Security-Strategien
Wege zur Unternehmens-Sicherheit

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Art Coviello, Chief Executive des Sicherheitstechnologie-Anbieters RSA
über Strategien, die Unternehmen zu mehr Sicherheitsbewusstsein führen
sollen.

Security-Strategien

Sicherheit ist nach wie vor ein Thema für IT Manager, wie das große
Interesse an Veranstaltungen wie der RSA Conference 2004 letzten Monat
und der InfoSecurity Europe gezeigt hat. Der Eindruck, den man bei
derartigen Events gewinnt, lässt darauf schließen, dass die meisten
Organisationen noch weit von einer funktionierenden
Informationssicherung entfernt sind.

Art Coviello von RSA sitzt
an der richtigen Stelle, um die Bedeutung der IT-Sicherheit zum Wohle
eines Unternehmens zu verstehen . “Als Chief Executive ist mir klar,
dass ich für die Firma Verantwortung übernehme, und als Chief Executive
eines Technologie-Unternehmens ist mir auch klar, dass das
Cyber-Security einschließt”.

Allerdings behauptet
Coviello, dass so mancher Firmenchef noch mit den grundlegendsten Fragen
Probleme hat. “Was mir Sorgen macht ist, dass die Chefs in
nichttechnischen Unternehmensbereichen nicht verstehen, dass
IT-Sicherheit inzwischen Teil ihrer Vertrauensposition ist”, sagt
Coviello. Um die Situation zu verbessern, so Coviello, sollten die
Politiker die Verantwortlichen aller Unternehmensbereiche dazu
ermutigen, sich mehr für die Sicherung ihrer Firmensysteme zu
engagieren. “Regierungen könnten dazu beitragen, wenn sie den Firmen
Anregungen gäben statt Forderungen zu stellen”, so Coviello, “zum
Beispiel Steuervergünstigungen in Aussicht stellen, wenn bewährte
Methoden erfolgreich angewandt werden.”

Coviello fügt hinzu,
dass die Gesetzgeber gründlich nachdenken sollten, bevor sie neue
Gesetze zur Stärkung der IT-Sicherheit verabschieden. “Es gibt bereits
eine Menge Gesetze in diesem Sektor, ich weiß gar nicht, ob wir noch
mehr brauchen”, sagte er. “Und ich denke auch, dass bei bestimmten
Technologien Regelungen gefährlich sein können. Die Politiker sollten
ihren Job machen, aber sich bei Empfehlungen technologischer Verfahren
etwas zurückhalten.” Er merkt weiter an, dass Richtlinien, die für die
eine Firma passen, bei einer anderen ins Leere laufen, neue Richtlinien
also insgesamt wenig Nutzen bringen. “Es ist unpraktikabel, dasselbe
Sicherheitslevel von einer Firma zu fordern, die Verbrauchsgüter
herstellt, wie von einem Unternehmen, das für ein Übertragungsnetz
verantwortlich ist”, führt er aus.

Coviello behauptet,
dass mehr getan werden müsste, Firmen und Privatpersonen über die
Bedeutung von Sicherheit zu unterrichten. “Aber sagen Sie den Leuten
nicht einfach, dass es wichtig ist, sagen Sie ihnen, wie sie damit
umgehen sollen.” Er schlägt zum Beispiel eine konzertierte Aktion von
Politik und IT-Industrie vor, die Unternehmen zu bewährten Verfahren
hinführt, oder auch Initiativen, die notwendigen Informationen so
aufzubereiten, dass sie auf Führungs- und Vorstandsebene verstanden
werden.

Im Moment kämpfen viele Unternehmen gegen die wachsenden
Probleme Spam-Mail, Viren und Befolgung von gesetzlichen Richtlinien,
aber, so sagt es Coviello voraus, die Bedrohung der Zukunft heiße
Identity Theft, also Missbrauch digitaler Identitäten. Ein Großteil des
Online-Betrugs basiere auf Informationen aus der Offline-Welt,
beispielsweise aus einem verlorenen Geldbeutel. Diese Informationen
werden dann für betrügerische Handlungen im Internet verwendet. “Aber es
wird viel einfacher sein, ein Passwort zu knacken, als in der wirklichen
Welt einen Diebstahl zu riskieren”, fügt er hinzu. “Ein starker Schutz
digitaler Identitäten ist nötig, um dieser möglichen Gefahr zu begegnen.”

Im Augenblick sei aber Spam noch das Problem Nummer eins, sagt Coviello. Er
schätzt den Anteil von Spam-Mail auf 60%. “Die Filter werden besser,
aber jemand muss auch den Mail-Verkehr kontrollieren”, meint er. “Es
könnte helfen, wenn Service Provider ein wenig angespornt würden, die
Grundursachen zu analysieren.”

Es gebe aber auch Grund zu
Hoffnung, sagt Coviello, und nennt als Beispiel Microsofts neu
angekündigte Initiativen zur Verbesserung der IT-Sicherheit. Auf der
RSA-Konferenz enthüllte Microsoft seine Pläne, die auch Maßnahmen zur
E-Mail-Authentifizierung einschließen, um die Spam-Flut einzudämmen.
“Bill Gates hatte einiges zu erzählen über Microsofts Pläne”, so
Coviello. “Er sagte nicht einfach, ‘wir werden mehr Patches liefern’
oder ‘wir werden mit Anbietern von Sicherheitstechnologien
zusammenarbeiten’ oder ‘wir werden sicherere Software machen’. Microsoft
will all diese Maßnahmen ergreifen.”