Es gibt keine absolute Sicherheit: Wieviel Security-Risiko darf sein? Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.10.2011 Karin Quack*

Es gibt keine absolute Sicherheit: Wieviel Security-Risiko darf sein?

Was für das eine Unternehmen gut genug ist, reicht dem anderen längst nicht aus. Deshalb muss jedes Unternehmen sein eigenes Risikoprofil entwickeln.

Steve Durbin hat zwei Smartphones: das eine für dienstliche, das andere für private Zwecke. Ob er denn noch nichts von "Bring your own device" gehört habe? Doch sicher, antwortet der Global Vice President des Information Security Forum (ISF). Und dagegen sei grundsätzlich auch nichts einzuwenden. Durbin beschreibt die Haltung des ISF folgendermaßen: "Wir sagen nicht: Lass es sein, sondern: Sei dir der Risiken bewusst, und triff Vorkehrungen."

Ein mobiles Gerät, das auf Unternehmensdaten zugreift, muss seinerseits den Zugriff des Unternehmens hinnehmen, so Durbin. Zum Beispiel sei es notwendig, dass es sich im Falle eines Diebstahls zentral abschalten lasse, dass Updates automatisch aufgespielt werden könnten und dass die Kommunikation mit dem Firmennetz nur über handverlesene Verbindungen geschieht: "Manche Anwender schrecken, wenn sie das hören, vor dem Gedanken zurück, ihr privates Handy dienstlich nutzen zu wollen." Aber ohne eine strikte Mobile-Strategie gehe es aber nun einmal nicht: "Die ist genauso wichtig wie die Verordnungen zur Gesundheit der Mitarbeiter oder zur Betriebssicherheit."

Auch über die Apps, die der Nutzer auf sein Firmen-Smartphone oder das dienstlich genutzte Privat-Handy lädt, sollte das Unternehmen stets informiert sein, empfiehlt Durbin: "Denn die App-Anbieter nehmen ihre Security-Pflichten unterschiedlich ernst." Der ehemalige Gartner-Analyst empfiehlt den Unternehmen, eine verbindliche "Whitelist" von unbedenklichen und zur Nutzung freigegebenen Apps zu pflegen, oder am besten selbst als App-Shop zu agieren.

CLOUD ALS SECURITY-THEMA NUMMER EINS ABGELÖST Darüber hinaus müsse jedes Unternehmen die individuellen Verhaltensregeln für die Nutzer in Form einer Security-Policy festhalten, ergänzt Durbin. Das alles koste zwar Zeit und Mühe, aber die Unternehmen kämen nun einmal nicht darum herum: "Sie dürfen sich bloß nicht auf den Standpunkt stellen: Das ist alles viel zu kompliziert; sollen die Anwender doch machen, was sie wollen." Denn damit vernachlässigten sie ihre Sorgfaltspflicht.

Dem Themenkomplex Mobile/Bring your own Device gilt derzeit das Hauptinteresse der rund 300 ISF-Mitglieder. Eng damit verbunden sind die Sozialen Medien, also Facebook und der in den Unternehmen bereits häufig genutzte Internet-Telefondienst Skpye. Der sollte die Sicherheits-Manager in den Firmen besonders interessieren, sagt Durbin. Denn in dessen AGBs stehe ausdrücklich, dass der Service von der Infrastruktur, auf der er läuft, "Gebrauch machen" könne, was de facto bedeute, dass der Service in die Infrastruktur eindringen könne.

Ein drittes heißes Thema ist auch für die ISF-Mitglieder die Sicherheit in der Cloud. "Bis vor einigen Monaten war dies sogar das Thema Nummer eins", erläutert der Vice President, "mittlerweile wurde es durch das Consumerization-Thema abgelöst." Das bedeute allerdings nicht, dass die Security-Probleme der Cloud als gelöst gelten könnten. Wer vermag zu sagen, wo die Daten wirklich liegen? Und wer kontrolliert, ob die Supplier die vereinbarten Sicherheitsvorkehrungen auch einhalten? Solange derartige Fragen nicht schlüssig beantwortet sind, halten viele Unternehmen das Risiko in der Public Cloud für zu hoch. Das gilt besonders für Unternehmen mit hohen Compliance-Anforderungen.

AUS DEM FALL SONY GELERNT Das ISF will seinen Mitgliedern Hilfestellung bei der Entwicklung eigener Policies leisten. Denn letztlich muss jede Organisation selbst entscheiden, was sie zulassen will und was nicht. "Das hängt eben ab vom jeweiligen Risikoprofil", konstatiert Durbin. Und dieses Profil zu definieren sei nicht die Aufgabe des Sicherheits-Verantwortlichen, sondern Vorstandssache: "Der CSO oder wie immer er genannt wird, kann nur Aufmerksamkeit wecken, die Entscheidungen muss das Business treffen."

"Das Thema Security ist erwachsen geworden, es bewegt sich in der Unternehmenshierarchie aufwärts", lautet das Fazit des ISF-Managers. In den Firmen habe sich die Erkenntnis durchgesetzt, dass die Informationssicherheit Business-entscheidend ist. Fälle wir die Sicherheitslücke im Kundendaten-System von Sony hätten massiv zu dieser Bewusstseinsbildung beigetragen - nicht nur in den betroffenen Unternehmen: "Sony hatte vorher keinen Sicherheitsverantwortlichen, jetzt schon."

* Die Autorin ist Redakteurin der deutschen Computerwoche.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: