IT-Sicherheit - Erhöhtes Risiko verlangt mehr Flexibilität

Cloud-Services und soziale Netzwerke im Fokus von Cyber-Kriminellen

Christian Wirsig, Kaspersky Lab: Das Thema Cloud-Security wird sicherlich immer wichtiger werden, aber auch die Sicherheit allgemeiner Cloud-Services oder verschiedener Web-Dienstleistungen wird in vielen IT-Abteilungen ganz oben auf der Agenda stehen. Hier gilt es, einen Mittelweg zwischen Verboten und sinnvollen Regeln zu finden, sodass die Mitarbeiter alle gewünschten Möglichkeiten ausschöpfen können, die Sicherheit des Firmennetzwerks aber dennoch gewährleistet bleibt.

Toralv Dirro, McAfee: Das Thema Web 2.0 und die Frage, wie damit in Unternehmen umzugehen ist, wird im Unternehmensbereich eine prominente Rolle spielen. Nicht nur aus technischer Sicht, sondern auch für die Personalführung . Regeln für Mitarbeiter zur Verfassung von Blogs, der Umgang mit Diensten wie Twitter oder generell die Nutzung von Social Networks sind festzulegen. Die Abwehr der „targeted attacks“ erfordert neue Anstrengungen. Dazu kommen der sichere Umgang mit Cloud-Services oder neue Hardwareplattformen als mobile Angriffsflächen, namentlich Smartphones und Netbooks. Schon früh sollte man sich mit den Möglichkeiten und Risiken von HTML 5 auseinandersetzen.

Stefanie Herrmann, Sendmail: Zahlreiche neue Datenschutzbestimmungen werden europaweit in Kraft treten. Wichtig hierbei ist, diese schnellstmöglich über die bestehende E-Mail-Infrastruktur umzusetzen und für eine präzise Einhaltung zu sorgen. Ebenso wichtig wie die Beachtung gesetzlicher Vorgaben ist die Einhaltung von Unternehmensrichtlinien im täglichen Messaging-Verkehr. Geschäftsgeheimnisse, Konstruktionspläne, eigenentwickelte Prozesse und anderes geistiges Eigentum können massiv gefährdet sein, wenn keine ausreichenden Schutzvorkehrungen getroffen worden sind. Verschlüsselung wird sicherlich auch weiterhin zu den Sicherheitstrends 2010 gehören. Gesetzliche Auflagen und strengere unternehmensinterne Sicherheitsregeln erhöhen den Druck zum Schutz sensibler Informationen, die zwischen autorisierten Kommunikationspartnern ausgetauscht werden.

Monika Nordmann, Sophos: Mit dem Thema Compliance hat der Druck, Vorkehrungen gegen Datenmissbrauch und -diebstahl zu treffen, zugenommen. Nicht nur IT-Administratoren sind in der Pflicht, Systeme und Netzwerke zu schützen. Denn Compliance ist nicht nur eine Frage technischer Vorkehrungen, sondern setzt strategische Grundsatzentscheidungen voraus und geht mit einer Analyse und Anpassung interner Prozesse einher.

Auch Datensicherheit und -schutz werden immer wichtiger. Vor allem kleine und mittelständische Unternehmen setzen oft nur auf einen Antivirenschutz und eine Firewall gegen Angriffe von außen. Doch unabhängig von Größe und Branche brauchen Firmen heute Komplettlösungen, die auch dann schützen, wenn es einem Angreifer gelungen ist, ins Netzwerk einzudringen, oder wenn Mitarbeiter unberechtigterweise auf Daten zugreifen. Dazu gehören etwa Verschlüsselungslösungen.

Olaf Mischkovsky, Symantec: Ein modernes Sicherheitsmodell braucht künftig keine Einzellösungen, sondern integrierte Lösungen, die dem Risiko angemessen reagieren und Informationen jederzeit und überall vor allen internen und externen Gefahren schützen. Eine der wichtigsten Voraussetzungen hierfür: Die Bereiche IT-Sicherheit und Storage sowie das Systemmanagement müssen zentral gesteuert sein.

Michael Scheffler, Websense: Cyber-Kriminellle reagieren sehr schnell auf das Verhalten der User im Internet. Je größer das Interesse an einem aktuellen Thema oder einer sozialen Web-2.0-Seite, desto höher ist auch die Wahrscheinlichkeit, dass Hacker hier anzutreffen sind und ihre Fallen aufstellen. Ein Beispiel dafür war die Ankündigung von Apples neuem Tablet-PC iPad. In den Websense Security Labs konnten wir in den Tagen vor dem 27. Januar eine Vielzahl von Mails ausmachen, mit denen Cyber-Kriminelle darauf abzielten, User, die Infos zu dem neuen Computer suchten, auf ihre mit Malware präparieren Webseiten zu locken. Kurz zuvor warb eine andere Spam-Mail-Kampagne mit angeblichen Infos über das verheerende Erdbeben in Haiti. Wer den Links in den Mails folgte, erhielt stattdessen einen Trojaner oder andere Programmcode.