IT-Management Sicherheit außer Kontrolle

Die Präsenz im Internet hat für Unternehmen eine gefährliche Kehrseite: Firmendaten und -anwendungen sind Attacken ausgesetzt. Demzufolge investieren sie in Sicherheitswerkzeuge zur Abwehr dieser Bedrohung. Doch Angst ist ein schlechter Berater. Denn die Gefahr, die von innen ausgeht, ist weitaus größer.
Von Hadi Stiel

Hamburg - Viren, Würmer, Trojanische Pferde sowie Spam, teils mit bösartigem Code verseucht, lehren den Managern das Fürchten. Das Marktforschungsunternehmen Gartner setzt noch einen drauf: Bis Ende dieses Jahres sollen 75 Prozent der Unternehmen mit unentdeckten, finanziell motivierten schadhaften Programmen infiziert sein.

"Angesichts solcher Horrormeldungen haben viele Unternehmen glatt vergessen, dass die Gefahr, die ihnen von innen droht, meist deutlich größer ausfällt", meint Lars Weimer, verantwortlich für Informationssicherheit im Bankenbereich bei Ernst & Young. Er deutet damit auf mögliche Attacken durch eigene Mitarbeiter hin. "Außerdem verschwimmen in Zeiten des Internet und globaler Unternehmensaufstellungen und -verbünde die Grenzen zwischen innen und außen", gibt er den Entscheidern zu bedenken. "Diesen Wandel", so der Berater, "müssen die Unternehmen gleich mehrfach vollziehen: strategisch, organisatorisch, prozessorientiert und technisch." Er spricht von einem Paradigmenwechsel bei der IT-Sicherheit.

Sicherheit von innen nach außen

Für die Unternehmen heißt das, aufzuräumen und die Kontrolle über ihre Anwendungen und Daten zu zentralisieren. "Sicherheit kann nur von innen nach außen effizient und effektiv verwaltet, überwacht und gesteuert werden", sagt Norbert Drecker, Leiter des Competence Centers beim Sicherheitsspezialisten Evidian. Das sei für die Unternehmen die einzige Möglichkeit, ihr Geschäft auf Dauer verlässlich abzuschirmen und parallel den gefährlichen und betriebsaufwendigen Wildwuchs an vielen Einzelwerkzeugen an der Internetfront nachhaltig zu stutzen.

Als technische Lösung dafür empfiehlt Drecker Identity und Access Management, kurz: IAM. "Auf diese Weise kann unter zentraler Führung um das gesamte Unternehmen ein lückenloser Zugriffskontrollschirm gespannt werden, der Eindringlinge verlässlich abblockt", erklärt der Experte. Allerdings werde der strategische und technische Wechsel für die Unternehmen nicht ohne organisatorische Veränderungen über die Bühne gehen. "Dafür winken den Unternehmen über den Einsatz von IAM erhebliche Einsparungen", resümiert Drecker.

Gartner ist dem Einsparungspotenzial durch eine konsolidierte und zentral kontrollierte IT-Sicherheit auf den Grund gegangen. Danach steckt für die Unternehmen im IAM-Modul Single Sign-on (SSO) ein Einsparungspotenzial von bis zu 30 Prozent.

"Durch die automatische Kopplung von Netzzugangs- und Zugriffskontrolle können keine Zugriffskennungen von den Mitarbeitern mehr vergessen werden oder in falsche Hände geraten", erläutert Lars Freund, Senior Consultant bei Logica CMG. In beiden Fällen müssten sie ohne SSO von der Benutzerunterstützung immer wieder neu ausgestellt und sicher den Mitarbeitern zugewiesen werden. "Dazu kommt die Gefahr geschäftlicher Schäden, wenn sich Angreifer zwischenzeitlich der Kennungen bedienen", sagt Freund.

Rollenmanagement für Rechteabwicklung

Rollenmanagement für Rechteabwicklung

Für die Kombination von zentraler Verwaltung mit Rollenmanagement, zwei weiteren IAM-Modulen, setzt die Gartner Group nochmals Einsparungen von bis zu 30 Prozent an. "Rollen legen pauschal die Zugriffsrechte für einzelne Arbeitsgruppen, Abteilungen oder Geschäftspartner fest", so Freund. "Das vereinfacht für die zentralen Administratoren die Abwicklung der Rechte."

Zudem werde über den Einsatz von Rollen das Risiko an Teilnehmer- und Rechtefehleinträgen, die schnell zu gefährlichen Löchern im Zugriffskontrollschirm führen, weiter gesenkt. "Der Schutzschirm um geschäftswichtige Anwendungen und Daten wird dadurch für Angriffe undurchlässiger", sagt Freund.

"Werden die Kommunikationsteilnehmer sowie ihre Rechte beziehungsweise Rollen zentral geführt, sind diese Einträge immer eindeutig und auf dem aktuellen Stand", sagt Reinhard Bertram, Verantwortlicher für die Sicherheit bei Siemens IT Solutions and Services. Das sei mitentscheidend für die Qualität der Zugriffskontrolle und damit der Abwehr von Angriffen auf für das Geschäft wichtige Anwendungen und Daten.

Zudem plädiert er dafür, die Sicherheitswerkzeuge in die zentrale Kontrolle des IAM zu integrieren - angefangen bei Zugriffskontrollmechanismen in den Applikationen über interne Gateways bis zu den Systemen an der Internetfront. Zur dritten Kategorie gehören Firewalls, VPN-Gateways, Authentisierungsserver, Intrusion-Detection-Systeme, sowie Viren-, Content- und Spamscanner.

"In diesem Zusammenhang sollten die Unternehmen im eigenen Geschäftsinteresse darauf achten, dass die in allen Sicherheitswerkzeugen geführten Administrator- und Rechteeinträge in das zentrale Verzeichnis überführt werden können", empfiehlt er. Er spricht in diesem Zusammenhang von einer kostensparenden Konsolidierung der IT-Sicherheit, die voll zu einem anderen Trend in den Unternehmen, dem der Geschäftsprozessoptimierung, passe.

"Mit dem Fokus auf sichere Anwendungen und Daten wird IT-Sicherheit zu einem integrativen Bestandteil der Geschäftsprozesse", sagt Udo Fink, Lead Solution Consultant bei Hewlett-Packard (HP) . Werde das nicht hinreichend bedacht, führe das deutlicher denn je zu Fehlinvestitionen und Fehleinstellungen sowie zu unnötigen Projektrisiken und Aufwänden. Zudem sei die Zugriffssicherheit von Anwendungen und Daten mitentscheidend dafür, ob die Geschäftsprozesse einbruchssicher und konform zu gesetzlichen Anforderungen abliefen.

Fink sieht IAM mit dem IT-Servicemanagement zur Absicherung der Verfügbarkeit und Performance der Geschäftsprozesse Hand in Hand gehen. "Zumal beide Managementsysteme in Zeiten der Prozessoptimierung die gleiche, erstrebenswerte Zielrichtung haben: die Prozesse von einem Ende zum anderen, also vom Anwender bis zur Anwendung mit den Daten, zu betrachten, zu überwachen und zu steuern", argumentiert er.

Hinzu kommt der wachsende Druck auf die Unternehmen, interne Controlling- und Revisionsanforderungen sowie externe rechtliche Auflagen erfüllen zu müssen. "Das funktioniert nur, wenn sie auf Benutzerkonten mit jederzeit korrekten und eindeutigen Identitäten und Rechten bauen können", meint Drecker von Evidian. "Nur dann kann bei Bedarf verbindlich geprüft werden, wer wann mit welcher Berechtigung in welcher Anwendung etwas geändert hat."

Schadensersatz und Haftstrafen drohen

Schadensersatz und Haftstrafen drohen

Das alles sei nur unter zentraler Kontrolle und über IAM erreichbar, das dafür auch die Werkzeuge für das sogenannte Auditing biete, also das Protokollieren von Informationen auf einem Betriebssystem. Er rät den Unternehmen mit dem Modul SSO zu starten - nicht nur aufgrund seines hohen Einsparungspotenzials. "Der SSO-Self-Service ist für die Mitarbeiter ein probates Mittel, von Anfang an den vorherrschenden Identitäten- und Rechtewildwuchs zu beseitigen." Dazu werden am Endgerät nur die Einträge zugelassen, die den Konventionen der Organisation entsprechen.

Angesichts des wachsenden Drucks auf die Unternehmen, geschäftsrechtlich konform handeln zu müssen, sieht Bertram von Siemens IT Solutions and Services die sogenannte Compliance, also die Kontrolle der Einhaltung von Richtlinien, als elementar an. "Fast ebenso wichtig ist es für die Unternehmen, über den Einsatz von IAM die Ablaufsicherheit und Qualität ihrer Geschäftsprozesse zu steigern", ergänzt er.

Berater Weimer von Ernst & Young bestätigt dies. "Immer rechtlich konform zu handeln, kann dem Unternehmen erhebliche Schadensersatzzahlungen und den Geschäftsverantwortlichen gegebenenfalls mehrjährige Haftstrafen ersparen." Werde die geschäftliche Konformität nicht gewahrt, führe das für die Unternehmen schnell zu einem mangelnden Geschäftsdurchblick, zu Mehrkosten und finanziellen Einbußen durch Reputationsverluste bei Geschäftspartnern und Kunden, sagt er.

Fink von HP spricht vom IAM-System als eine "für die Unternehmen zunehmend wichtige zentrale Prüfinstanz". "Unter anderem Vorgänge wie Antragsannahme und Genehmigungsverfahren können darüber revisionssicher und rechtsverbindlich dokumentiert werden." Gartner geht innerhalb seiner aktuellen Top Ten der Trends und Ereignisse noch weiter. Bis 2009, so das Marktinstitut, werde Corporate Social Responsibility auf Vorstands- und Geschäftsebene eine höhere Priorität haben als die Einhaltung von Regularien und Verordnungen.

Andreas Zilch, Lead Advisor bei der Experton Group, sieht dagegen ein konsolidiertes Sicherheitsmanagement, abgesicherte Geschäftsprozesse sowie die Erfüllung regulatorischer und gesetzlicher Auflagen als gleichrangige Motive für den Einsatz von IAM an. "Allerdings bewegen sich die Sicherheitsverantwortlichen in den Unternehmen hinsichtlich Compliance noch in der Orientierungsphase", meint er.

Der Berater fordert deshalb die Unternehmen auf, endlich in ein professionelles Risikomanagement einzusteigen, um sich der tatsächlichen Gefahren für das laufende Geschäft bewusst zu werden. "Nur mit dieser Erkenntnis wissen sie, wo Investitionen in die Sicherheit lohnen", erklärt er. "Ein sich selbst gesetztes Sicherheitsniveau zu erreichen, heißt auch, Restrisiken zu akzeptieren, also weniger geschäfts- und rechtskritische Anwendungen außen vor zu lassen", pflichtet Weimer bei. Denn letztlich habe auch die Anschaffung und Errichtung eines zentral geführten Zugriffs- und Kontrollschirms einschließlich aller damit verbundenen Organisations- und Ablaufveränderungen seinen Preis.

Die Wiedergabe wurde unterbrochen.