Sicherheit heißt Risiken erkennen

Neue Netzstrukturen in Sicht

Für die drei letzten Firmen unserer Reise - RSA Security, Checkpoint und Qualys - verlassen wir die Wüstenstadt Milpitas und ziehen nach San Francisco um. Golden Gate, Cable Cars, viktorianische Architektur: Außerhalb der Hightech-Atmosphäre des Silicon-Valley fällt es leichter, die bisher gesammelten Eindrücke kritisch zu prüfen. Ähnlich wie Nokia geht Network Associates offenbar davon aus, dass mobile Anwendungen das Gesicht künftiger Netzwerke grundlegend verändern werden. Heute findet die Arbeit innerhalb einer Organisation überwiegend in einem abgeschotteten, fest verdrahteten Netzwerk statt, während der Remote-Zugriff die Ausnahme bildet. Werden die Clients aber mobil, bekommen die Virtuellen Privaten Netze eine ähnliche Bedeutung wie ihre realen Vorbilder, die weiterhin als Heimat der Server fungieren. Neben zentralisiertem Sicherheitsmanagement für Clients spielen dann ausgefeilte Authentifizierungs- und Autorisierungslösungen eine wichtige Rolle.

C. Victor Chang, Vice President & General Manager Developer Solutions / Encryption Division, John J. Wang, Director of Engineering in San Mateo, Kim Detgen, Product Marketing Manager und Sandra Tom LaPedis, Esq., Area Vice President Americas Marketing (v.l.n.r.).

Für letzteres ist RSA Security der richtige Ansprechpartner. Die Niederlassung in San Mateo liegt auf einer Anhöhe und erlaubt einen weiten Blick über das nördliche Silicon Valley und die San Francisco Bay. Hier sitzen uns gleich vier Firmenvertreter gegenüber: C. Victor Chang, Vice President & General Manager Developer Solutions / Encryption Division, John J. Wang, Director of Engineering in San Mateo, Sandra Tom LaPedis, Esq., Area Vice President Americas Marketing und Kim Getgen, Product Marketing Manager.

In dieser Runde entspinnt sich zuerst ein Gespräch übers mobile Business. "Für mich ist ein PDA noch nicht mehr als ein intelligentes Telefonbuch", schlägt sich Kim Detgen auf die Seite der eher verhaltenen Einschätzung mobiler Anwendungen zum jetzigen Zeitpunkt. Für mehr reiche die Sicherheit noch nicht. "Die Devices durch Integration starker Zwei-Faktor-Authentifizierung und digitaler Signatur Business-tauglich zu machen, ist zurzeit unsere spannendste Aufgabe", fügt sie aber schnell hinzu. RSA arbeitet dazu mit verschiedenen Handy-Herstellern zusammen. "Authentifizierung, Autorisierung und das Identitätsmanagement im E-Business, wie wir es im Zusammenhang mit der Liberty Alliance weiterentwickeln, gewinnen schnell an Bedeutung", schlägt C. Victor Chang den Bogen zur Zukunft der Sicherheitstechnik, "und gleichzeitig tritt die klassische Perimetersicherheit wie die Corporate Firewall in den Hintergrund." Das lässt an Network Associates denken: Hat man sich dort der Gauntlet-Firewall vielleicht auch deshalb entledigt, weil man ein wenig zukunftsträchtiges Produkt loswerden wollte?

John J. Wang wirft ein, dass auch in den USA Projekte wie die elektronische Steuererklärung noch nicht übers Pilotstadium hinauskämen. Hemmnisse fürs E-Business gibt es also auch in der kabelgebundenen Kommunikation noch genug. "Solche Anwendungen müssen Zeit und Geld zugleich sparen, damit sie überhaupt angenommen werden", meint Wang. "Die These, dass erst IT-Sicherheit das E-Business voranbringt, ist zwar schon drei oder vier Jahre alt, aber die Kunden verstehen sie erst jetzt", erklärt sich Detgen die langsame Entwicklung im Markt. Als Beispiel für den Nachholbedarf nennt sie die Blue Card von American Express, die bisher kaum ein Besitzer als Smartcard für elektronische Transaktionen benutze.

"Den Endanwendern sollen die Sicherheitsmechanismen so wenig wie möglich auffallen", meldet sich Sandra Tom LaPedis zu Wort, "aber bei Business-Kunden müssen die Security-Anbieter mehr dafür tun, dass das Thema Sicherheit überhaupt ernst genommen wird." Ihr Unternehmen veranstaltet dazu seit elf Jahren die RSA Konferenz, die als Treffen von 50 Verschlüsselungsspezialisten in einem einzigen Hotelraum begann und heute mit Tausenden von Teilnehmern die vielleicht wichtigste IT-Sicherheitsveranstaltung weltweit darstellt. "Wir bieten aber auch Webseminare an und veröffentlichen Bücher", ergänzt Detgen, "auf diesen Wegen kommen wir mit Entwicklern ins Gespräch."

Die Frage, ob Tokens, die seit langem einen wichtigen Anteil am RSA-Geschäft haben, bald durch Smartcards abgelöst würden, beantwortet Wang mit einem klaren "Nein". "Erstens kann man nicht überall Kartenlesegeräte einsetzen", begründet er seine Meinung, "und zweitens werden Tokens zum Beispiel als integraler Bestandteil von mobilen Devices weiter existieren." An Bluetooth-fähigen Telefonen werde dies bereits erprobt.

Chang meint, im IT-Sicherheitsmarkt müsse vor allem so bald wie möglich der Paradigmenwechsel vom Schwarz-weiß-Denken zum Risikomanagement gelingen. "Absolute Sicherheit anzustreben hilft niemandem", betont er.