzliche Hardware wird nicht benötigt, im Gegenteil: Oftmals kann sogar Hardware eingespart werden.

Klaus Jetter, F-Secure: Sicherzustellen, dass die Hardware unproblematisch im Hintergrund läuft, bewacht auch den gesamten Betrieb der Firma. Gibt es Probleme, sind alle Stellen betroffen – von der Personalabteilung bis zu den Sachbearbeitern. Sind es nur technische Ausfälle, kosten diese wertvolle Mannstunden. Ist aber die Sicherheit der Firma durch Spione oder Datendiebe gefährdet, wird es schnell sehr viel teurer.

Hier ist das Know-how, also das wichtigste Basiskapital des Unternehmens, in Gefahr. Datenspione können die Informationen für ihre Zwecke nutzen oder an die Konkurrenz verkaufen und so großen wirtschaftlichen Schaden anrichten. Für die umfassende Absicherung ist vor allem wichtig, dass die Lösungen zentral administriert werden können und sich ohne großen Aufwand verwalten lassen.

Reiner Baumann, Ironport: 2009 wird der Trend zu Telearbeit sowie der verzahnten Nutzung von webbasierten Tools, mobilen Geräten, Virtualisierung, Cloud Computing und ähnlichen Technologien weiter zunehmen. Unternehmen verbessern damit vor allem im derzeitigen wirtschaftlichen Klima klar ihre Produktivität. Das heißt aber auch, dass Kommunikationswege und interne Daten mehr denn je geschützt werden müssen, etwa vor Angriffen von außen, Missbrauch durch „Insider“ oder Fahrlässigkeiten zum Beispiel mit mobilen Geräten. Um diesen Trends entgegenzuwirken sind ein integriertes Sicherheitsmanagement, Reputationsbewertung in Echtzeit und mehrschichtige Ansätze erforderlich.

Klare Fakten können Administratoren vorlegen, wenn sie eine kostenlose Evaluierung durchführen. Das Protokoll schafft einen deutlichen Überblick, wie viele Rechner im Unternehmen bereits mit Malware infiziert sind, wie viele Verbindungen ins Internet zu kompromittierten Seiten aufgebaut werden und was danach passiert, sofern unzureichende Schutzmechanismen vorhanden sind. Diese Reports helfen einerseits in der Argumentation, eine solche Lösung einzusetzen, und ermöglichen andererseits die Kontrolle des Web-Verkehrs am Gateway.

Last but not least müssen die Administratoren verdeutlichen, welch enorme Folgen eine ungenügende Absicherung für die Firmen haben kann. Etwa wenn Kundendaten verloren gehen, kann das nicht nur am Image kratzen, sondern gar Schadensersatzforderungen oder sinkende Aktienkurse nach sich ziehen.