Sicherheit wird zu oft vorausgesetzt

Netzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Die Hersteller reden immer weniger über Sicherheit, da sie Sicherheit mittlerweile eher als eingebettete Funktion verstehen denn als eigenständige Lösung. Das birgt aber Risiken, könnte die fehlende Kommunikation doch zu einem falschen Sicherheitsgefühl bei den Kunden führen. Sie gehen einfach davon aus, dass die von ihnen eingesetzten Produkte sicher sind.

Cisco Systems verkauft mehr Hardware aus dem Sicherheitsbereich als jeder andere Hersteller. Jedes Jahr setzt Cisco mehr als zwei Milliarden Dollar mit Sicherheitsprodukten um – das ist etwa zweimal so viel wie bei Juniper Networks oder Check Point Software Technologies. Und es ist zirka das Doppelte von dem, was Fortinet, SonicWall, WatchGuard und Barracuda zusammen umsetzen.

Und hier kommt das merkwürdige: Man hört nicht mehr allzu viel über Sicherheit von Cisco. Vor sechs Jahren konnte Cisco gar nicht genug über Sicherheit reden. Sie haben praktisch den Begriff »Network Access Control« erfunden und Millionen von Dollar für TV-Werbung ausgegeben, die sich selbst verteidigende Netzwerke anpreist. Heute spricht Cisco von Collaboration, virtualisierten Datenzentren, Telepresence und Borderless Networks.

Embedded Security

Fred Kost, Marketingdirektor für Sicherheitslösungen bei Cisco, sagt, dass sich das Unternehmen nun auf neue, aufstrebende Technologien konzentriert, die das Potenzial haben, das Wachstum des Unternehmens anzutreiben. Das soll aber nicht bedeuten, dass Sicherheit für Cisco nicht wichtig wäre. Tatsächlich ist es so, dass Sicherheit ein essenzielles Element im Zusammenhang mit Telepresence, virtuellen Datenzentren und grenzenlosen Netzwerken ist, so Kost. Will man Cloud Services einsetzen, dann müssen diese sicher sein. Sollen beliebige Endgeräte ins Netzwerk integriert werden, ohne dass man sich Sorgen machen muss, ist nahtlose Sicherheit vonnöten.

Was Kost beschreibt, ist eine Transformation der Sicherheitseinrichtungen, weg von der eigenständigen Lösung und hin zur eingebetteten Funktion. Das ganze letzte Jahrzehnt haben Sicherheitsspezialisten prophezeit, dass Sicherheit künftig in Anwendungen und Systeme eingebettet wird, so dass sie zu einer nahtlos integrierten – wenn nicht sogar transparenten – Funktion wird. Nutzer würden ihre Geräte fröhlich mit Netzwerken verbinden, ohne sich über Malware, unerwünschten Zugriff oder die Gefährdung sensibler Daten zu sorgen. Unternehmen würden nicht mehr teure Sicherheitsausrüstung und Anwendungen kaufen und warten müssen, weil die Verwaltung dafür schon in ihre alltäglichen Sicherheitsprodukte integriert ist.

Das ist eine schöne Vision, allerdings keine, die in der heutigen Realität begründet liegt. Sicherheit bleibt nach wie vor eine Verschmelzung von Features, die in Hardware- und Software-Produkte eingebettet sind, sowie aus eigenständigen Sicherheitslösungen wie Firewall, Intrusion Prevention und dem Schutz vor Datenverlust, die strategisch innerhalb der IT-Infrastruktur des Unternehmens platziert sind. Aber Hersteller wie Cisco, die ein Portfolio an Produkten und Diensten verkaufen, minimieren in steigendem Maße die Kernsicherheit zugunsten der angenommenen Sicherheit.

Cisco ist nicht der einzige Hersteller, der diesen Ansatz wählt. Auf seiner weltweiten Partnerkonferenz hat Microsoft das Wort Sicherheit kaum erwähnt. Stattdessen konzentrierte man sich auf Cloud-Computing und Mobilität, zwei der größten Trümpfe Microsofts. Wie Cisco sagen auch Microsofts Führungskräfte, dass sie Sicherheit als essenzielles Element ihrer Cloud-Computing-Strategie und ihrer sonstigen Pläne betrachten. Soweit es die Kernsicherheit betrifft – in Microsofts Fall bedeutet das Schwachstellen-Management – glauben die Manager, die Situation unter Kontrolle zu haben. Und diese Kontrolle versetzt sie in die Lage, Sicherheit auf eine Annahme zu reduzieren.

Wird zu viel vorausgesetzt?

In meinem Gespräch mit Cisco zu diesem Thema hat Kost korrekt festgestellt, dass Hersteller Gefahr laufen können, zu viel vorauszusetzen, wenn sie die Sicherheitsdiskussion auf ein Minimum reduzieren. Im Fall von Microsoft führte das Fehlen von Sicherheitsdebatten und Kommunikation dazu, dass sich einige Anbieter auf der Partnerkonferenz fragten, ob Sicherheit nicht länger wichtig wäre. Auf Kundenseite könnten fehlende Mitteilungen zu einem falschen Sicherheitsgefühl beitragen, oder schlimmer noch, zu einem Gefühl der Unverwundbarkeit. Was für Schock muss es für Mac-Anwender sein, wenn sie realisieren, dass sie gegen Malware und Hacker nicht immun sind.

Embedded Security sollte keine vermutete Sicherheit sein. Hersteller und Anbieter müssen die Intention und die Grenzen der eingebetteten Sicherheitsmechanismen klar artikulieren. Viele der eingebetteten Sicherheitsmaßnahmen wurden unter der Annahme entwickelt, dass es ergänzende Schutzeinrichtungen auf Netzwerkebene gibt, die die Hauptlast bei den Sicherheitskontrollen bewältigen. Ohne diese Einsicht werden einige Anwender – besonders kleinere Firmen – fälschlicherweise annehmen, dass sie sich die Kosten für spezifische Sicherheitsprodukte sparen können.

Mit der Zeit wird sich Embedded Security weiterentwickeln und viele der existierenden dedizierten Sicherheitslösungen ersetzen. Wenn dies geschieht, werden sich die Hersteller für den Vertrieb von einfachen Sicherheitsintegratoren abwenden und ihre Aufmerksamkeit auf Partner richten, die die Fähigkeit haben, ganzheitliche Systeme zu verkaufen. Diese Umstellung wird für einige Sicherheitslösungsanbieter sehr schmerzhaft verlaufen. Allerdings bekommen sie die Gelegenheit, ihr Geschäft neu auszurichten. Zum Beweis schauen Sie sich einmal den Juniper-Vertrieb an, bei dem Sicherheits- und Switching-Zubehör gebündelt werden, was viele neue Verkaufsmöglichkeiten eröffnet und die Zahl der Vertragsabschlüsse erhöht.

Wann werden eingebettete Systeme so ausgereift sein, dass man Sicherheit voraussetzen kann? Nicht so bald, wenn überhaupt jemals. Und schon aus diesem Grund dürfen Hersteller und Lösungsanbieter die Sicherheit nicht zur Fußnote in der Diskussion über ihre Technologien degradieren.