E-Interview zum Virtual Roundtable "IT-Sicherheit - Technologien und Trends" mit Sven Müßig

Gemeinsam Lösungen finden
mit Kompetenz werben

Login

Registrieren

Global filtern nach Kategorien:

Ihre Suche

Erweiterte Suche

Titel / Name:

Online seit:

Region:

Untertitel:

Thema / Center:

Qualitäts Level:

Suchkriterien zurücksetzen

Allgemeine Informationen zur Competence Site

AGB Anbieterverzeichnis

Semantisches Klassifikations-Profil des Dokuments (u.a. Extrakt)

VR_IT-Sicherheit_Sven_Muessig_IBM.pdf

Competence Site Virtual Roundtable IT-Sicherheit Virtual Roundtable: IT- Sicherheit - Technologien und Trends Teilnehmer: Sven Müßig, Resilience Solution Manager Organisation: IBM Global Services Kurzeinführung in das Thema: Inzwischen ist es wohl unstrittig: Das Thema IT -Sicherheit ist keine Eintagsfliege, sondern ein langfristiger Trend. Von 2002 bis 2005 rechnet die META Group für den deutschen IT-Sicherheits-Markt mit einem jährlichen Wachstum von durchschnittlich 9,5 %, was angesichts knapper IT-Budgets und sinkender IT-Gesamtausgaben deut- lich über dem allgemeinen Trend liegt. IT-Sicherheit ist außerdem bereits zu einem wichtigen Wirtschaftsfaktor geworden: Das Marktvolumen allein in Deutschland schätzt die META Group für das Jahr 2003 auf knapp 3 Mrd. Euro. Die wirtschaftlichen Schäden, die ein einzelner Wurm verur- sacht, können weltweit ebenfalls in die Milliarden gehen. IT-Sicherheit ist auch ein aktuelles Medien-Thema, vor allem Viren, Würmer und Tro- janer. Inzwischen sind ca. 90.000 bekannt, pro Jahr kommen mehr als 10.000 neue hinzu. Fast in jedem Monat wird mindestens einer als erhebliche Bedrohung einge- stuft. Namen wie Melissa, Code Red oder Nimda sind auch Personen, die sich nicht beruflich mit Fragen der IT-Sicherheit beschäftigen, ein Begriff, Probleme wie die Si- cherheit von Web Services oder WLANs dagegen noch nicht. Andererseits wecken aktuelle Studien von META Group (Juni 2003), Ernst & Young (August 2003), PwC (August 2003) und Mummert Consulting (September 2003) Zweifel daran, ob die Botschaft in den Unternehmen wirklich verstanden wurde. Die- sen Studien zufolge haben viele Unternehmen kein durchgehendes Sicherheitsma- nagement, fassten Sicherheit nur als rein technologisches Problem oder Manage- mentproblem auf, und beschränkten sich auf eine reaktive Abwehr, die Vermeidung katastrophaler Ausfälle oder reine Kostengesichtspunkte. In diesem Virtual Roundtable werden Experten von Technologieanbietern, Beratun- gen, Forschungseinrichtungen, Medien, Veranstaltern und Verbänden den Status Quo der IT-Sicherheit und die Entwicklungen in nächster Zeit beurteilen. Was sind die größten Schwachstellen? Welches sind die größten Schadensverur- sacher? Was macht die IT anfällig für Attacken, und wie kann sie weniger verwund- bar gemacht werden? Mit welchen Bedrohungsszenarien müssen wir in Zukunft rechnen und wie werden sich die notwendigen Abwehrmaßnahmen auswirken? Wie Competence Site Virtual Roundtable IT-Sicherheit ist es um die IT-Sicherheit speziell in deutschen Unternehmen bestellt? Diese und weitere Fragen werden in diesem Roundtable beantwortet. Sehr geehrter Herr Müßig, Competence Site: Schwachstellen in den Unternehmen Anfang Oktober hat SANS Institute eine aktuelle Liste der Top-Sicherheitslücken für Windows- und Linux- bzw. UNIX -Rechner veröffentlicht. Die über mehrere Jahre fort- gesetzte Studie zeigt, dass einige Schwachstellen über Jahre hinweg Spitzenplätze einnehmen. Was sind Ihrer Einschätzung nach die gefährlichsten Schwachstellen? Welche (ungefähren) Anteile würden Sie Betriebssystemen, Anwe ndungen und "dem menschlichen Faktor" zuschreiben? Woran liegt es, wenn Sicherheitslücken sich über Jahre hinweg an der Spitze dieser traurigen "Hitliste" befinden? Sven Müßig: Die Studie zeigt, dass die meisten Schwachstellen, die bei Unterne hmen ausgenutzt werden, oft lange bekannt und technische Gegenmaßnahmen verfügbar sind. Wenn diese nun doch nicht zeitgerecht beseitigt werden, dann liegt das vielfach an organi- satorischen Problemen im Unternehmen. Oft sind die mit dem Thema Sicherheit befassten Mitarbeiter zeitlich überfordert. Zum einen sind sie für eine Vielzahl von Plattformen und Anwendungen verantwortlich. Zum anderen müssten sie sich täglich über neue Schwachstellen, deren Gefähr- dungspotenzial und die Relevanz für das eigene Unternehmen informieren – und dann natürlich auch handeln. Nur wenige Unternehmen leisten sich Personal, das dezidiert und ausschließlich mit der Informationssicherheit betraut wird. In der Regel müssen die Mitarbeiter das Thema nebenher erledigen. Das Beseitigen von Schwachstellen fällt also oft dem Tagesgeschäft und dem Zeitdruck zum Opfer. Des weiteren ist die Verantwortung für die Informationssicherheit oft aufgesplittert. Es gibt einen Netzwerk-Verantwortlichen, einen PC-Verantwortlichen, einen Date n- schützer, den Werkschutz etc. Jeder fühlt sich aber nur für einen Teilaspekt verant- Competence Site Virtual Roundtable IT-Sicherheit wortlich, der richtige „Druck“ im Sinne von Ermächtigung und Budget zur Durchset- zung von Maßnahmen fehlt aber oft. Auf dieser Erfahrung beruht die Erkenntnis, dass nur eine ausgewogene Sicherheits- politik, die alle Bereiche der Informationssicherheit beachtet, einem Unternehmen wirklich ein höheres Sicherheitsniveau bieten kann. Wenn nur Wert auf technische Einzelmaßnahmen gelegt wird, können diese ihre Wirkung nicht entfalten, wenn auf der anderen Seite organisatorische Mängel vorliegen. Das folgende Schaubild soll dies verdeutlichen. 100 8 10 9 7 6 75 50 5 1 25 2 4 3 0 Wie bei einem Wassereimer bilden die einzelnen Sicherheitsmaßnahmen die Pla n- ken des Eimers – und es lässt sich nur so viel Wasser damit tragen, wie die niedrigs- te Planke halten kann. Wenn etwa viel Geld in eine Sicherheitsmaßnahme, zum Bei- spiel in den zentralen Virenschutz für Emails, investiert wird und gleichzeitig eine an- dere, damit zusammenhängende Maßnahme, zum Beispiel den Virenschutz auf dem Desktop System, vernachlässigt wird, dann ist der Virenschutz nicht vollständig und das Gesamtsystem gefährdet. Allein durch die Investition in den zentralen Viren- schutz hat sich das Sicherheitsniveau nicht erhöht. Competence Site Virtual Roundtable IT-Sicherheit Competence Site: Gefährdungspotenziale von Attacken Viren, Würmer, Trojaner und DoS-Attacken erhalten ein hohes Maß an allgemeiner Publicity: Zahlreiche Exemplare von bösartigem Code haben es in die allgemeinen Computernews oder sogar in die täglichen Nachrichten "geschafft". Andere Heraus- forderungen wie z.B. die Sicherheit von Web Services und WLANs sind dagegen noch nicht so weit ins Bewusstsein vorgedrungen und werden daher bei Investitionen in die IT-Sicherheit kaum berücksichtigt. Richten die Attacken, die am meisten Be- achtung in den Medien finden, auch wirklich die größten Schäden an? Welche Atta- cken sind Ihrer Meinung nach derzeit wirklich die gefährlichsten für Unternehmen? Sven Müßig: Wie hoch der Schaden ist, den eine Attacke anrichtet, kann leider kaum ein Unte r- nehmen korrekt beziffern. Man kann hier unterscheiden zwischen dem Schaden, der direkt durch die Attacke entsteht und dem Schaden, den er mittelbar bewirkt. Zur ersten Gruppe zählt bei- spielsweise, wenn ein Online-Shop nicht erreichbar ist, somit kein Umsatz möglich ist und der entfallene Kauf auch später nicht durch die Kunden nachgeholt wird. Zur zweiten Gruppe zählen die Kosten, um einen Virus aus dem Netz und von den Sys- temen zu entfernen, oder auch ein Produktivitätsausfall, weil Anwendungen nicht verfügbar sind, genauso wie die verlorene Reputation. Besonders eine beschädigte Reputation kann für ein Unternehmen, das in der Öffe ntlichkeit steht, ein großes Problem werden und erfordert eine professionelle Krisenkommunikation, um den Schaden zu begrenzen Über den direkten Schaden von Attacken berichten die Medien selten. Denn hier machen die Unternehmen nur ungern konkrete Angaben. Oft werden Attacken auch gar nicht erkannt. Den indirekten Schaden können Betroffene (Unternehmen) eben- falls selten genau beziffern und würden auch diese Zahlen nicht veröffentlichen. Sie können allenfalls zugeben, überhaupt von einem Virus betroffen zu sein, wenn über den neuesten Virus ohnehin schon in der Tagesschau berichtet wird. Solche Ereig- nisse werden vom eigenen Unternehmen und den Kunden fast schon wie ein „unab- wendbares Naturereignis“ hingenommen. Beim Thema WLAN sind allerdings zumindest die größeren Unternehmen sehr sen- sibilisiert. Weniger aufmerksam gehen Privatpersonen und kleine Unternehmen mit Competence Site Virtual Roundtable IT-Sicherheit dem Thema Sicherheit um. Dies gilt auch für Bereiche, bei denen andere Geräte als PC’s, wie etwa Kassensysteme oder Handscanner verwendet werden. Von Gartner wurde das Thema WLAN und Web-Services Sicherheit unter die Top 11 Sicherheits- themen gewählt. Darüber hinaus unterschätzen Unternehmen häufig die Gefahren, die vom Instant Messaging ausgehen können. Dabei gewinnt dieses Kommunikationsinstrument in- nerhalb und außerhalb der Unternehmen immer größere Bedeutung. In diesem Zu- sammenhang ist die Sicherstellung von „Intellectual Property“ besonders wichtig: Wie sorgt ein Unternehmen dafür, dass bestimmte Daten nicht unkontrolliert die Firma verlassen? Aber „Intellectual Property“ ist auch ein gutes Beispiel für das Zusam- menwirken von technischen und organisatorischen Maßnahmen: Wie kann eine Fir- ma technisch dafür sorgen, welche Daten das Unternehmen verlassen dürfen und welche nicht, wenn die Firma keine Klassifizierung von Daten vornimmt und klar re- gelt, wann welche Klassifizierung anzuwenden ist? Competence Site: IT-Marktstruktur Immer wieder werden Stimmen laut, die in der Dominanz eines Betriebssystems ei- nen Grund für die rasche Ausbreitung von Viren und Würmern sehen.