Sie haben immer noch Vertrauen in Ihre IT? Dann stützen Sie dieses Vertrauen hoffentlich auf ausgereifte Sicherheitskonzepte. Wenn nicht, gehören Sie entweder zu denen, die trotz des e-Hypes noch via Schreibmaschine kommunizieren – oder Sie haben ein riskantes Hobby zum Beruf gemacht: Russisches Roulette. 1,2 Millionen Tage sind die Computersysteme in deutschen Unternehmen im letzten Jahr aufgrund von Attacken auf die IT-Infrastruktur ausgefallen, berichtet Mummert Consulting. Tendenz: Steigend. Das Amerikanische Verteidigungsministerium ist Urvater des Internets. Es wollte ein Netzwerk aufbauen, das verschiedene autorisierte Behörden miteinander verband, Leitungsausfälle selbständig erkannte und sofort alternative Übertragungswege fand. Eine zentrale Vermittlungsstelle war in die Pläne nicht integriert: Fiel ein Netzknoten aus, war eine Kommunikation der angeschlossenen Rechner trotzdem möglich. Das Internet-Protocol war die Mutter der Paketvermittlung – mehr in Sachen Sicherheit galt es auch nicht zu tun: Schließlich war der Zutritt zum Netz der Netze nur autorisierten Besuchern gestattet.

Dann aber wurden dessen Tore weiter geöffnet: Die Anbindung erfolgte erst an Universitäten, dann an Forschungszentren, später an die kommerzielle Welt. Plötzlich taten Abgrenzungen und Sicherheitsmechanismen Not. Zentrales Statement heute: Integrität, Vertraulichkeit und Verfügbarkeit sind die drei Größen, die eine sichere Kommunikation via Web bestimmen.

Böse Buben online

Das Internet hat die Welt verändert. Vorsicht ist nicht länger die Mutter der Porzellankiste, sie ist bei jeder Transaktion geboten, die via Web zum Abschluss gebracht werden soll. Dass e-Mails auf der Datenautobahn postkartengleich quasi von jedem gelesen werden können, haben wir inzwischen verinnerlicht. Wie leicht ein Eindringen in einen noch vertraulicheren Datenaustausch sein kann, haben gewiefte Insider immer wieder bewiesen.

Die Anforderungen an die Sicherheit der IT-Umgebung sind gestiegen – die sinnvolle Nutzung externer und interner Netzwerke ist für die wirtschaftliche Abwicklung zentraler Geschäftsprozesse inzwischen (fast) lebensnotwendig. Applikationen müssen verfügbar sein, die Datenübertragung vertraulich – und daneben ist der Schutz der Privatsphäre jedes einzelnen Kunden oberstes Gebot. Viren, Denial of Service-Attachs oder der unautorisierte Zugriff auf als hochsicher geltende Systeme – so definiert man Geschäftsrisiken heute. Aber selbst die elektronische Form der Wirtschaftsspionage schreckt heute kaum noch jemanden davon ab, in das e-Business einzusteigen. Zu verlockend sind die Prognosen, wie das Web Umsätze und Erfolgswege verändern könne. Auch wenn sich einiges tut in Sachen Kunden-/Anbieterverhältnis: Die Zeit der Ladendetektive ist noch nicht vorbei. Sie heißen im e-Geschäft nur anders: Security Tools, Protokolle oder Real-Time-Messenger. Diese Helfer geben zwar dem Kunden kein Gesicht, machen aber die Spuren deutlich, die er bei seinen Besuchen hinterlässt.

Ausgewogen

Heute stehen die Unternehmen vor der Herausforderung, die Wirtschaftlichkeit und den Investitionsschutz für ihre Geschäftsprozesse durch eine ausgewogene Gestaltung der IT-Sicherheit zu gewährleisten. Neben der Datensicherheit sind die Themen Notfallversorgung und physische Sicherheit wichtige Schwerpunkte. Externen Support und auch Sicherheitstests kann der Security-bewusste ITler inzwischen überall einkaufen. Die Angebote sind mannigfaltig: Vom einmaligen Scannen aller im Web sichtbaren Unternehmensrechner bis hin zum Allround-Paket mit Anforderungskatalog, Kostenschätzung und zweiwöchentlichen Web-Blitzbesuch.

Die Wünsche der User sind schlicht und eindeutig: Am liebsten hätten sie eingebaute Sicherheit oder eben eine heile Welt, in der Hacker oder spionierende Wettbewerber eine unbekannte Größe sind. Der erste Wunsch ließ sich für eine relativ lange Zeit relativ einfach realisieren. Als die iSeries noch AS/400 hieß, war sie für ihre sprichwörtliche Sicherheit bekannt. Nach dem Rebranding der eServer wurde aber auch der Midrange-Rechner e-Salonfähig – mit verteilten Architekturen, der Öffnung des Systems und dem Weg ins Internet begannen bis dato unbekannte Sorgen. Klar: Noch immer ist die iSeries eines der sichersten Systeme am Markt. Sie vereint innovative Technologien, Leistung, Skalierbarkeit, und bewährte Zuverlässigkeit in einem einfach zu verwaltenden Server. Zudem sei die iSeries, so ist es auf einer der IBM-Sites zu lesen, „eindeutiger Branchenführer im Bereich Sicherheit, denn Sicherheit ist ein integrierter Bestandteil der OS/400-Architektur, der Ihr e-Business vor Hackern und Virenattacken schützt“. Ruhig zurücklehnen also? Nein. Auch iSeries-User können das Thema Security nicht länger unter den Tisch kehren. Gewiefte Web-Ganoven dringen nämlich auch bis dahin vor.

Wenig Aufmerksamkeit

Laut Gartner Group macht der Bereich IT-Sicherheit durchschnittlich nur 3 bis 5 Prozent des IT-Budgets aus. Dieser kleine Teil der Gelder ist dann meist noch auf drei verschiedene Bereiche aufzuteilen:

– Server-Security
– Transaktionssicherheit
– Transportsicherheit

Der Server-Sicherheit kommt in unserer Marktübersicht die höchste Bedeutung zu: Noch immer lagern zwischen 60 und 70 Prozent der unternehmenskritischen Daten hier. Es gilt, diese Daten zu sichern, damit die Unternehmensprozesse flüssig bleiben und rund laufen. Authentifizierung und Autorisierung sowie auch Zugangskontrolle sind hier als die wichtigsten Technologien zu nennen.

Willkommen im Intranet

SAGA D.C., unabhängiges Beratungs- und Entwicklungsunternehmen mit iSeries- und Mainframe-Affinität, warnte jüngst alle Unternehmen, die ihre auf dem SNA-Protokoll basierenden IBM-Rechner im Intranet für den Zugriff aus dem TCP/IP-basierenden Internet öffnen, vor gravierenden Sicherheitsrisiken. „Die Sicherheitsbeauftragten wissen nicht, dass sie auf einem Pulverfass sitzen. Bei den meisten der heute, statt der früheren SNA-Terminals genutzten Emulatoren ist die Strecke zwischen TN3270-Server und dem Client gänzlich unverschlüsselt“, so Jochen Grotepaß, Geschäftsführer von SAGA. Einen wirksamen Schutz verspreche einzig eine SSL-Verschlüsselung, die in den meisten Fällen nicht vorhanden sei. Als größten Gefahrenpunkt sieht er die so genannte „Man-in-the-Middle“-Attacke, die gewöhnlich vom eigenen Mitarbeiter ausgeht. Nach Einschätzung von Grotepaß bietet nur SSL, das heute in den Versionen 3.0 und 3.1 implementiert ist, mit seiner Authentifizierung per Zertifikat und seiner starken Verschlüsselung einen ausreichenden Schutz vor Attacken. „Mit SSL-Verschlüsselung gibt es beim browserbasierten Zugriff eine deutlich höhere Sicherheit, als sie mit dem TN3270-basierten Zugang oder einer ‚Asynchron-zu-3270-Konversion‘ möglich ist“, meint der Experte.

Kollaboration

Collaborative Commerce gehört zu den Schlagworten unserer Zeit. Immer unkomplizierter und enger sollen Firmen mit Geschäftspartnern, Kunden und Lieferanten interagieren. Jedes IT-System holt sich das, was es an Informationen braucht, schlichtweg von allein. Ändern sich Liefer- oder Rechnungsstatus, werden Abgleiche automatisiert vorgenommen – alles ganz einfach. Trotzdem soll und darf nicht jeder extern Angebundene auch alles sehen oder wissen. Integrieren und trotzdem clever abgrenzen – so lautet die Devise.

Gesicht verloren

Kein Handschlag mehr, kein Lächeln bei Vertragsabschluss – das e-Business hat weder Aura noch Gesicht. Aber es baut ebenfalls auf Vertrauen auf und das können Unternehmen sich durch sinnvolle Investitionen in ihre Sicherheitsinfrastruktur erwerben. Das Web macht Daten manipulierbar – Kryptografie schafft hier Abhilfe. Am meisten von mangelnder Sicherheit betroffen sind die Unternehmensserver: Sie haben schließlich am meisten zu verlieren. Sobald ein Server mit dem Internet connected wird, droht Gefahr.

Mit unseren Servern ist es wie im richtigen Leben: Hundertprozentige Sicherheit ist nicht möglich. Ist das ein aber Grund, in Sachen e-Business nur stiller Beobachter zu bleiben? Nein. Wir verfügen über eine der besten Plattformen und der Markt offeriert jede Menge Tools und Lösungen. Wir haben also eine gute Basis – und daneben alle Chancen der Welt, sichere und gute e-Geschäfte zu machen.

Jedem das seine

Jedes Unternehmen sollte über eine ganz individuelle Security Policy verfügen und die Zeit nutzen, sich der drohenden Gefahren und ihrer Wahrscheinlichkeit bewusst zu werden. Damit ist der erste wichtige Schritt in Sachen Sicherheit schon getan. Dann sind geeignete Tools zu finden, die vorhandene Lücken schließen. Der Markt ist groß und hält eine Fülle an Lösungen bereit. Sind die erst einmal installiert, sollte das Thema Sicherheit dennoch präsent bleiben. Technologien und Lücken wandeln sich schnell.

Ein Tool allein ist keine Lösung; was hilft, ist die Kombination mit gesundem Menschenverstand. Augen auf und wachsam bleiben – was geht, zeigt unsere Marktübersicht.