Nach dem Unfall ist vor dem Unfall
- Written by Redaktion_Report
- font size decrease font size increase font size
Bei den Geldgebern sind Ausgaben zur Förderung und Aufrechterhaltung des Sicherheitsbewusstseins im Prinzip akzeptiert, jedoch ist man unsicher bezüglich der Effektivität der getroffenen Maßnahmen, da meist keine qualitativen oder quantitativen Messgrößen definiert und überprüft werden.
Wann wird die Phase der Missionierung, in der sich die Security-Branche in ihrer Aufklärungsrolle noch immer befindet, zu Ende sein?
Vermutlich nie, da immer wieder neue Bedrohungsformen auftauchen, die neue Bewusstseinsbildung erfordern. Beispiele dafür ist Spam oder Spyware, aber auch Social-Engineering via elektronische Kanäle - also etwa Phishing per E-Mail. Die Awareness-Schaffung wird also immer eine begleitende Komponente der IT-Sicherheit sein und bleiben.
Computer Associates verfolgt im Bereich IT-Sicherheit sich ergänzende Lösungsansätze. Zunächst schafft ein zentrales Management Sicht auf die bereits vorhandenen Sicherheitselemente. Mittels Sicherheitsportal wird hierbei eine inhomogene IT-Sicherheits-Infrastruktur gesteuert und überwacht. Dann erstellen wir ein Framework für die starke Identifikation, Authentisierung und Autorisierung von Benutzern anhand von Rollenprofilen, zugeordneten Zugriffsrechten, Single-Sign-On und Workflows für die Kontrolle und Veränderung der zugrunde liegenden Stammdaten. Drittens dienen für die Erkennung und Abwehr von Bedrohungen entsprechende Lösungen aus den Bereichen Anti-Spam- und Anti-Viren-Software. Sicherheitsvorfälle werden dabei anhand ihrer Korrelation und Verdichtung beobachtet, um auch komplexe Bedrohungen in einer großen Menge von Rohdaten erkennen und behandeln zu können. Und schließlich bieten wir die Beratung, Projektdurchführung und Projektbegleitung bezüglich aller IT-Sicherheits-Fragestellungen.
Geben Sie bitte kurze Kommentare zu folgenden Statements:
\"Der \"Risk Appetite“ ist kulturell verschieden.\"
Richtig, jedoch verwischen sich diese kulturellen Grenzen mehr und mehr - durch die Globalisierung der Firmen, Netzwerke und Kunden sowie Benutzer. Wenn also ein amerikanischer Kunde über ein europäisches Netzwerk auf einen IT-Dienst in Japan zugreift, wessen Risk Appetite steuert nun die End-to-end-Sicherheit der Transaktion?
\"Ist lange Zeit \"nichts passiert“, sinkt das Risikobewusstsein stark ab.\"
Das ist auch außerhalb der IT so: nach einem Verkehrsunfall fahre ich vermutlich einige Zeit lang vorsichtiger. Aber wenn dann lange nichts passiert ist, dann sinkt mein Risikobewusstsein wieder. Da dies eine fundamentale Eigenschaft menschlichen Verhaltens ist, muss auch die IT mit ihren Risiken mit diesem Phänomen leben und sie umgehen - etwa durch laufende Maßnahmen im Bereich Awareness.
\"Der Nachweis verhinderter Schäden ist kaum führbar.\"
Dies wird ein Problem bleiben, da das Ausbleiben von Schäden nur indirekt mit den eigenen Maßnahmen in Verbindung gebracht werden kann. Ein plakativer Vergleich dazu: Hat die Feuerversicherung das Feuer verhindert, oder waren das die Maßnahmen, die ich zuvor getroffen habe?. Jedoch kann man durchaus vergleichen - etwa durch Vergleiche mit den Bedrohungsstatistiken des SANS-Instituts - wie die eigene Organisation bezüglich den populärsten Angriffen und Bedrohungen abgeschnitten hat.
\"Versicherungen respektive Finanzrücklagen für den Notfall genießen kein hohes Wertschöpfungsansehen.\"
Das wird bezüglich Versicherungen wohl auch so bleiben, außer in den Fällen, wo die Existenz einer Versicherung die Unterlegung von potenziellen Schadensfällen durch Eigenkapital vermindern kann. Für die IT-Sicherheit ist es demnach wichtig, sich von der reinen Versicherungssicht zu differenzieren und auf Wertschöpfungsanteile wie den Wettbewerbsvorteil oder der Wahrung des guten Rufs der Unternehmung hinzuweisen. Ebenso bestimmen hier rechtliche und regulatorische Anforderungen, welche eine ausreichende IT-Sicherheit als Teil der \"good corporate governance\" erfordern.