Die IT-Sicherheitstrends 2012

Stark zugenommen hat zudem die Online-Zusammenarbeit mithilfe von Cloud-Angeboten. Auch Fragen rund um das Risikomanagement, Compliance und die Prozesssteuerung haben größere Aufmerksamkeit erfahren. Mit Trends und neuen Entwicklungen ist deshalb besonders in diesen Bereichen zu rechnen. Dr. Volker Scheidemann, Marketingleiter der Applied Security GmbH (apsec), nimmt im Interview Stellung zu den Anforderungen von Compliance und Online-Zusammenarbeit.

Dr. Volker Scheidemann: Die schlechte Nachricht vorweg: Auch 2012 werden wir massiv mit Cyberkriminalität, Datenklau und Netzwerkattacken zu tun haben. Dazu sind die wichtigen Unternehmensdaten einfach ein zu attraktives Ziel für böse Buben. Ob dabei auch die gleichen Schäden entstehen wie in den Vorjahren, hängt entscheidend vom Handeln der Unternehmen ab.

Immerhin: In den Köpfen der Entscheider scheint das Thema IT-Sicherheit stärker angekommen zu sein. Aber bei der Umsetzung von Sicherheitsbedenken in konkrete Lösungsprozesse besteht meines Erachtens noch immer starker Nachholbedarf. Beispiel Cloud Computing: Studien von IDC und Forrester Research belegen, dass Sicherheitsbedenken die größte Barriere für Unternehmen sind, verstärkt auf die Vorteile des Cloud Computing zu setzen. Aber statt nach Lösungen zu suchen, oder sich von Sicherheitsspezialisten dabei helfen zu lassen, verharren viele einfach in Untätigkeit wie das Kaninchen vor der Schlange und nutzen die Cloud einfach nicht.

Dr. Scheidemann: GRC wird vor allem in Branchen eine starke Rolle spielen, die starken Regularien unterliegen, wie im Bank- oder Gesundheitswesen. Aber auch die freie Wirtschaft wäre meiner Meinung nach gut beraten, nach den Regeln des Risikomanagements und konform zu bestehenden Gesetzen und Branchenregularien – nichts anderes bedeutet Compliance – zu handeln.

Wer hier nicht aufpasst, kann nach einem Audit der Revision oder von externen Aufsichtsbehörden ganz schnell dumm dastehen. Wenn Audit-Moniten nicht schnell und sachgerecht behoben werden, kann das nicht nur Geld, sondern die Verantwortlichen sogar ihren Job kosten.

Ich empfehle zur Kontrolle über IT-GRC den Einsatz spezieller Tools wie beispielsweise Archer von RSA. Nur so kann man der Flut von Informationen, die zur Prozesssteuerung notwendig sind, Herr werden. Die Anpassung eines solchen Tools sollte durch fachkundige IT-Sicherheitsberatung begleitet werden.

Dr. Scheidemann: Im Prinzip nicht anders, als im Offline-Betrieb auch, nämlich durch das Einhalten von sicheren Prozessen und dem Einsatz von Technologien wie Verschlüsselung, sicherer Authentisierung und digitaler Signatur.

Allerdings sind hier neue Techniken gefragt. War es früher beispielsweise ausreichend, die Festplatte im Laptop eines Außendienstmitarbeiters zu verschlüsseln, um die dort gespeicherten Daten gegen Diebstahl auf Reisen zu schützen, so sieht das Szenario heute unter Umständen ganz anders aus. Heute benutzt der gleiche Mitarbeiter vielleicht einen UMTS-Anschluss zum mobilen Surfen und benutzt von unterwegs über seinen Browser ein Kollaborationstool wie Microsoft Sharepoint, um damit Dokumente zu bearbeiten, die in der Firmendatenbank gespeichert sind. Hier sind Lösungen gefragt, die diese Dokumente sowohl während der lokalen Bearbeitung, als auch beim Transport übers Netz sowie bei der Ablage in der Sharepoint-Datenbank schützen.

Gleiches gilt für die immer beliebter werdenden Online-Storagesysteme wie Skydrive und Dropbox. Diese bieten für geringes Geld oder sogar kostenlos viel Speicher in der Cloud, aber Sicherheit bieten sie nicht. Auch hier rate ich zur Verschlüsselung und zwar zu einer, bei der die Schlüssel nicht in der Hand des Cloud Service Providers liegen, sondern beim Nutzer. Dafür gibt es Lösungen am Markt.

Leider wieder mit vielen Meldungen über Datenpannen und unglaubliche Sicherheitslücken. Aber auch damit, dass mehr Unternehmen ausgereifte Techniken wie E-Mail-Verschlüsselung oder Identity Management auf Basis von Smartcards oder ähnlichen Authentisierungsmechanismen nutzen.

Gerade Fälle wie die Wikileaks-Veröffentlichungen haben jetzt auch einer breiten Öffentlichkeit gezeigt, dass Datenklau oft genug durch Interne passiert. Wir beobachten daher einen Trend, dass Unternehmen E-Mails nicht mehr nur in der Kommunikation mit Externen verschlüsseln, sondern auch intern. Im vergangenen Jahr haben wir ein Projekt zur internen E-Mail-Verschlüsselung für 25.000 Benutzer bei einem großen Technologieunternehmen durchgeführt. Weitere ähnliche Projekte stehen für 2012 schon auf unserer Agenda.

Die Etablierung von Information Security Management Systemen (ISMS) sollte in Unternehmen zum Standard werden. Sicherheit sollte von Anfang an in IT-Projekten ein wichtiger Baustein sein und nicht, wie in der Vergangenheit so oft, nachträglich mehr schlecht als recht angeflanscht werden.

Hierzu ist es aber notwendig, dass Unternehmen entsprechendes Know how aufbauen oder eben bei externen Beratern einkaufen. Dafür sollten Budgets bereitgestellt werden, die der Wichtigkeit des Themas angemessen sind.