Kaum ein anderer Bereich der deutschen IT-Industrie konnte in den vergangenen Jahren so zulegen wie IT-Sicherheit. Das ist gut für die Branche, zeigt aber auch, welchen Nachholbedarf die Unternehmen hier noch haben.
Nach Schätzungen der Experton Group wird der in Deutschland über Sicherheitsprodukte erzielte Umsatz im laufenden Jahr bei 2,08 Milliarden Euro liegen – 13,4 Prozent mehr als im Vorjahr. Die Branche boomt, und das verwundert nicht: Das viel zitierte "Hase-Igel-Rennen" zwischen Angreifern und Herstellern nimmt weiter an Fahrt auf, Unternehmen müssen sich täglich mit Themen wie Datenschutz, der Sicherheit beim Mobile Computing und zunehmend auch mit Compliance-Regelungen auseinandersetzen. Galt es in der Vergangenheit primär, Sicherheitslücken in Software rechtzeitig zu schließen, bevor ein Angriff von außen erfolgen konnte, geht es mittlerweile darum, für alle Eventualitäten gewappnet zu sein. Der Großteil der Sicherheitsvorfälle, gegen die Firmen sich absichern müssen, erfolgt mittlerweile von innen heraus – wenn auch oft unbeabsichtigt – durch unvorsichtige oder unwissende Mitarbeiter. Angriffe von außen werden seltener, dafür aber effektiver und aggressiver: Das Bild vom Hacker, der der Welt zeigen möchte, wie gut sein Schadcode funktioniert, ist veraltet. Vielmehr hat sich eine profitable Schattenwirtschaft nach Marktprinzipien entwickelt: Angegriffen werden nur noch diejenigen, bei denen es auch wirklich etwas zu holen gibt.
Mit dem zunehmenden Anspruch der Mitarbeiter, von überall aus arbeiten zu können, steigt die Zahl der potenziellen Gefahrenstellen: Blackberry, Smartphone und PDA gehören schon jetzt zum guten Ton, deren Absicherung wird nach Expertenmeinungen im kommenden Jahr eine der größten Security-Herausforderungen darstellen. Die bislang mangelhafte Standardisierung, gerade auch von unternehmenseigenen Web-Applikationen, die über verschiedene Endgeräte angesteuert werden können, macht die mobile Sicherheit nicht gerade einfacher. Eine Mammutaufgabe stellt nicht zuletzt die flächendeckende Einführung von Identity-Management-Lösungen dar, denn gerade kleine und mittelständische Unternehmen hinken hier noch deutlich hinterher.
Doch Sicherheit fängt im Kopf an: Geht es nach dem Willen der Experten, forcieren Unternehmen Mitarbeiter-Schulungen sowie Bewusstseinskampagnen und setzen gegebenenfalls bereits vorhandene Security-Policies auch durch. Doch die Wirklichkeit sieht noch ein wenig anders aus: Laut Experton wird die Bedeutung der IT-Sicherheit für das Gesamtunternehmen in Deutschland unterschätzt und vom Topmanagement in den meisten Firmen nach wie vor als reine IT-Aufgabe betrachtet. Das erschwert ein strategisches Risiko-Management, ebenso mangelt es am Informationsaustausch mit den Fachabteilungen. Nach der jüngsten Security-Studie von Experton betreiben erst 55 Prozent der Interviewten punktuelle Risiko-Analysen, 41 Prozent setzen ein umfassendes Risiko-Management um, und knapp 30 Prozent konzipieren Risiko-Assessments mit den Business-Bereichen.
Hilfe von außen
Bilderstrecke: Das sagt die Branche
Peter Dölling, Defense AG Peter Dölling, Vorstand, Defense AG: 'Wir waren 2007 mit SOA-Security, XML-Firewalls, strategischem Consulting und der Absicherung von Produktionsanlagen erfolgreich. Diese Trends werden sich 2008 fortsetzen.'
Thomas Kohl, GF Deny All Security Solutions Thomas Kohl, Geschäftsführer, Deny All Security Solutions: 'Portal- und SOA-Security-Lösungen gehört die Zukunft.'
Andreas Beierer, Eleven GmbH Andreas Beierer, Vertriebsleiter, Eleven GmbH: 'Hersteller von Anti-Spam-Lösungen müssen die IT-Infrastruktur von Unternehmen gezielter schützen.'
Phillip Dunkelberger, CEO PGP Corporation Phillip Dunkelberger, CEO, PGP Corporation: 'Die Absicherung der gesamten Infrastruktur eines Unternehmens wird immer weiter in den Vordergrund treten. Verschlüsselungstechniken spielen dabei eine entscheidende Rolle.'
Wolfram Funk Wolfram Funk, Experton Group, Senior Advisor ICT-Service: 'Die Top-5-Herausforderungen für deutsche Unternehmen waren 2007 das 'Hase-Igel-Spiel' für Sicherheitsverantwortliche, Mobile Security, Viren- und Spyware-Schutz, IT-Sicherheit versus Nutzerfreundlichkeit und Web-Security. Bei den technologischen Prioritäten werden 2008 keine gravierenden Verschiebungen auftreten. Mobile Security etabliert sich weiterhin langsam. Die Komplexität des Themas nimmt künftig eher zu als ab. Dies liegt an den zunehmenden Optionen bei Smartphone-Plattformen, Drahtlos-Netzwerken und bei Ansätzen für das 'mobile Internet', gepaart mit einer nach wie vor mangelnden Standardisierung von Lösungspaketen. Der 'Leidensdruck' auf Anwenderseite steigt, und auf Anbieterseite ist eine fortschreitende Konsolidierung zu erwarten. Malware und Spam bleiben 2008 aktuelle Themen. E-Mail-Verschlüsselung, Security Information & Event Management sowie Identity & Access Management bleiben langfristige 'Wunschthemen' - in diesen Bereichen dominieren oftmals Insellösungen für einzelne Unternehmensbereiche oder Lösungsaspekte. 'Compliance' als Schlagwort leidet allmählich unter Verschleißerscheinungen - 2008 wird der Hype in den meisten Branchen langsam abklingen. Mit Blick auf IT-Sicherheit wird die Umsetzung rechtlicher und regulatorischer Anforderungen künftig primär unter Nutzung von Synergieeffekten mit ohnehin anstehenden Aufgaben erfolgen. Bei organisatorischen Fragen der IT-Sicherheit etablieren sich zusehends Formen des Risikomanagements. Security-Awareness-Kampagnen werden fester Bestandteil des Sicherheitsmanagements.'
Karsten Weronek Karsten Weronek, Head of Corporate Information Management, Fraport AG: '2007 war geprägt durch einen Boom von Mobility-Produkten, das heißt: neuen Endgeräten, Diensten und Services. Höhere Übertragungsraten, steigende Flächenabdeckung der Funkübertragungsmedien und sinkende Preise machen es möglich. Im geschäftlichen Bereich wächst das Bewusstsein bei den Verantwortlichen, dass kritische Unternehmensdaten überall hin verteilt werden. Maßnahmen zum Schutz der Daten sind Zugriffskontrolle nach Authentifizierung und Verschlüsselung. Alle drei Maßnahmen erfordern Identity-Management-Lösungen (IDM). In diesen müssen Identitäten verwaltet werden samt Authorisierungsprofilen und Schlüsseln. IDM wird demnach sehr bald unverzichtbar für Unternehmen. Aus diesem Grunde erwarte ich einen starken Trend im Bereich IDM-basierten Sicherheitsarchitekturen in 2008. Eine große Herausforderung ist das Thema Federation, sprich: das (technische und organisatorische) Vertrauen in die Authentifizierungsdienste von Partnern und Partnersystemen. Und wenn Sie sich fragen, warum ich nichts zu SOA schreibe, dann lesen Sie einfach unter diesem Aspekt noch einmal von vorne.'
Petra Jenner Petra Jenner, Geschäftsführerin, Check Point Software Technologies GmbH: 'Für Anwenderunternehmen war das Jahr 2007 aus unserer Sicht sehr stark geprägt von den Themen Compliance, Security Information Management und der notwendigen Konsolidierung vorhandener IT-Sicherheitsarchitekturen. Vor allem bedingt durch veränderte und verhärtete, rechtliche Anforderungen sind diese Aspekte der IT-Sicherheit sehr eng miteinander verzahnt, denn nur die effektive Verwaltung und Überwachung einer wirtschaftlich effizienten, konsolidierten Sicherheitsumgebung macht die Einhaltung heutiger Compliance-Anforderungen überhaupt erst möglich. Daher werden die Themen Compliance und Konsolidierung auch im kommenden Jahr eine wichtige Rolle spielen, ebenso wie die Absicherung IP-gesteuerter Fertigungsstraßen und Industrieanlagen, die mit der deutlichen Zunahme gezielter Wirtschafts- und Industriespionage für Produktionsbetriebe von geradezu existentieller Bedeutung ist. Verstärkte Aufmerksamkeit richten die Anwender auch auf die Absicherung von Endgeräten, also das Thema 'Mobile Security'. Mobile Endgeräte werden längst nicht mehr nur zum Telefonieren, sondern für die Ausführung von Geschäftsanwendungen genutzt. Sie verfügen außerdem über unglaubliche Speicherkapazitäten, so dass unerlaubtes Kopieren und Transportieren von Daten schneller und einfacher möglich ist, denn je. So mausert sich der Endpunkt zur schwächsten Stelle in einem möglicherweise sehr umfassenden, durchdachten Gesamtsicherheitskonzept, das damit schlimmstenfalls völlig nutzlos werden kann. Nicht neu, aber stärker im Blickfeld wird 2008 die Absicherung von VoIP-Umgebungen sein. Das diesbezügliche Sicherheitsbewusstsein steckt nach unserer Erfahrung noch in den Kinderschuhen, und wir sehen hier ein hohes, notwendiges Entwicklungs- und Aufklärungspotenzial. Als tatsächlicher Hype für 2008 zeichnet sich aber bereits jetzt das Thema Virtualisierung ab. Und je intensiver sich die Anwender in Richtung virtueller Systeme entwickeln, desto höher werden die Anforderungen an die Absicherung dieser virtuellen Serverfarmen.'
Stefan Strobel Stefan Strobel, Geschäftsführer, Cirosec GmbH: 'Einen generell 'wichtigsten' Aspekt für die Mehrheit der Firmen gab es 2006 sicherlich nicht. Die IT-Sicherheit besteht aus zu vielen verschiedenen Aspekten, so dass für manche Firmen das wichtigste Thema in der Organisation der IT-Sicherheit lag, für andere wiederum in der Etablierung von Applikationssicherheit oder in der Umstrukturierung ihrer Sicherheitszonen der Internet-Firewalls. Ich vermute, dass man bei einer Umfrage keine absolute Mehrheit für ein Thema bekommen würde. Erkennbar ist aber, dass die IT-Sicherheit immer strukturierter angegangen wird. Während früher viele Firmen eher unstrukturiert in Techniken investiert haben, die gerade angesagt waren, wird heute genauer überlegt, wo die größten Risiken für das Unternehmen liegen und dann zielgerichtet analysiert, welche Maßnahmen geeignet sind. Sowohl die Sicherheit von Web-Applikationen als auch der Schutz von vertraulichen Daten beziehungsweise Firmengeheimnissen waren bereits 2006 als deutliche Trends erkennbar - beide Themen werden auch 2007 stark weiter wachsen. Bei der Sicherheit von Web-Applikationen haben inzwischen fast alle betroffenen Firmen verstanden, dass klassische Firewalls nicht in der Lage sind, eine Web-Anwendung vor Hacker-Angriffen zu schützen. Neue Anforderungen von Visa und Mastercard an Betreiber von Web-Shops mit Kreditkarten-Zahlungsmöglichkeit werden im Sommer 2008 in Kraft treten und fordern explizit spezielle Sicherungsmaßnahmen auf Applikationsebene. Die in diesem Zusammenhang oft genannten Web Application Firewalls (WAFs) werden für viele Firmen ein wichtiges Thema für das nächste Jahr sein.'
Alexander Tsolkas Alexander Tsolkas, IT-Berater: 'Im laufenden Jahr standen die Security-Themen Event-Log-Management, Richtlinien-Reviews und neue Policies, die Erstellung eines ganzheitlichen Sicherheitskonzepts nach BSI, die Zertifizierung nach DIN27001, Business Continuity sowie SAP-Security im Vordergrund. 2008 wird das Jahr der Konsolidierung beziehungsweise Vertiefung bestehender Sicherheitsthemen sein.'
Johann Miller Johann Miller, Geschäftsführer, Integralis: 'Ein treibender Faktor im Jahr 2007 waren E-Mail- und Web-Sicherheit. Viele Sicherheitsvorfälle und ein weiterer Zuwachs im Bereich Spam waren die Hauptursache. Entsprechende Lösungen wurden dabei zunehmend ausgelagert, was zu einer Zunahme von Dienstleistungen und Services in diesem Bereich geführt hat. Ein weiteres Wachstumsthema war strategische und organisatorische Sicherheitsberatung. Viele Unternehmen haben sich zum Aufbau eines so genannten Information Security Management Systems (ISMS) entschlossen. Dies kommt auch im starken Zuwachs von ISO27001 Zertifikaten zum Ausdruck. Im kommenden Jahr wird der Firmenfokus weniger auf Erwerb und Installation zusätzlicher Sicherheitsprodukte, sondern verstärkt auf der effizienteren und leistungsfähigen Integration bestehender Lösungen liegen. Der Trend nach Beratungs- und Dienstleistungen wird sich also weiter verstärken. Eine ansteigende Projektnachfrage sehen wir für 2008 auch in den Bereichen Network Access Control (NAC) und Security Information und Event Management (SIEM). Beim Thema SIEM steht die Überwachung von Log-Dateien zur besseren und schnelleren Eskalation von Vorfällen, die Erfüllung immer höherer Compliance-Anforderungen und - damit verbunden - die Messbarkeit von IT-Security im Mittelpunkt. Die Auslagerung in Form von Managed Security Services wird von den Unternehmen als interessante Lösungsvariante wahrgenommen.'
Michael Hoos Michael Hoos, Technischer Direktor Central Emea, Symantec: 'Wir haben 2007 eine fortschreitende Professionalisierung der kriminellen Szene im Internet beobachtet. Toolkits wie Mpack erlauben Angreifern ohne technische Vorkenntnisse den schnellen Zugriff auf eine große Zahl Rechner. Dabei werden Betriebssystem und Browser analysiert, um jeweils passende Schadcodes zu senden. In Zukunft wird es vor allem darum gehen, das Verständnis von IT-Sicherheit der veränderten Umgebung anzupassen. Es wird nicht mehr primär der Schutz von Geräten, sondern von Informationen im Vordergrund stehen.'
Glaubt man den Analysten, setzen deutsche Unternehmen zunehmend auf externe Dienstleistungen, um ihre Sicherheitsanforderungen zu klären und zu erfüllen. Was in den USA seit einigen Jahren bereits Standard ist, hält nun auch hierzulande Einzug: Drei Viertel der von Experton befragten Organisationen holen sich Security-Wissen in irgendeiner Form bereits von außen ins Haus. Meist handelt es sich dabei um Wartungs- und Supportleistungen, besonders extern betriebene Schwachstellen-Audits und Prozessberatungen sind den Experten zufolge aber stark im Kommen. 2008 könnte auch in Deutschland branchenübergreifend erstmalig ein Jahr der langfristig angelegten, strategisch statt technisch motivierten Absicherung von Kundendaten und Geschäftsprozessen werden.