Realität für Sicherheit
- Written by Redaktion_Report
- font size decrease font size increase font size
Eine Studie, die das Softwarehaus Symantec, gemeinsam mit dem Wirtschaftsforschungsinstitut Economist Intelligence Unit in Bezug auf das Thema Mobilität durchgeführt hat, hat ergeben, dass 39 Prozent der Unternehmen mobile Anwendungen zum drahtlosen Zugriff auf Unternehmensnetzwerke nutzen, obwohl sie noch nicht vollständig in diese IT-Infrastruktur und in ein umfassendes Sicherheitskonzept integriert sind. Ein weiteres Ergebnis dieser Studie: Zirka jedes fünfte Unternehmen hat bereits finanzielle Verluste erlitten, die auf Attacken über mobile Datenplattformen zurückzuführen sind.
Empfehlungen. Kunden mit Sicherheitsproblemen empfiehlt Siemens mehrere Schritte: Zunächst erstellen die Security-Spezialisten von Siemens gemeinsam mit Unternehmensvertretern eine Security-Policy. Sie ist die \"Verfassung“ für alle Aspekte der Unternehmenssicherheit und dient als Plattform für alle weiteren Schritte. Eine gute Security-Policy erfasst sämtliche Teilbereiche und Ebenen des Unternehmens: Organisation, Gebäude, Kommunikation, technische und IT-Infrastruktur bis hin zu branchenspezifischen Vorgaben. Die Studie \"IT-Security 2005“ der Information Week, die zusammen mit Steria Mummert Consulting ausgewertet wurde, zeigt, dass lediglich 19,4 Prozent der Sicherheitsverantwortlichen über eine ausführliche Security Policy verfügen.
Der zweite Schritt im Security-Consulting von Siemens ist die Erstellung einer umfassenden Risikoanalyse. Dabei werden die Schwerpunkte des Handlungsbedarfs ermittelt. Auf Basis der Maßnahmenvorschläge aus der Risikoanalyse erfolgt die Auswahl und Detaillierung der geeigneten Maßnahmen, das Sicherheitskonzept. Als vierter und letzter Schritt folgt der Aufbau eines Sicherheitsmanagements. Dabei werden die vereinbarten Maßnahmen aus der Risikoanalyse konkret umgesetzt, ein Sicherheitsprozess installiert und entsprechende Meilensteine und Messpunkte festgelegt, bei denen die Auswirkung der Maßnahmen geprüft werden kann.
\"In den meisten Unternehmen gibt es Sicherheitslösungen in unterschiedlichen Bereichen, nur selten aber sind sie ineinander verzahnt“, erklärt Josef Jarosch, Bereichsleiter Siemens Communications Enterprise. \"Sicherheitslösungen müssen mit den anderen Systemen des Unternehmens kompatibel sein. Alles andere ist für sich schon ein Sicherheitsrisiko.“ Diese Verzahnung stellt sich allerdings häufig als komplexe Herausforderung dar, die einerseits den Einsatz von Spezialisten erfordert und andererseits Unterstützung durch das Management notwendig macht. Zu diesem Schluss kam auch eine aktuelle Studie der Auburn University in Kooperation mit der Non-Profit-Organisation ISC2 (International Information Systems Security Certification Consortium). Sie sagt klar, dass die Implementierung von Sicherheitsprogrammen ein hohes Maß an Aufgabenverflechtung mit sich bringt, was eine besondere Unterstützung auf Management-Ebene erfordere.
Die Internettelefonie, die auch in zunehmend vielen Unternehmen eingesetzt wird, stellt neue Anforderungen an die Sicherheitsmanager der Unternehmen. VoIP-Gespräche sind häufig unzureichend geschützt, die Verschlüsselung fehlt, VoIP Server sind mangelhaft abgesichert und auch das Thema SPIT (Spam over Internet Telefonie) birgt ein ernst zu nehmendes Risiko. Jarosch: \"Wir haben die Notwendigkeit in diesem Bereich erkannt und uns auf Voice over IP Sicherheit spezialisiert.“ Siemens bietet verschiedene Verschlüsselungs- und Signalisierungslösungen, wie z.B. SRTP (Secure Realtime Transport Protocol), AES (Advanced Encryption Standard), VPN-Client für WLAN Telephony oder TLS-Signalisierung. Aber auch Access Security mit 10-digit-PIN, Port- und Multi-User-Authentification und eigene VLANSs für den VoIP-Traffic gehören zum Siemens-Portfolio.