IT-Sicherheit: Das sind die Herausforderungen 2009

Spam wuchs seit 2007 um 200 Prozent, jeden Tag entdecken die Virenwächter 5000 neue Malware-Versionen, regelmäßig verschwinden riesige Datensätze in dunklen Kanälen – IT-Sicherheit bleibt eins der Top-Themen. Nachdem wir bereits auf das Jahr 2008 zurückgeblickt haben, lässt TecChannel 13 bekannte Sicherheitshersteller einen Blick in die Zukunft werfen. Zusätzlich haben wir die Spezialisten um Argumente gebeten, mit denen sich IT-Sicherheit auch in Zeiten knapper Kassen gegenüber dem CFO rechtfertigen lässt.

Die Befragten sind:

• Gert Hansen, Chief Software Architect und Mitgründer von Astaro,

• Kurt Denk, Director Solution Sales bei CA,

• Dr. Christoph Skornia, Technical Manager Central Europe bei Checkpoint,

• Robert Rothe, Gründer von Eleven

• Klaus Jetter, Country Manager DACH bei F-Secure

• Reiner Baumann, Regional Director für Zentral- und Osteuropa bei Ironport Systems

• Axel Diekmann, Managing Director des Kaspersky Lab Central Europe

• Hans-Peter Bauer, Vice President Central und Eastern Europe bei McAfee

• Alexander Peters, Global Client & Partner Services Manager bei Messagelabs

• Herrmann Klein, Country Manager DACH bei Stonesoft

• Frank Schwittay, Regional Director Central Europe bei Trend Micro

• Monika Nordmann, Marketing Manager Central and Eastern Europe bei Utimaco

• Michael Neumayr, Regional Director Central Europe bei Websense

Neue Dienste und Gefahren erfordern Flexibilität

Kommunikationsdienste werden ausgefeilter, egal, ob es um Verschlüsselung oder Archivierung geht. Aber sind die IT-Infrastrukturen flexibel genug, um schnell auf neue Bedrohungen reagieren zu können? Wie soll man sich also vorbereiten? Wir haben unsere Experten um ihre Meinung gebeten, welche Bedrohungen 2009 auf die Admins zukommen.

Gert Hansen, Astaro: Immer mehr Services nutzen Kommunikation über HTTPS; einer Analyse von verschlüsseltem Web-Traffic auf dem Gateway misst Astaro deswegen eine hohe Bedeutung zu. E-Mail-Archivierung wird basierend auf gesetzlichen Vorgaben und deren Umsetzung an Bedeutung gewinnen.

Administratoren müssen die tägliche Verwaltung ihrer Sicherheitslösungen so effizient wie möglich organisieren, damit sie flexibel bleiben und Zeit haben, andere Projekte kurzfristig umzusetzen. Eine zentrale Managementlösung hilft dabei, besonders wenn mehrere Niederlassungen verwaltet werden müssen.

Kurt Denk, CA: Durch Negativschlagzeilen (wie beispielsweise „Daten von 30 Millionen Kunden im Internet öffentlich zugänglich“) sehe ich eine erhöhte Sensibilität der Öffentlichkeit in Bezug auf Datensicherheit. Der Admin wird in diesem Bereich künftig stärker gefordert sein.

Dr. Christoph Skornia, Checkpoint: Wir müssen davon ausgehen, dass die Anzahl an Sicherheitsproblemen gleich bleibt, vielleicht wird sie sogar leicht rückläufig sein. Parallel dazu aber werden die konkreten Schäden weiter steigen. Im schlimmsten Fall von Spionage werden sie möglicherweise nicht einmal mit den IT-Sicherheitsproblemen in Zusammenhang gebracht werden können.

Für den Admin stellt das eine große Herausforderung dar, da er in punkto Problemlösung im Fokus steht, jedoch nicht die nötige Handlungsfähigkeit hat. Das heißt, dass die Unternehmen noch stärker als in der Vergangenheit auf eine strategisch geplante, von konkreten Risikoanalysen untermauerte Sicherheitspolitik setzen sollten.

Robert Rothe, Eleven: Angesichts des nach wie vor hohen Spam- und Malware-Aufkommens und der Tendenz, diese in riesigen Wellen zu verbreiten, wird die Sicherstellung geschäftsrelevanter E-Mail-Kommunikation 2009 zur zentralen Aufgabe von Systemadministratoren werden. Die dauerhaft hohe Belastung durch das steigende E-Mail-Aufkommen und die Gefahr der Überlastung durch Spitzenlastsituationen bringen die E-Mail- und damit die gesamte IT-Infrastruktur von Unternehmen immer wieder an ihre Grenzen. Diese vor Überlastung zu schützen und die riesigen Spam-Mengen vom Unternehmen fernzuhalten sind wesentliche Aufgaben, denen sich Systemadministratoren 2009 widmen müssen.

Klaus Jetter, F-Secure: Neben ständig neuen Bedrohungen von außen werden sich Administratoren auch verstärkt gegen Fehler zur Wehr setzen müssen, die durch die eigenen Angestellten verursacht werden – sei es aus Versehen oder ganz bewusst. So hat beispielsweise das US-Verteidigungsministerium erst kürzlich alle USB-Ports gesperrt, um Missbrauch vorzubeugen.

Es wird zudem ein kontinuierlicher Anstieg an Online-Bedrohungen mit einer permanenten, inkrementellen Weiterentwicklung der damit verbundenen Malware zu beobachten sein. Online-Verbrechen wird mittlerweile als wirkliches Geschäft angesehen und wir können keine Veränderungen dieser Taktiken registrieren. Es dürften Hunderte von Millionen bis hin zu Milliarden US-Dollar jedes Jahr durch solche Verbrechen verloren gehen.

Strafverfolgungsbehörden werden immer mehr den Wert des Kampfes gegen das Online-Verbrechen erkennen und dieser Bedarf zur Schaffung einer internationalen Einsatzgruppe mit Forschungsexperten, Strafverfolgungsrechten und Kooperation mit lokalen Behörden führen wird. Die Forderung zur Schaffung einer „Internetpol“ durch Mikko Hypponen, Chief Research Officer bei F-Secure, ist international auf sehr großes Interesse gestoßen.

Reiner Baumann, Ironport: 2009 werden die Cyber-Kriminellen verstärkt auf „Cross-protocol“-Attacken setzen, also eine Kombination aus E-Mail, webbasierten Angriffen und Intrusions. Diese Methode war bereits in den letzten Jahren erfolgreich und wird 2009 noch weiter zunehmen. Wir erwarten außerdem mehr multitaskingfähige Botnets, um Spam zu versenden, Malware zu hosten oder auch direkt eine Attacke auszulösen.

Um sich gegen diese Multi-Protocol-Angriffe zu verteidigen, müssen Administratoren Sicherheitssysteme einsetzen, die alle Muster im Internetverkehr überwachen und neue Gefahren schnell identifizieren und stoppen können. Einschichtige Lösungen, die nur auf eine Bedrohungsart abzielen oder Daten zwischen den Bereichen E-Mail, Web oder IP nicht in Beziehung setzen können, werden künftig nicht ausreichen, um Unternehmen gegen diese vielschichtigen Angriffsformen zu schützen.

Gefährdet die Rezession die IT-Sicherheit?

Axel Diekmann, Kaspersky: Sogenannte Drive-By-Downloads gehören seit letztem Jahr zu den kritischsten Infektionsrisiken und dürften auch in Zukunft weiter an Bedeutung gewinnen. Auch die Nutzung von Social-Networking-Plattformen in Unternehmen wird zunehmen – Seiten wie Myspace, Facebook & Co. werden aber weiterhin auf der Agenda der Malware-Programmierer stehen. Gerade für Unternehmen birgt das einige Risiken. Hier die Balance zwischen flexiblen Kommunikationsmöglichkeiten für Mitarbeiter und der Sicherheit des Firmennetzwerks zu finden wird sicher eine große Herausforderung im neuen Jahr.

Hans-Peter Bauer, McAfee: Man muss sich auf strengere Regeln bezüglich des Themas „Compliance“ einstellen – auch bedingt durch die wirtschaftliche Krise, die sich momentan abzeichnet. Auch Maßnahmen und Konsequenzen bei Datenverlust werden wahrscheinlich härter geahndet werden.

Alexander Peters, Messagelabs: Erhöhte Anforderungen an die IT und Budgetkürzungen in Zeiten von Rezession und Finanzkrise sind unumgänglich. Zu den erhöhten Anforderungen gehört sicherlich immer noch die Problematik mit der fortschreitenden De-Perimetrisierung des Firmennetzwerkes etwa durch Partner und mobile Benutzer – also wie integriere ich effektiv mobile Benutzer in die Sicherheits-Policy des Unternehmens. Aber auch die korrekte Einstufung schützenswerter Daten ist weiterhin eine große Herausforderung.

Hermann Klein, Stonesoft: Angriffstechniken werden sich auch in Zukunft weiter entwickeln und die Zahl der Attacken weiter zunehmen. Da die Budgets aller Voraussicht nach nicht wachsen werden, müssen Managementsysteme und Abwehrstrategien entwickelt werden, die den Admin intelligent unterstützen und seine Arbeit vereinfachen. Mehr Effizienz ist gefragt!

Frank Schwittay, Trend Micro: Vielzahl und Geschwindigkeit der Änderungen auf dem Malware-Sektor werden sicher auch einigen Administratoren das Leben schwer machen. Malware jeglicher Art muss der Weg ins Netzwerk verwehrt bleiben, passiert aber dennoch etwas, dann hat der Administrator alle Hände voll zu tun.

Kein Hersteller von Sicherheitslösungen kann eine 100-prozentige Sicherheit garantieren.

Monika Nordmann, Utimaco: Lange Zeit mussten sich die Administratoren selbst mit der Abstimmung und Integration verschiedenster Security-Lösungen für einzelne Einsatzgebiete befassen. Dies ist nicht nur aufwendig, sondern auch kostspielig. Heute wollen Administratoren optimal aufeinander abgestimmte Lösungen für verschiedene Anforderungen wie Verschlüsselung, Virenschutz, Sicherung mobiler Endgeräte und eine wirksame Zugriffskontrolle.

Ein wichtiger Aspekt dabei: Integrierte Produkte, die einfach in der Implementierung und Handhabung sind, erweisen sich im Betrieb als kostengünstiger. Ein zentrales Management, das auf vorhandenen Infrastrukturen aufbauen kann, trägt ebenfalls zur Kostensenkung bei. Zusammengefasst bieten zentral administrierbare und gut integrierte Lösungen einen effektiven Schutz bestehend aus Datensicherheit, Endpunktsicherheit und Kontrolle (Endpoint Security and Control) sowie Überwachung des Netzwerkzugangs (NAC, Network Access Control). Möglich wird damit eine optimale Umsetzung einheitlicher unternehmensweiter Sicherheitsrichtlinien.

Im nächsten Jahr werden sich in Anbetracht der drohenden Wirtschaftskrise die Herausforderungen für die Administratoren noch erhöhen. Bei allgemein sinkenden Budgets müssen sie noch stärker als bisher um Investitionen in die IT-Sicherheit kämpfen.

Michael Neumayr, Websense: Die Mitarbeiter sind heute mobiler als je zuvor. Generelle Verbote sind daher nicht nur unrealistisch, sie behindern jegliche Geschäftstätigkeit. Stattdessen sollten Unternehmen aktiv die vielfältigen Möglichkeiten des Web 2.0 für sich nutzen. Allerdings reichen die herkömmlichen Ansätze im Web 2.0 nicht aus. Unternehmen benötigen daher Lösungen, wie sie Websense bereitstellt, mit denen sie das Web 2.0 sicher verwenden können.

Security-Manager sollten sich im kommenden Jahr auf sich ständig ändernde Bedrohungen einstellen. Dabei verlagert sich der Schwerpunkt ihrer Schutzmaßnahmen: Weg von der Infrastrukturüberwachung bei nach innen gerichteten Angriffen – ein Modell das gut zu Perimeterabgrenzungen und dem Internet als Bezugsquelle von Inhalten passte – hin zum Schutz vor Verlust essenzieller Informationen nach außen durch Blended Threats sowie unbeabsichtigte Datenverluste und bewussten Datendiebstahl. Diese Maßnahmen müssen im Einklang mit Web 2.0 und dem Internet als Business Plattform stehen.

Um Risiken in Anbetracht veränderter Bedrohungen beherrschbar zu machen, müssen Unternehmen ihre Maßnahmen bei der Web-, Messaging- und Datensicherheit grundsätzlich überdenken. Statt über Technologien nachzudenken, sollten sie den Fokus auf die Daten richten. Welche Daten sind für ein Unternehmen von kritischer Bedeutung und müssen vor einer unbeabsichtigten Weitergabe geschützt werden? Wo befinden sich die unternehmenskritischen Daten? Wer ist berechtigt, auf sensitive Inhalte oder Anwendungen zuzugreifen? In welchen Geschäftsprozessen werden diese Daten genutzt und über welche Kanäle können sie sicher übermittelt werden?

IT-Sicherheit wird Chefsache

Cyber-Kriminelle sind Gewohnheitstiere. Zwar werden die Angriffe und Spamwellen ausgefeilter, im Endeffekt stehen die Netzwerkbewacher aber immer wieder vor den gleichen Problemen. Höchste Zeit also, dass neue Lösungen und andere Ansätze ausprobiert und bestehende Abwehrmaßnahmen optimiert werden. Wir wollten von unseren Profis wissen, welche allgemeinen Sicherheitstrends sie in diesem Jahr sehen.

Gert Hansen, Astaro: UTM-Lösungen werden sich weiterentwickeln und weiterhin mehr und mehr Funktionen in einzelne, einfach zu verwaltende Lösungen konsolidieren. Funktionen wie E-Mail-Archivierung, WAN-Optimierung, Vulnerability Assessment und Load Balancing werden kurz- oder mittelfristig in das UTM-Angebot mit aufgenommen.

Lokale Sicherheitsdienste werden in Zukunft mehr und mehr durch SaaS- und Cloud-Angebote ersetzt, meist wegen der geringeren Unterhaltskosten und der einfacheren Administration. Die Aufmerksamkeit, die Viren-Scanning für E-Mails die letzten Jahre hatte, wird sich in Richtung der detaillierten Analyse von Webtraffic verschieben.

Kurt Denk, CA: Sicherheit wird zur Chefsache. Führende Analysten haben eine Verschiebung von sicherheitsrelevanten Entscheidungen von der mittleren Managementebene zum Topmanagement festgestellt. Dieser Trend wird sich in 2009 höchstwahrscheinlich noch verstärken.

Dr. Christoph Skornia, Checkpoint: IT-Sicherheit wird den Anstrengungen im Bereich Konsolidierung und Virtualisierung Rechnung tragen müssen. Ein konkretes Thema besteht unter anderem beim Zusammenwachsen von IPS und Firewalling. Außerdem müssen wir den überbordenden Ressourcenhang von einzelnen Lösungen im Endpoint-Security-Bereich in den Griff bekommen. Mobilität und somit auch die Virtualisierung von Arbeitsumgebungen stellen aus Sicherheitssicht eine weitere Herausforderung für 2009 dar.

Robert Rothe, Eleven: Wir erwarten, dass sich die Trends des Jahres 2008 im kommenden Jahr fortsetzen. Um reputationsbasierte Anti-Spam-Verfahren zu umgehen und ihre Botnets zu erweitern, werden Spammer weiterhin legitime Infrastrukturen wie Unternehmensnetzwerke oder Webmail-Dienste nutzen. Um die Botnets zu erweitern und zu erwartenden weiteren Abschaltungen spamfreundlicher ISPs und Hoster entgegenzutreten, wird der Anteil geschickt getarnter E-Mails, die der Verbreitung gefährlicher Viren dienen, eher noch zunehmen.

Vor allem im ersten Quartal 2009, wenn die Botnets wieder aufgebaut sind und die Virenwellen Früchte getragen haben, erwarten wir einen neuerlichen rasanten Anstieg des Spam-Volumens zumindest auf die Höchstwerte vom Juni 2008. Spam ist nach wie vor ein äußerst lukratives Geschäft, das sich die Spammer nicht entgehen lassen wollen.

Klaus Jetter, F-Secure: Online-Kriminelle werden nach wie vor vorrangig aus finanziellen Gründen heraus agieren. Hersteller von Sicherheitssoftware müssen sich auf dieses veränderte Verhalten der Cyber-Kriminellen einstellen und entsprechende Lösungen bieten.

Auch Botnets werden immer gefährlicher und nutzen neue Technologien wie beispielsweise Peer-to-Peer, um den Schaden so noch zu vergrößern. Verwaiste Botnets werden zwar nicht mehr aktiv betrieben, hindern die Rechner aber trotzdem an einer effizienten Performance. Die zusätzlichen Erfolge der Ermittlungsbehörden bezüglich der Abschaltung von Command-and-Control-Servern könnten dazu führen, dass es zu einem Online-Gebietskrieg zwischen den Online-Gangs um die noch verbliebenen Ressourcen kommt.

Die Bedrohungen für mobile Geräte wie Handys und Smartphones werden zunehmen. Die auf ihnen befindlichen Daten – seien es private oder wichtige geschäftliche Informationen – sind derzeit den Angriffen von außen größtenteils schutzlos ausgesetzt. Daten können sowohl im Falle eines Verlustes als auch, wenn sie sich noch beim Besitzer befinden, ohne großen Aufwand ausgelesen und missbraucht werden. Und der erste iPhone-Wurm lässt sicher auch nicht mehr lange auf sich warten.

Reiner Baumann, Ironport: Die Attacken werden gezielter, häufiger, kleiner im Versandumfang und noch raffinierter. Sie werden schneller durchgeführt und für spezielle Ziele entwickelt – adressiert an Einzelpersonen oder Gruppen, Unternehmen, Organisationen oder gar Regierungen. Die weltweite Finanzkrise wird weiterhin für Schlagzeilen sorgen, Naturkatastrophen oder Unruhen werden Themen sein, und ein neuer US-Präsident tritt 2009 seinen Posten an.

Die Web-Piraten werden sicher wissen, wie sie solche Ereignisse für sich nutzen und davon profitieren können. Social Engineering und Phishing-Techniken sind bereits sehr erfolgreich und werden noch weiter optimiert. Es wird mehr Spezialisten unter den Kriminellen geben, die eine oder mehr Schlüsselkomponenten für eine erfolgreiche Attacke liefern. Mit ihrer wachsenden Expertise wird sich auch ihr Ruf verbreiten und damit die Nachfrage anderer Krimineller, die ihre eigenen schlagkräftigen Angriffe starten wollen.

Cyber-Kriminelle greifen gezielter an

Axel Diekmann, Kaspersky: Umwälzende Änderungen der Sicherheitsarchitektur wird es 2009 sicher nicht geben – denn in diesem Jahr wurden so viele neue Technologien etabliert, deren Potenzial erst noch voll ausgeschöpft werden muss. HIPS-Technologien werden sicherlich an Bedeutung gewinnen und auch die eigentlich schon kurzen Reaktionszeiten auf neue Bedrohungen dürften 2009 noch einmal deutlich nach unten geschraubt werden.

Hans-Peter Bauer, McAfee: Die Anzahl und Komplexität von Attacken – besonders lokale Attacken und Angriffe im Bereich Social Engineering – werden zunehmen. In Zeiten wirtschaftlichen Abflauens sind sicher auch Wirtschaftsspionage und Diebstahl vertraulicher Daten ein Thema. Auf der anderen Seite werden sich integrierte und intelligente Sicherheitsgesamtlösungen als sinnvolle Gegenmaßnahmen weiter durchsetzen.

Alexander Peters, Messagelabs: Ich sehe einen klaren Trend zu einer ganzheitlicheren Betrachtungsweise der gesamten Security-Thematik. Die Strategie eines jeden Unternehmens muss auch Aspekte der Informationssicherheit beinhalten, und daher muss diese letztlich gemeinsam mit der Geschäftsleitung und den Führungskräften in allen anderen Bereichen ausgearbeitet werden. Die Stärke von Unternehmen liegt in der effizienten Nutzung von Informationen und reibungsloser Kommunikation sowie Austausch von Daten. Diese Informationen und Daten müssen abgesichert werden und dabei zugänglich bleiben.

Diese strategische Ausrichtung bringt mich daher zu einem weiteren Trend, und zwar der möglichst vereinheitlichten Verwaltung diverser Security-Komponenten. Hier haben natürlich Managed Security-Anbieter langjährige Erfahrung in den Bereichen Infrastruktur-Management, Monitoring und Reporting. Das Ziel sollte es sein, eine einzelne Plattform zu liefern und mittels Integration von internen Benutzerverzeichnissen für die Rechteverteilung sowie individueller Security-Policy-Regeln die entsprechenden Sicherheitsrichtlinien protokoll- und anwendungsübergreifend umsetzen zu können.

Hermann Klein, Stonesoft: Security in virtuellen Umgebungen ist heute weitgehend nicht vorhanden. Hier besteht enormer Nachholbedarf sowohl an Schulungen als auch an Lösungen.

Frank Schwittay, Trend Micro: Was letztendlich an der Malware-Front passieren wird, können wir als Sicherheitsunternehmen nicht vorhersehen, jedoch zeigen die Trends der letzten Monate, dass die Flut an Malware nicht abreißt, sondern eher zunimmt.

Monika Nordmann, Utimaco: Die großen IT-Security-Themen bleiben uns auch 2009 erhalten. Der Datenschutz in den Unternehmen und der sorgfältige Umgang mit sensiblen Kundendaten haben weiterhin hohe Priorität. Daher müssen Unternehmen gezielt investieren, um die Risiken aus Datenverlusten zu minimieren. Kurz gesagt hat der Datensicherheitsexperte Utimaco fünf Trends ausgemacht, die den IT-Security-Markt 2009 entscheidend prägen werden:

• Neue Technologien wie Cloud Computing oder SaaS bedingen neue, erhöhte Sicherheitsstandards und -regelungen, da der direkte und unmittelbare Austausch von Informationen neue Anforderungen an die Sicherheit mit sich bringt.

• Die auf Bundesebene geplante Novellierung und Verschärfung des Datenschutzgesetzes führt zu mehr Verschlüsselung. Utimaco fordert darüber hinaus eine Informationspflicht für Unternehmen im Falle des Verlusts unverschlüsselter Daten.

• Das Thema Datensicherheit ist in der Öffentlichkeit angekommen. Dadurch steigt für Unternehmen das Risiko, bei einem Datenverlust das Vertrauen der Kunden zu verlieren und die eigene Existenz zu gefährden.

• Die Datensicherheit für kleine und mittlere Unternehmen wird einfacher: Für 2009 sind verschieden Produkt-Bundles geplant, sodass die Unternehmen nicht mehr mit mehreren Lieferanten verhandeln und unterschiedliche Lösungen aufeinander abstimmen müssen.

• Die Wirtschaftskrise wird das Risiko des Datenklaus erhöhen, einerseits wird die Hemmschwelle gegenüber der Wirtschaftsspionage sinken, andererseits wird durch Entlassungen die Anzahl unzufriedener Mitarbeiter erhöht und deren Bereitschaft, Daten an Unbefugte weiterzugeben, gesteigert.

Michael Neumayr, Websense: Hacker werden weiterhin sehr kreativ bei der Ausnutzung von benutzergeneriertem Content und Web-2.0-Applikationen sein, was zu erhöhten Sicherheitsanforderungen in den Unternehmen führt. Marktbeobachter aus den Security Labs erwarten eine steigende Zahl von Angriffen auf Special Interest Groups. Mit einer steigenden Spamflut und den Diskussionsforen auf Newsportalen, den interaktiven Medien und Social Networks müssen Unternehmen ihre Web-, Messaging- und Datensicherheitsmaßnahmen so anpassen, dass Lücken geschlossen sind und die Wege kontrolliert werden, auf denen Hacker ihre Malware verbreiten, um sich finanzielle Vorteile zu verschaffen.

Die Zahl der für kriminelle Machenschaften „gekaperten“ Webseiten ist in diesem Jahr stark angestiegen und übertrifft heute die Zahl der eigens erstellen „bösartigen“ Webseiten. Forscher aus den Websense Security Labs erwarten, dass sich dieser Trend fortsetzt und Hacker immer neue Wege finden werden, die „Glaubwürdigkeit“ von Webseiten für ihre böswilligen Zwecke auszunutzen.

Sicherheit trotz Krise – Tipps für die Diskussion mit dem CFO

Um den Betrieb aufrechtzuerhalten ist IT-Sicherheit unerlässlich. Das Problem: Oft erkennt man den Wert von Sicherheitsinfrastruktur erst, wenn etwas passiert ist. Im Normalbetrieb fallen die Maßnahmen im Idealfall nicht auf. Dadurch gelangen Administratoren in eine Zwickmühle: Sie müssen gegenüber der Finanzabteilung Kosten rechtfertigen, die im besten Fall dafür sorgen, dass nichts passiert. In Zeiten knapper Kassen benötigen Admins gute Argumente, um neue Investitionen zu rechtfertigen. Wie also erklärt man Nicht-ITlern, dass Sicherheit zwar Geld kostet, aber auch eine Wertschöpfung für die Firma darstellt?

Gert Hansen, Astaro: Ziel in 2009 wird es sein, mit den vorhandenen Ressourcen und kleinen Investments den größten Nutzen zu erzielen. Das bezieht sich auf IT-Sicherheit genau so wie auf die Effizienz von Mitarbeitern. Heutige Sicherheitsprodukte, vor allem die aus dem UTM-Bereich, bieten neben dem Schutz vor möglichen Gefahren auch Funktionalitäten, um die Produktivität der Mitarbeiter und des Unternehmens zu steigern. Die Filterung von Spam, das Blockieren von nicht-produktiven Webseiten sowie das Kontrollieren von Instant Messaging und Peer-to-Peer-Applikationen führt zu weniger Ablenkung am Arbeitsplatz und senkt den manuellen Aufwand, unerwünschte Daten auszusortieren.

Eine gute, effektive Sicherheitsleistung ohne Wartungs- und Administrationsaufwand hält den CIOs den Rücken frei, um sich anderen Aufgaben im Unternehmen zu stellen. CIOs sollten sich neben den großen, bekannten Anbietern auch kleinere Hersteller anschauen, weil diese bei mindestens gleicher Funktionalität meist ein viel besseres Preis-Leistungs-Verhältnis bieten.

Kurt Denk, CA: Ich würde den Admins eine unabhängige weltweite Studie zu den Kosten von Compliance-Maßnahmen vom November 2008 zur Hand geben. Und die Kernaussage zu den Risiken und Kosten einer zentralen Kontrolle ganz dick anstreichen: „...die Studie belegt zudem, dass die Mehrzahl der Befragten versucht, auf manuellem Wege die Einhaltung von Compliance-Vorgaben zu erreichen. Klar ist jedoch, dass das Fehlen einer zentralen Kontrolle „die Garantie für schwindelerregende Ausgaben“ – in einer zunehmend regulierten Umgebung – ist.“

Robert Rothe, Eleven: Gerade E-Mail-Sicherheitslösungen bieten Einsparungspotenziale, die zu einer Kostensenkung im Unternehmen beitragen können. So können Managed Services, die Spam-Mails bereits abfangen, bevor sie das Unternehmen erreichen, die Belastung der E-Mail-Infrastruktur um bis zu 95 Prozent reduzieren. Das Ergebnis: Zusätzliche Hardware wird nicht benötigt, im Gegenteil: Oftmals kann sogar Hardware eingespart werden.

Klaus Jetter, F-Secure: Sicherzustellen, dass die Hardware unproblematisch im Hintergrund läuft, bewacht auch den gesamten Betrieb der Firma. Gibt es Probleme, sind alle Stellen betroffen – von der Personalabteilung bis zu den Sachbearbeitern. Sind es nur technische Ausfälle, kosten diese wertvolle Mannstunden. Ist aber die Sicherheit der Firma durch Spione oder Datendiebe gefährdet, wird es schnell sehr viel teurer.

Hier ist das Know-how, also das wichtigste Basiskapital des Unternehmens, in Gefahr. Datenspione können die Informationen für ihre Zwecke nutzen oder an die Konkurrenz verkaufen und so großen wirtschaftlichen Schaden anrichten. Für die umfassende Absicherung ist vor allem wichtig, dass die Lösungen zentral administriert werden können und sich ohne großen Aufwand verwalten lassen.

Reiner Baumann, Ironport: 2009 wird der Trend zu Telearbeit sowie der verzahnten Nutzung von webbasierten Tools, mobilen Geräten, Virtualisierung, Cloud Computing und ähnlichen Technologien weiter zunehmen. Unternehmen verbessern damit vor allem im derzeitigen wirtschaftlichen Klima klar ihre Produktivität. Das heißt aber auch, dass Kommunikationswege und interne Daten mehr denn je geschützt werden müssen, etwa vor Angriffen von außen, Missbrauch durch „Insider“ oder Fahrlässigkeiten zum Beispiel mit mobilen Geräten. Um diesen Trends entgegenzuwirken sind ein integriertes Sicherheitsmanagement, Reputationsbewertung in Echtzeit und mehrschichtige Ansätze erforderlich.

Klare Fakten können Administratoren vorlegen, wenn sie eine kostenlose Evaluierung durchführen. Das Protokoll schafft einen deutlichen Überblick, wie viele Rechner im Unternehmen bereits mit Malware infiziert sind, wie viele Verbindungen ins Internet zu kompromittierten Seiten aufgebaut werden und was danach passiert, sofern unzureichende Schutzmechanismen vorhanden sind. Diese Reports helfen einerseits in der Argumentation, eine solche Lösung einzusetzen, und ermöglichen andererseits die Kontrolle des Web-Verkehrs am Gateway.

Last but not least müssen die Administratoren verdeutlichen, welch enorme Folgen eine ungenügende Absicherung für die Firmen haben kann. Etwa wenn Kundendaten verloren gehen, kann das nicht nur am Image kratzen, sondern gar Schadensersatzforderungen oder sinkende Aktienkurse nach sich ziehen.

IT-Vorteile müssen betriebswirtschaftlich verständlich sein

Axel Diekmann, Kaspersky: IT-Sicherheit lässt sich natürlich nicht immer fair berechnen. Der CIO sollte aber die betriebswirtschaftlichen Gesamtzusammenhänge des Unternehmens verstehen. Er muss die Risiken durch eine ungenügende IT-Sicherheit weniger technisch, dafür eher betriebswirtschaftlich darstellen. Eine gängige Argumentation in Unternehmen geht dahin, dass Sicherheit keinen direkt messbaren Ertrag im Unternehmen bringen würde.

Oberflächlich betrachtet mag das stimmen, doch auf den zweiten Blick nicht. Denn Verlust – egal, ob er aufgrund mangelnder Vertriebsleistung oder aufgrund mangelnder Sicherheitsstrukturen auftritt – reduziert den erwarteten Gewinn merklich. Diese Botschaft muss vom CIO zum CFO transportiert werden. Sicherheit muss als Förderer der Chancen und damit des Unternehmensgewinns verstanden werden.

Hans-Peter Bauer, McAfee: Integrierte Gesamtlösungen können signifikant zu mehr Wirtschaftlichkeit – siehe Vendor-Konsolidierung, TCO etc. – und Kosteneffizienz speziell bei Compliance beitragen. Auch der Schutz vertraulicher Daten wiegt meistens die Kosten bei Weitem auf, die zu begleichen wären, wenn diese in die Hände unberechtigter Dritter geraten würden. Diese Sicherheitslösungen leisten auf lange Sicht einen erheblichen Beitrag zum Unternehmenserfolg bei.

Alexander Peters, Messagelabs: Admins müssen im Rahmen von Gesamtkostenanalysen ganz klar auch die entsprechenden Kostenpunkte aufführen, welche bei einem möglichen Sicherheitsproblem auftauchen könnten. Bei Anti-Virus-Lösungen sind dies beispielsweise die Kosten für die Bereinigung infizierter Systeme sowie eine Analyse des möglichen Schadens für das Unternehmen im Falle des Verlustes sensibler Daten an nicht-autorisierte Dritte. Hierfür sind natürlich auch Kenntnisse erforderlich in den Bereichen Risikoanalyse und IT-Recht.

Letztlich muss man der Geschäftsleitung und/oder dem CFO ein Business Case für die geplante Security-Lösung inklusive Alternativen und Selektionskriterien präsentieren können, welches mit Zahlen (also Euro) untermauert werden kann. Dies bedeutet jedoch unter Umständen, dass man sich von klassischen Lösungsansätzen, welche auf Soft- und Hardware basieren, loslösen muss, wenn dies technologisch und wirtschaftlich sinnvoller ist.

Hermann Klein, Stonesoft: Die Kosten eines Systemausfalls oder Datenverlusts/-diebstahls übersteigen die Kosten eines Security-Systems schnell. Wenn beispielsweise ein E-Commerce-System geknackt wird oder wegen Netzwerkattacken ausfällt, ist schnell immenser Schaden entstanden, ganz unabhängig von nachfolgenden Image- und Vertrauensproblemen bei Kunden und Partnern. Nicht zuletzt sind auch inzwischen eine wirksame IT-Security-Policy und Absicherung Bestandteil von Ratings, die die Kreditwürdigkeit eines Unternehmens beurteilen und direkten Einfluss auf Zinssätze und Kreditlimits haben.

Frank Schwittay, Trend Micro: Ein Administrator kann jederzeit mit folgenden Argumenten Überzeugungsarbeit leisten: Sicherheitssoft- oder -hardware wehrt Spam ab, wodurch weniger Speicherkapazität verloren geht. Ausfallzeiten durch Malware-Manipulationen werden verhindert oder minimiert, und die Gefahr, dass unternehmensrelevante und vertrauliche Daten das Unternehmen verlassen, wird deutlich reduziert.

Jedes dieser Argumente kann betriebswirtschaftlich beleuchtet und mit finanziellen Einbußen quantifiziert werden. Natürlich sind diese Größen in Unternehmen unterschiedlich ausgeprägt. Wenn jedoch ein Unternehmen, egal ob Mittelstand oder Großbetrieb, eine Stunde stillsteht, kann man den Verlust beziffern. Auch der Wert von Speicherkapazitäten kann beziffert werden, ebenso der Verlust bedingt durch Unternehmensspionage. Mit dieser Aufstellung dürfte der Administrator den Chief Financial Officer überzeugen können.

Monika Nordmann, Utimaco: Wo im nächsten Jahr aufgrund der verschärften Rezession Jobs verloren gehen und Mitarbeiter entlassen werden, sind sensible Unternehmensdaten einem erhöhten Risiko ausgesetzt. Selbst in normalen Zeiten ist die Datensicherheit durch nachlässige, aber auch unzufriedene Mitarbeiter gefährdet. Auch wenn die große Mehrheit der Mitarbeiter sich loyal verhält: Das Risiko, dass unternehmenskritische Daten in die falschen Hände geraten, steigt in wirtschaftsschwachen Zeiten deutlich. Zusätzlich steigen beispielsweise durch Wirtschaftsspionage die Bedrohungen von außen. Die Ausgaben für IT-Security gerade am Arbeitsplatz zahlen sich unter dieser Prämisse im nächsten Jahr ganz besonders aus.

In nächster Zeit werden die Compliance-Richtlinien weiter verschärft, was zusätzliche Investitionen in die IT-Sicherheit notwendig macht. Wer keine Maßnahmen ergreift, muss bei Datenverlusten auch mit hohem Imageverlust rechnen – und dass Kunden massiv abwandern. Ein deutlicher Rückgang der Kundenloyalität führt dann sehr schnell zu sinkenden Umsätzen, was in der Konsequenz die Existenz eines Unternehmens gefährden kann.

Michael Neumayr, Websense: In wirtschaftlich schwierigen Zeiten und unter Rahmenbedingungen, die den Weg für Firmenzusammenschlüsse und -aufkäufe bereiten, sind Fragen zur Sicherheit sensibler Daten besonders drängend. Wie etwa sind diese Daten bei einem Eigentümerwechsel geschützt? Kann ein unzufriedener Mitarbeiter, der das Unternehmen verlässt, sensible Daten mitnehmen? Wenn Unternehmen umstrukturiert werden, wissen Unternehmen dann immer noch, wo sich ihre essenziellen Informationen befinden?

All diese Fragen unterstreichen die Notwendigkeit einer wirksamen Strategie für Data Loss Prevention (DLP). Die Risiken von Datenverlusten lassen sich durch den Einsatz geeigneter Technologien reduzieren. Gerade unter den gegenwärtigen wirtschaftlichen Bedingungen lohnen sich Investitionen in innovative DLP-Technologien – und das zu überschaubaren Total Cost of Ownership (TCO). Denn die Kosten eines möglichen Datenverlustes und der damit verbundene Imageschaden übersteigen die Investitionen in DLP bei Weitem.

Für das Verständnis von Daten, Risiko und Geschäftsprozessen wird ein verlässliches System zur Datenrückverfolgung inklusive Erfassung der Zusammenhänge benötigt – eine Einschätzung der vielfältigen Aspekte der Nutzungssituation für einschlägige Bewertung und aussagekräftige Kontrollen. Wer heute investiert, wird nach Überwindung der aktuellen Rezession umso stärker im künftigen Wettbewerb dastehen.

Fazit: Investitionen ja – aber effizient und gut erklärt

Der Tenor ist klar: Auch 2009 müssen Unternehmen in die Sicherheit ihrer Systeme und ihrer Daten investieren. Allerdings liegt es hier bei den IT-Verantwortlichen, effiziente Systeme aufzubauen und bestehende zu optimieren. Die wichtigste Lektion ist aber in der Kommunikation zu lernen. Vorbei sind die Zeiten, da IT einen Sonderstatus genoss und als unantastbar galt.

Wichtiger denn je ist es, die Herausforderungen und Investitionen in einer Art zu erklären, welche Nicht-ITler verstehen. Denn CFOs haben weder Zeit noch Lust, beständig neue Technologien und Fachtermini zu lernen oder sich über Malware- und Spam-Entwicklung auf dem Laufenden zu halten. Dazu schadet es nicht, wenn IT-Verantwortliche “überkommunizieren“. Informieren Sie Ihre Vorgesetzen lieber zu viel als zu wenig. Nur wenn Sie die Wichtigkeit der IT-Infrastruktur auch einfach herausstellen und erklären, lassen sich auch neue Investitionen vernünftig argumentieren. Denn eins ist klar: Cybercrime wird durch die kommende Rezession nicht schrumpfen – im Gegenteil. (mja)