Das wertvollste Gut in den meisten Unternehmen sind die Daten, die – in welcher Form auch immer – im Firmennetzwerk vorliegen. Und darum sollten sie jederzeit geschützt werden vor unberechtigten Zugriffen und Manipulationen: einerseits nach außen vor Hackern, Betriebsspionen und Viren, andererseits nach innen – unabsichtlich oder auch beabsichtigt – durch die eigenen Mitarbeiter. Sicherheit bieten hier Schutzmechanismen, die sich auf der Basis einer umfassenden Analyse der individuellen Situation aus mehreren Komponenten wie etwa Firewall-, Authentisierungs- und Verschlüsselungs-Systemen zusammensetzen. Im Zusammenspiel mit einer regelmäßigen, qualifizierten Schwachstellenanalyse können sich Unternehmen auf diese Weise wirksam gegen „ungeladene Gäste“ in ihrem Netzwerk schützen, denn: Sicherheit ist ein Prozess und kein Produkt.
Der globalen Informationsgesellschaft mit ihren stets komplexer und schneller werdenden Kommunikationssystemen werden immer sensiblere Daten anvertraut. Trotz der damit einhergehenden und auch allseits bekannten Gefahren nehmen jedoch noch sehr viele Unternehmen das Thema „Netzwerksicherheit“ nur zögerlich in Angriff, während beispielsweise die Gebäude ganz selbstverständlich mit Alarmanlagen gegen unbefugten Zutritt abgesichert sind. Der Grund für die nachlässige Haltung liegt zumeist in einem grundsätzlich fehlenden Sicherheitsbewusstsein gegenüber den per se vorhandenen zahlreichen Security-Lücken beispielsweise in komplexen Betriebssystemen und Anwendungen. Durch fehlendes Know-how existieren nicht immer Konzepte für einen effizienten Datenschutz. Dabei ließe sich mit der Hilfe qualifizierter Implementierungspartner und der richtigen Kombination von individuell zusammengestellten Lösungen jederzeit ein wirkungsvolles System erarbeiten, das vor Fremdzugriffen schützt und gleichzeitig Daten im Unternehmen auch nur dort verfügbar macht, wo der Zugriff erwünscht ist – räumlich begrenzt, zeitlich begrenzt und tätigkeitsbezogen.
Ganzheitlicher Ansatz
Was also ist zu tun? Die Profi Engineering Systems AG aus Darmstadt hat in ihrem Geschäftsfeld Security-Lösungen für die Entwicklung, Einführung und Pflege einer ganzheitlichen unternehmensweiten IT-Sicherheitspolitik einen mehrstufigen Lösungsansatz entwickelt, der jeweils individuell nach den spezifischen Anforderungen der Kunden erarbeitet wird.
Ausgangspunkt ist ein zweitägiger Security-Basis-Workshop, in dessen Verlauf zunächst mithilfe von grundlegenden Erläuterungen zum Thema „IT-Sicherheit“ eine gemeinsame Wissensbasis über tatsächlich existierende Sicherheitslücken aufgebaut wird. Diese Vorgehensweise liegt in der Tatsache begründet, dass noch immer viele Anwender der Meinung sind, die Implementierung einer Firewall schütze sie gegen alle Angriffe von außen. Dabei laufen sie leicht Gefahr zu verkennen, dass dies lediglich ein einzelner Baustein innerhalb eines Rundum-Konzeptes ist, das – ähnlich wie die Qualitätssicherung nach EN-Norm ISO9001 – zudem steter Pflege und genauester Beobachtung bedarf. Auch kann etwa ein gebrauchsüblicher Virenscanner auf einem Einzelplatzrechner lediglich anzeigen, dass ein Virus bereits im Netz ist. Doch was ist dann zu tun? Im Angesicht dieses enormen Bedrohungspotenzials mit seinen vielfältigen Angriffstechniken werden daher im Workshop leistungsfähige Abwehrmechanismen mit den entsprechenden Lösungsstrategien vorgestellt.
Wo sind die Sicherheitslecks?
Mittels eines detaillierten Fragenkatalogs fertigen die Projektmitarbeiter im Anschluss daran gemeinsam mit dem Kunden eine Ist-Aufnahme der aktuellen IT-Infrastruktur an, um Schwachstellen aufzudecken, die dem Unternehmen zuvor möglicherweise gar nicht bewusst waren. Diese Analyse bietet dann die Basis dafür, genau die Stellen festzulegen, an denen eine wirkungsvolle Sicherheitslösung künftig ansetzen soll. Einmal mehr wird dabei den Kunden vor Augen geführt, dass es sich bei der Einrichtung einer sicheren IT-Umgebung nicht um die bloße Implementierung eines einzelnen Produkts wie der Firewall handeln kann, die in der Lage sein soll, sämtliche Angriffe von außen – die inneren würden damit ja schon gar nicht abgedeckt – adäquat abzuwehren. Es geht vielmehr um eine Lösung, die sich individuell aus vielen Bausteinen zusammensetzt. Bildlich gesprochen: Was nutzt die dickste Stahltür am Firmeneingang, wenn auf der Rückseite des Gebäudes trotzdem immer ein Fenster offen steht?
Unverzichtbar: Das Sicherheitshandbuch
Zur Fixierung aller nach der Analyse aufgedeckten Sicherheitslecks und der darauf aufbauenden Anforderungen an das zukünftige System – auch der gesetzlichen Vorschriften, wie sie etwa für börsennotierte Unternehmen gelten – wird ein Sicherheitshandbuch erstellt. Darin müssen auch die Schwachstellen enthalten sein, die das Unternehmen aus firmeninternen Gründen derzeit nicht abdecken kann oder will. Danach geht es an die Auswahl der entsprechenden Produkte, aus denen sich die künftige Security-Lösung zusammensetzen soll, also etwa Firewall oder Produkte zur Authentisierung und Verschlüsselung. Zumeist kann dabei auf ein bereits bestehendes System – etwa eine Virenschutz-Lösung – aufgebaut werden. Je nach Installationsaufwand kann die Implementierungszeit der ausgewählten Produkte zwischen mehreren Tagen und einigen Monaten betragen. Dabei gibt es natürlich auch kürzere Installationen von nur wenigen Tagen, beispielsweise zum Check oder zur Neukonfigurierung eines Mailservers, oder längere, etwa für den Zusammenschluss eines über mehrere Standorte verteilten Sicherheitssystems.
Nachbetreuung inklusive
Wie bereits erwähnt: IT-Security ist keine Frage des Produktes, sondern ein fortwährender Prozess. Was bringt eine Firewall, wenn niemand die darauf protokollierten Angriffe kontrolliert, woher und von wem sie kommen? Was nutzt ein Virencheck, der nicht verfolgt, woher verseuchte eMails kommen? Eine völlige Sicherheit ist zwar in der vernetzten Welt nicht zu erreichen. Um die Unternehmensdaten aber trotzdem so wirkungsvoll wie möglich zu schützen, bedarf die IT-Sicherheit im Unternehmen permanenter Pflege und Aufmerksamkeit. Jedoch: Welches Unternehmen kann hierfür noch die Zeit und auch das spezielle Know-how aufbringen? Und es geht dabei ja nicht bloß um die Überwachung eines statischen Ist-Zustandes – ist doch ein Firmennetzwerk äußerst dynamisch: Jede Veränderung innerhalb des Systems, sei es durch die Buchhaltung, die das Homebanking über eine neue Bank abwickelt, sei es durch einen neuen Lieferanten, der eingebunden wird, öffnet möglicherweise einen Spalt, durch den ein Hacker in das Netzwerk hereinschlüpfen könnte. Die Profi AG bietet daher über Consulting und Projektmanagement hinaus mit einem Betreuungsvertrag die Möglichkeit, alle installierten Systeme kontinuierlich zu überwachen, zu warten und veränderten Gegebenheiten entsprechend auch jederzeit flexibel umzustellen bzw. zu erweitern. Hierzu gehören auch Test-Audits mit Hacker-Angriffen, um das System immer einmal wieder auf die Probe zu stellen. Alle diese Dienstleistungen zusammen ergeben ein wirkungsvolles Sicherheitsnetz rund um alle Unternehmensdaten, das so schnell nicht zerreißen kann.
PROFI Engineering Systems AG
D–64293 Darmstadt
Telefon: (+49) 06151/8290-0
www.profi-ag.de
