Ob die IT-Systeme stärker von außen oder von innen bedroht sind, darüber lässt sich streiten. Eines ist jedoch sicher: Ohne durchgängiges Sicherheitsmanagement gibt es keine Sicherheit in Unternehmen. Dies geht Hand in Hand mit dem Systemmanagement, wie es die drei großen „A’s“ – Autorisierung, Authentifizierung und Administration – nahe legen. Die Integration von IT-Sicherheit in die allgemeine Politik der inneren und äußeren Sicherheit zum Schutz kritischer Infrastrukturen ist in vollem Gange. Insbesondere die fundamentalen Änderungen, die das Internet auf die Gestaltung der betrieblichen Abläufe bewirkt, eröffnen ein zusätzliches Bedrohungspotenzial. Mit Firewall, Antiviren-Software, Content Inspection und Intrusion Detection stehen den Unternehmen probate Hilfen zur Verfügung, sich vor unliebsamen Besuchern zu schützen.
Offene Grenzen
Die Sicherheitsfrage bezieht sich aber nicht alleine auf die Aspekte der Ausgrenzung. Sie ist erheblich weiter zu fassen, da im Rahmen von B2C- und B2B-Szenarien die Grenzen zwischen der eigenen Infrastruktur und der von Geschäftspartnern, Lieferanten, Kunden etc verwischen. Diese Gruppen schlüpfen nun in die Rolle des „gewöhnlichen“ Benutzers, der über eine legitime Berechtigung zur Nutzung auch interner Firmen-IT-Ressourcen verfügt.
Schon in der RZ-/Mainframe-Ära wurden unter dem Begriff „Sicherheit“ Fragen der Geheimhaltung, Datenintegrität oder Verfügbarkeit von Daten und Systemen subsumiert. Daran hat sich auch heute nichts geändert. Denn während Sicherheit aus interner Sicht Schutz der eigenen Ressourcen bedeutet, erwarten externe (aber auch interne) Nutzer hier in erster Linie Verfügbarkeit und Performance – oder kurz: die Funktionstüchtigkeit der IT-Infrastruktur. Die Sicherheitsarchitektur eines Unternehmens darf sich folglich nicht nur auf die oben erwähnten Sicherheitswerkzeuge beschränken, sondern muss gleichrangig Aspekte der Performance und der Verfügbarkeit (Ausfallschutz, Wiederanlauf etc.) beachten.
Zentrale Administration
Um die unterschiedlichen Sicherheitsmechanismen und Benutzergruppen unter einen (Management-)Hut zu bringen, gewinnt die zentrale Benutzeradministration an Gewicht. Benutzeridentitäten, Konten, Zugriffsrechte und Ressourcen müssen in einem LDAP V3/X.500-standardkonformen Verzeichnisservice (Directory) vorgehalten werden, um den Administratoren jederzeit einen transparenten und konsistenten Blick auf das Sicherheitsregelwerk zu gewähren. Da in einem zentralen Directory auch die Passwörter verwaltet werden, eignet es sich ebenso als Ausgangspunkt für das Zusammenspiel mit webbasierten Single Sign On- (SSO-) Lösungen.
CA Computer Associates GmbH
D–64297 Darmstadt
Telefon: (+49) 06151/949-0
www.ca.com
