10 Stolpersteine bei der IT-Sicherheit

Zwar hat sich in den letzten drei Jahren die Zahl der realisierten Network Access Control-Lösungen (NAC) zum Schutz vor internem Datenmissbrauch mehr als verdoppelt, trotzdem verfügen nach einer Vergleichserhebung von Mikado Soft erst zwei von fünf Firmen über einen solchen Schutz der Netzwerkzugänge. Die Consultants des NAC-Softwarehauses haben aus Praxissicht die Gründe für die Zurückhaltung untersucht und einige der weit verbreiteten Stolpersteine zusammengestellt:

Projekte zum Schutz vor externen Angriffen haben immer Vorrang: Zweifellos sind Attacken und Manipulationsversuche über das Internet eine kontinuierliche Gefahr auf gleichbleibend hohem Niveau. Studien zeigen aber wiederholt, dass beim Schutz vor Datendiebstahl eine besondere Gefahr vor Innentätern ausgeht. Diesem Sachverhalt wird in den Security-Investitionen meist zu wenig Rechnung getragen, weil der Fokus fast ausschließlich auf die externen und öffentlich populär diskutierten Gefahren gerichtet wird.

Zu isolierte Impulse: Obwohl die IT-Sicherheit unwidersprochen ein unternehmensweites Thema darstellt, obliegt sie fast ausschließlich der IT oder den Security-Verantwortlichen. Diese funktionale Zuordnung ist zwar in fachlicher Hinsicht sinnvoll, darf aber nicht so weit gehen, dass die Business-Abteilungen von einem eigenen Engagement befreit werden. Dies ist jedoch in der Praxis weit verbreitet zu beobachten. Als Konsequenz fehlt es den Initiatoren von Maßnahmen an Unterstützung und können mögliche Optimierungspotenziale in der IT-Sicherheit nicht ausreichend aktiviert werden.

Wirtschaftliche Nutzeneffekte werden nicht gesehen: Investitionen in Sicherheitssysteme begründen sich im Regelfall mit der Abwehr von Gefahren, ohne dass ein Zusatznutzen erwartet wird. Im Falle der NAC-Lösungen (Network Access Control) zum Schutz vor internem Datenmissbrauch stellt sich die Situation jedoch anders dar, weil diese Systeme auch gleichzeitig zur Steuerung des Energieverbrauchs aller Netzwerkkomponenten eingesetzt werden können. Dies bewirkt einen ROI der NAC-Investition bereits im ersten Jahr. Solche Effekte werden in den Unternehmen jedoch nicht deutlich, weil die Verantwortlichen für die IT-Sicherheit einerseits und diejenigen für die Energiekosten andererseits hierzu nicht miteinander kommunizieren.

Keine wirkungsvolle Security-Führung: Weil die IT-Sicherheit in der Realität der Unternehmen keine oder nur eine geringe strategische Bedeutung hat, fehlt es den Security-Verantwortlichen an der notwendigen Durchsetzungskraft. Statt IT-Sicherheit als eine rein operative Funktion zu verstehen bedarf es einer vom Top-Management unterstützten Roadmap. Sie muss explizit auch den internen Schutz vor Datenmissbrauch beinhalten, in ihren sicherheitsstrategischen Zielen mittelfristig angelegt sein und gleichzeitig die Unterstützungspflichten durch die gesamten Organisationseinheiten klären.

Angst vor hohem Projektaufwand: Entgegen einer weit verbreiteten Annahme sind NAC-Lösungen typischerweise so angelegt, dass sie eine zeitaufwändige Projektrealisierung vermeiden. Dadurch lassen sich Implementierungen bereits in wenigen Stunden vornehmen. Auch für eine flexible Skalierung des Security-Systems gilt dies. Voraussetzung einer schnellen Implementierung ist die konzeptionelle Ausrichtung der Lösung als Management-Tool, das technisch nicht in die bestehende Infrastruktur integriert werden muss.

Es wird mit fehlenden Administrationsressourcen argumentiert: Der Hinweis auf den Betreuungsaufwand resultiert vornehmlich aus Erfahrungen mit Managementtools aus anderen Funktionsbereichen, geht aber im Falle von NAC-Lösungen im Regelfall an den realen Gegebenheiten vorbei. Vielmehr sind sie ähnlich ihrer aufwandsarmen Implementierung so angelegt, dass lediglich ein unbedeutender Administrationsbedarf entsteht und somit die IT-Ressourcen nicht nennenswert belastet werden.

Beschränktes Augenmerk auf die klassischen mobilen Geräte: Fast alle Mitarbeiter und Personen mit Zutritt zu den Betriebsräumen tragen heutzutage Handys mit sich, teilweise auch andere Mobile Devices mit Speicherfunktionen. Dabei verfügen typische Mobiltelefone heutzutage über ein beträchtliches Speichervolumen, so dass damit bei fehlenden NAC-Lösungen potenziell umfassende Daten widerrechtlich herunter geladen werden können.

Der Irrglaube, Angriffe zielen nur auf die großen Namen ab: Letztlich besitzt jedes Unternehmen eine Menge schützenswertes Know-how, auch die kleineren Betriebe. Denn gerade mittelständische Firmen zeigen meist eine große Innovationskraft, entwickeln kontinuierlich Produktneuheiten und haben deshalb eine große Anziehungskraft für wirtschaftskriminelle Aktivitäten. Insofern droht auch ihnen im Falle des Verlustes von Informationen ein erheblicher Schaden.

Angst vor Transparenz: NAC-Systeme bilden über das Live-Monitoring und Bestandsmanagement die gesamte Gerätelandschaft innerhalb der Netzwerk-Infrastruktur ab. Somit würden dann auch alle Schwächen ans Tageslicht befördert, für deren Beseitigung möglicherweise keine Ressourcen bestehen. Deshalb wird trotz erkannter Notwendigkeit die Einführung einer NAC-Lösung gerne ohne feste zeitliche Planung in die Zukunft verschoben.

 

RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags