Von: Dr. Johannes Wiele
In den vergangenen Jahren haben Anwender IT-Sicherheit oft ohne übergreifendes Konzept implementiert: Eine Firewall hier, Virenschutz dort, schließlich Intrusion Detection und dazu vielleicht einen Internetfilter. Inzwischen haben die Unternehmen herausgefunden, dass sie auf diese Weise ein Management-Chaos geschaffen haben, das sich nur schwer überwachen und aktuell halten lässt. Für eine ganze Reihe von Nachzüglern war der 11. September der Anlass, über dieses Problem nachzudenken.
Darüber hinaus gibt der Arbeitsmarkt nach wie vor nicht genug Spezialisten her, und die Budgets sind angesichts der wirtschaftlichen Lage weiter gesunken. Die Unternehmen müssen die Verwaltung der Systeme deshalb technisch so effizient und einfach wie möglich gestalten. Diese Erkenntnis beeinflusst sowohl die innere Organisation der Unternehmen als auch ihr Investitionsverhalten. Auf der CeBIT wird dies eher Diskussionsstoff als Austellungsthema sein.
Trend zu Managed Services
Bei Firmen, die bereits Sicherheitslösungen implementiert haben, steigt der Bedarf an Verwaltungstools für heterogene Umgebungen. Bindview gehört zu den Anbietern in diesem Sektor (Halle 15, Stand B06). Neueinsteiger, die erst jetzt mit dem Internet zu arbeiten beginnen, interessieren sich für Komplettlösungen in Appliance-Form. Das Produkt "Symantec Gateway Security" mit Firewall, Virenscanner, Internet-Content-Filter, Intrusion-Detection-Systeme sowie VPN-Funktionen und Load-Balancing-Optionen sind typische Beispiele (Halle 6, Stand F20).
Der Trend zur runden Lösung - verbunden mit der Not, das Thema Sicherheit finanziell und personell in den Griff zu bekommen, lässt manchen Kunden außerdem zum ersten Mal ernsthaft über Outsourcing im Sicherheitsbereich nachdenken. Managed-Service-Anbieter, zu denen auch viele Telcos und Internet-Serviceprovider gehören, verzeichnen eine verstärkte Nachfrage. Der nächste Schritt der Entwicklung ist der von nahezu allen Marktforschern bestätigte Trend bei den Betreibern von IT-Infrastrukturen, der Leistungsfähigkeit ihrer Sicherheitslösungen mit Audits und Testtools auf den Zahn zu fühlen. Systemhäuser, Beratungsfirmen und meist kleine Spezialunternehmen bieten diese Dienste an.
Die Entdeckung der weichen Faktoren
Auffällig ist, dass sich die Branche plötzlich mit den "weichen" Faktoren der Informationssicherheit auseinander zu setzen beginnt. Sichtbar wurde dieses Phänomen zum Beispiel während der Sicherheitskongresse der NetworkWorld Germany im Dezember in München und im Februar in Düsseldorf: Obwohl die Teilnehmer - Verantwortliche für Netzwerksicherheit in Unternehmen unterschiedlichster Größe - in beiden Fällen vor dem Event ausdrücklich "mehr Technik" gefordert hatten, interessierten sie sich während der Veranstaltung vorrangig für Referate über die Gestaltung von Sicherheitsrichtlinien und über juristische Probleme.
Sicherheitsexperte Mich Kabay aus den USA schaffte während beider Events sogar, jeweils das komplette Plenum mit einem Vortrag über "Social Psychology und Infosecurity" zu fesseln: Für viele der Techniker im Saal war dies wahrscheinlich das erste Mal, dass sie sich umfassend über die Wechselwirkungen ihres Tuns mit den Arbeitsabläufen und Gewohnheiten der Angestellten in ihren Unternehmen informieren konnten. Die Frage, wie die Mitarbeiter für das Thema Sicherheit zu gewinnen sind, beschäftigt so viele Organisationen, dass sie von den Anbietern in Zukunft auch auf diesem Sektor Vorschläge verlangen werden.
In den Budgets der Firmen dürfte nach und nach immer häufiger auch der Punkt "Sicherheitskommunikation" auftauchen, auf den sich inzwischen erste Fachberater spezialisieren. Diese Spezialisten werden sich darum bemühen, ihren Kunden zu Kommunikationsstrukturen zu verhelfen, die im Notfall schnelle Reaktionen auf Angriffe oder Sicherheitsprobleme möglich machen. Sie werden außerdem Techniker und Manager darin schulen, Akzeptanz für lästige Sicherheitsrichtlinien zu schaffen, und die Policies selbst auf die Arbeit der einzelnen Abteilungen in den Unternehmen abzustimmen.
Die Schere zwischen dem Zwang zu Verhaltensänderungen, die mit fast jeder Sicherheitslösung einhergeht, und der Beharrlichkeit, mit der Menschen eingefahrenen Gewohnheiten folgen, macht den Sicherheitsspezialisten dabei besonders große Sorgen. Das Resultat: Die Bedeutung von Sicherheitsberatungsleistungen wächst gegenüber dem Sektor Produktverkauf. Da immer häufiger die Führungsetage der Unternehmen die Entscheidungen über IT-Security in die Hand nimmt, wächst zugleich der Bedarf an weniger fachspezifisch aufbereiteten Informationen. Techniker müssen "Business-Deutsch" lernen, und Wirtschaftsfachleute benötigen vermehrt sicherheitstechnisches Grundwissen als Entscheidungsgrundlage. Ansprechpartner für diese Probleme sind neben spezialisierten IT-Consultingfirmen Unternehmensberatungen wie Ernst & Young (Halle 3, Stand C 25) oder Pricewaterhouse Coopers (Halle 10, 2. OG, Job Market).
Grundschutz mit neuen Elementen
Mit Virenschutz und Firewalls allein können inzwischen nur noch wenige Firmen ihren IT-Grundschutz bestreiten. Für die meisten Firmen gehören Content Security und Intrusion Detection bereits zu den Basislösungen. Anregungen dazu und für bessere Sicherheitsorganisation liefern zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (Halle 17, Stand C02) und die Vortragsreihe im Zentrum für Informationssicherheit (Cefis; Halle 17, Stand C31).
Intrusion Detection antwortet auf die komplexeren Angriffe, denen Unternehmen heute ausgesetzt sind. Die Lösungen (vgl. etwa Enterasys# "Dragon"; Halle 16, Stand B05) kennen bekannte Angriffs-muster, machen gegebenenfalls mit Anomalieagenten auf ungewöhnliches Nutzungsverhalten im Netz aufmerksam und lernen über Signatur-Updates die typischen Kennzeichen immer neuer Angriffsverläufe hinzu.
Das wichtigste Einsatzgebiet für Content Security ist die Abwehr schädlicher Mobile Codes, die von gängigen Virenscannern nicht erfasst werden. Im Netzwerk arbeiten die Systeme nach Sniffer-Manier am Gateway und suchen nach Makros oder Skripts mit gefährlichen Funktionen und anderen Elementen. Da sie die gesamte Kommunikation filtern können und zuweilen auch unerwünschte Inhalte in Internetseiten oder Mails vom Unternehmensnetz fern halten oder am Verlassen des Unternehmensnetzes hindern sollen, ziehen sie sich den Verdacht zu, auch als Spionagesystem gegen das Personal oder die Führungsetage eingesetzt zu werden.
Rechtliche Auflagen und das Problem der Verteilung von Verantwortlichkeiten zwischen einzelnen Mitarbeitern und Unternehmen für Kommunikationsinhalte machen es aber zuweilen notwendig, Inhalte zu filtern, wenn sich ein Unternehmen nicht zu einer anderen, arbeitsvertraglichen Lösung durchringen kann oder per Disclaimer in den Mails die Haftungsverhältnisse klärt. Die Einführung einer Content-Security-Lösung erfordert in jedem Fall die Abstimmung mit Betriebsrat und Belegschaft, sodass auch dieser Typ Sicherheitslösung für zusätzlichen Beratungsbedarf sorgt.
Auffällig ist, dass der Content-Security-Markt sowohl von den Anbietern klassischer Virenschutzprogramme ins Auge gefasst wird (vgl. etwa Trend Micro, Halle 15, Stand D17) als auch von Firmen, die primär E-Mail- und Internetfilter und -Blockadeprogramme herstellen (Beispiele: Webwasher, Halle 6, Stand G18; Surfcontrol, Halle 6, Stand C52 und Webdefender, Halle 17, Stand B06). Außerdem werden Content-Security-Lösungen häufig für Provider von Firewall-Appliances lizenziert.
Mehr "Innere Sicherheit"
Gebetsmühlenartig wiederholen fast alle Anbieter der Branche, dass ein Großteil der Angriffe aus dem Unternehmensnetz von innen kommt. Fakt ist allerdings nur, dass dieser Aspekt von vielen Firmen bisher völlig außer Acht gelassen wurde, denn die Statistiken über "Innentäter" sind wenig verlässlich: Ein Großteil der Zahlen stützt sich aufgrund der Unwilligkeit der Unternehmen, tatsächliche Angriffe auf ihre Netze überhaupt zu nennen, auf Fragen nach den Ängsten der Manager.
Die Geschäftsführer und Vorstände wiederum können sich gerade in wirtschaftlichen Notzeiten Untaten verärgerter Mitarbeiter oder Ex-Angestellter viel leichter vorstellen als gezielte Wirtschaftsspionage oder die diffusen Ziele der Skript-Kiddies mit ihren Viren und Denial-of-Service-Attacken. Die Belegschaft erscheint aus einer derart angstgelenkten Perspektive allzu leicht als bloßes Bedrohungspotenzial. Auf die Sicherheitskonzepte der Unternehmen können sich die so gewonnenen Statistiken fatal auswirken, wenn sich die Angestellten angesichts der Zahlen diskriminiert fühlen und deshalb die aktive Mitarbeit an den Sicherheitsmaßnahmen ihres Arbeitgebers einstellen.
Ein weiterer Punkt, der die Statistiken verfälscht, ist die oft mangelnde Differenzierung zwischen absichtlichen Sicherheitsverletzungen und Fehlbedienungen. Dennoch wird die "Innere Sicherheit" zu Recht an Bedeutung gewinnen, da in großen Organisationen nicht für alle Abteilungen das gleiche Sicherheitsniveau gelten kann.
PKI verschwindet und kommt ganz groß raus
Niemand verkauft mehr Public Key Infrastruktur (PKI) als Endprodukt, aber PKI-gestützte Lösungen und die von vielen Unternehmen angebotenen Smartcards und Tokens tauchen immer häufiger in den Unternehmensnetzen auf: Als Basis sicherer Authentifizierung, in E-Commerce- und E-Business-Lösungen, als Grundlage verschlüsselten E-Mail-Versands, in Dokumentenmanagement-Lösungen und als Motor für E-Government und digitale Signatur. In Deutschland startet zurzeit beispielsweise Guardeonic (Halle 17, Stand D06) mit einer ganzen Angebotspalette auf PKI-Basis. Soviel Optimismus zeigt die PKI-Industrie erst, seitdem sie entdeckt hat, dass die Kunden für die Technik allein nicht zu begeistern sind, wohl aber den Sinn von Verschlüsselung und Schlüsselaustausch in Anwendungen verstehen. Deutlich wurde dieser Trend bereits auf der RSA-Konferenz 2002 in San Jose (vgl. Schwerpunkt und News in Ausgabe 05/2002).