Analysten raten zu "Security 3.0"

Datendieben einen Schritt voraus

30. Januar 2008
Von Nicolas Zeitler
Die Kosten durch Datenverluste werden im laufenden und nächsten Jahr jeweils um ein Fünftel steigen. Das prophezeien die Marktbeobachter von Gartner. Die meisten Unternehmen stehen Angriffen indes nicht schutzlos gegenüber. Ändern müssen viele allerdings ihre Herangehensweise: Statt auf Sicherheitsbedrohungen zu reagieren, gilt es, diese vorab zu erkennen und vorzubeugen.

Unter dem Schlagwort "SecuritySecurity 3.0" mahnen die Analysten einen veränderten Umgang mit Bedrohungen an. Entscheidend sind demnach Sicherheitsvorkehrungen, die in Anwendungen integriert und anpassungsfähig an neue Gefährdungen sind. Bislang hinkten die meisten Firmen allerdings in der Mehrzahl der Fälle den Cyber-Kriminellen hinterher. Auf jede neu erkannte Bedrohung werde in der Regel mit einer Insellösung reagiert, um die Verwundbarkeit der eigenen IT an einem bestimmten Punkt zu verringern. Alles zu Security auf CIO.de

Die Gartner-Analysten vergleichen den von ihnen geforderten Ansatz mit einem Schachspiel. Indem sie möglichst viele mögliche Züge des Angreifers im Voraus bedenken, sollen die für die IT-Sicherheit Verantwortlichen den Angriffswinkel des Gegners einengen und sich auf längere Auseinandersetzungen einstellen. Das Sicherheitsbedrohungen vollkommen unvorhersehbar seien, ist laut Gartner nichts weiter als ein Mythos.

An vier Punkten raten die Analysten IT-Verantwortlichen anzusetzen. Zum einen mahnen sie eine strenge Zugangskontrolle von Netzwerken an. Wichtig ist ferner ein striktes Management der Nutzer-Identitäten. Außerdem müssen potenzielle Schwachstellen eines Systems entdeckt werden - möglichst, bevor es zu Angriffen kommt. Zuletzt müssen - vor allem an Schwachstellen - Instrumente bereitgestellt werden, um Eindringlinge abzuwehren.

Um künftige Bedrohungen rechtzeitig zu erkennen, sei meist nicht einmal mehr Geld notwendig, als die meisten Firmen schon jetzt für die IT-Sicherheit ausgeben. In zwei von drei Unternehmen seien sowohl Personal als auch das Budget dafür ausreichend. Entscheidend sei aber der richtige Einsatz der Sicherheits-Ressourcen.