IT-Sicherheit 2011: Das kommt auf Admins zu Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.02.2011 Moritz Jäger*

IT-Sicherheit 2011: Das kommt auf Admins zu

Cloud-Dienste, Compliance, Unified Communications und IT-Consumerization - an Buzzwords fehlt es auch 2011 nicht. Doch genau diese Themen sind es, die IT-Profis auch in diesem Jahr wach halten werden, natürlich zusätzlich zur Bedrohung durch IT-Spionage und Virenattacken.

Eine nie gekannte Anzahl von Viren, von Communities organisierte Denial-of-Service-Angriffe, aggressive Botnets wie Stuxnet oder Conficker - 2010 war in der IT-Sicherheit alles andere als ein langweiliges Jahr. Und es sieht nicht so aus, als würde es in diesem Jahr weniger gefährlich werden. Doch welche Trends sind es genau, auf die sich IT-Profis vorbereiten müssen?

Eine Antwort darauf bieten Sicherheitsmessen wie die InfoSecurity Europe 2011, kurz InfoSec. Diese findet zwar erst vom 19. bis 21 April in London statt, TecChannel nahm aber bereits an einer Vorabveranstaltung teil. Schwerpunkt dabei waren unter anderem die Herausforderungen, die 2011 auf IT-Abteilungen im Allgemeinen und die Sicherheitsabteilungen im Speziellen zukommen.

IT-CONSUMERIZATION: WENN DIE NUTZER EIGENE HARDWARE MITBRINGEN Einer der größten Trends des letzten Jahres, die so genannte IT-Consumerization, wird sich auch in 2011 und den folgenden Jahren fortsetzen. Der Ausdruck bezeichnet den Vorgang, wenn Nutzer eigene IT-Produkte mit ins Unternehmen einbringen und damit auf die Firmen-Ressourcen zugreifen will. Klassisches Beispiel ist etwa das iPhone, mit dem Nutzer auf die E-Mails zugreift - ein Trend, der etwa durch Tablets wie das iPad weiter angetrieben wird.

Egal ob iOS oder Android - die Systeme lassen sich meist nur mit zusätzlichen Programmen oder Plugins verwalten. Auch wenn beispielsweise Apple deutlich an der Integration für Unternehmen gearbeitet hat, so fehlen doch noch immer wichtige Features wie etwa ein zentrales Software- und Patch-Management.

Ein weiteres Problem: Kommt es zu einem Zwischenfall, kann man private Notebooks, Smartphones oder Tablets nicht ohne weiteres sicherstellen, um etwa forensische Untersuchungen durchzuführen.

Laut der Sprecherin Rashmi Tarbatt von RSA lassen sich diese Probleme zwar lösen, sie verlangen allerdings verschiedene Vorgehensweisen. Das Wichtigste sind demnach eine passende Richtlinien, sprich eine genaue Einschränkung und Kontrolle, welche Nutzer auf welche Firmenressourcen zugreifen dürfen. Zusammen mit dem Datenschutzbeauftragten und dem Betriebsrat sollte man außerdem vor dem Einsatz der privaten Geräte klären, welchen Zugriff die Firma auf die Geräte hat, wenn ein berechtigter Verdacht vorliegt.

UNIFIED COMMUNICATION: ANGRIFF AUF DIE KOMMUNIKATION Unified Communications war eins der Buzzwords in den letzten Jahren. Die grundlegende Idee macht durchaus Sinn: Statt auf herkömmliche Telefonanlagen zu setzen, setzten die Firmen auf IP. Egal ob E-Mail, Telefonate, Videokonferenzen oder Instant Messaging - im Idealfall läuft die komplette Kommunikation der Firma über das Web.

Im Vorfeld der InfoSec warnte allerdings Adam Boone von Sipera Systems deutlich auch vor den Gefahren: Bereits 2010 seien etwa die Attacken per VoIP deutlich angestiegen, ganze Kriminelle Vereinigungen hätten sich darauf spezialisiert. Vorfälle wie VoIP-Sniffing, also das Abhören der Gespräche, seien an der Tagesordnung - auch weil die Verschlüsselung bei IP-Telefonie eine knifflige Angelegenheit ist. Um zu verhindern, dass das Gespräch ins Stocken kommt, müssen die jeweiligen Endpunkte nahezu in Echtzeit die Daten ver- und entschlüsseln, das verursacht einen enormen Rechenaufwand.

Das Thema gewinnt zusätzliche Brisanz durch den Trend zum eigenen Gerät: Während Administratoren Firmeneigentum normalerweise nahezu komplett unter seiner Kontrolle hat, wird das bei einem Smartphone, Tablet oder Notebook schwierig. Und Clients gibt es genügend, nahezu jeder namhafte Hersteller hat eine eigene App parat, sei es für Android, iPhone oder Mac und Windows.

DIE SIEBEN TODSÜNDEN BEIM UMGANG MIT DER CLOUD Die Cloud ist eine weitere Technologie-Gattung, die inzwischen ihrem Buzzword-Status entwachsen ist. Das liegt auch daran, dass es die verschiedenen Lösungen ausgereift sind, Lösungen wie Cloud-basierter Storage oder Anti-Spam-Lösungen zeigen, wie sich die Cloud sinnvoll nutzen lässt. Voraussetzung dafür ist allerdings, dass die jeweilige Lösung von den Unternehmensrichtlinien mit abgedeckt sind.

Problematisch wird es allerdings, wenn Cloud-Dienste ohne Kenntnis der IT-Abteilung verwendet werden. Im Rahmen der Konferenz warnte Adrian Davis vom Information Security Forum vor sieben Kardinalfehlern:

1. Ignoranz: Nur weil das Unternehmen offiziell keine Cloud-Lösung anbietet, heißt das nicht, dass einzelne Teams oder Nutzer sie nicht verwenden.

2. Ungewissheit: In Verträgen mit den jeweiligen Anbietern werden wichtige Punkte, etwa Datensicherheit, Standort der Storage-Datencenter oder SLAs vergessen oder nicht abschließend geklärt

3. Zweifel: Es ist relativ schwierig, die Wirksamkeit von Sicherheitskonzepte zu beweisen- denn im besten Fall wehren diese alle Attacken ab.

4. Ungewolltes Übertreten: Möglicherweise sind die Gesetze, nach denen sich der Anbieter der Cloud-Lösung richtet, komplett unterschiedlich zu denen, die das Unternehmen zu befolgen hat. Dementsprechend ist es wichtig, dass man sowohl die eigenen rechtlichen Vorgaben kennt, wie auch die des Anbieters.

5. Chaos: tritt auf, wenn es keine einheitliche Verwaltung, Klassifizierung und Kontrolle über die Daten gibt, die in die Cloud ausgelagert werden.

6. Einbildung: Meist gehen Firmen davon aus, dass die bisherige Sicherheits-Infrastruktur auch Cloud-basierte Angebote mit abdecken kann - dies ist aber nicht immer der Fall.

7. Nachlässigkeit: Die Cloud-Infrastruktur ist ebenfalls anfällig für Stromausfälle oder Hardware-Defekte - deswegen sollte man in jedem Fall SLAs sowie Backup-Pläne besitzen, um nicht für unbestimmte Zeit von den eigenen Diensten und Daten abgeschnitten zu sein.

Firmen, die sich mit Cloud-Systemen auseinandersetzen, sollten diese Anbieter ebenso behandeln, wie sie bei sonstigen externen Anbietern vorgehen, so Davis. Dazu gehört etwa, dass man Service Level Agreements aushandelt und das bereits in der Firma vorhandene Know How der IT-Abteilung in die Entscheidungen mit einbindet.

FAZIT: BEKANNTE PROBLEME IM NEUEM UMFELD Die schlechte Nachricht: Auch 2011 wird die Arbeit für IT-Abteilungen und Sicherheitsteams nicht weniger. Die Gute: Das notwendige Know-How ist in den meisten Fällen schon vorhanden. Egal ob Compliance oder IT-Sicherheit: Die grundlegenden Problemstellungen unterscheiden sich kaum von den bisherigen Herausforderungen.

Dementsprechend sollten Unternehmen sich nicht Hals über Kopf in neue Technologien stürzen, neue Technologien nach einer ausführlichen Prüfung einführen. Ähnliches gilt für ein weiteres Trendthema, Cyber-Spionage. Nachdem selbst die Bundesregierung davor warnt und ein Nationales Cyber-Abwehrzentrum einrichten will, ist es nur verständlich, dass sich auch Unternehmen vor Angriffen sorgen.

Allerdings sollte man auch hier nichts überstürzen, sondern vielmehr auf eine fundierte Sicherheits-Infrastruktur setzen. Der Vorteil hierbei: Man wehrt nicht nur etwaige Angriffe fremder Nationen ab, sondern erhöht auch die Sicherheit gegen Attacken "herkömmlicher" Cyberkriminellen.

* Der Autor ist Redakteur des deutschen TecChannel.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • adesso Austria GmbH

    adesso Austria GmbH Öffentliche Verwaltung, Grundstoffindustrie, Großhandel, Finanzdienstleistungen, Fertigung, Produktion und Konstruktion, Druck- und Verlagswesen, Qualitätssicherung,... mehr

Hosted by:    Security Monitoring by: