Wo das Eindringen ins Firmennetz unentdeckt bleibt, wiegen sich IT-Leiter in trügerischer Sicherheit, denn: "Wer keine Vorkehrungen trifft, kann noch lange nicht sicher sein, dass wirklich nichts passiert ist", sagt Sven Kniest von Net-IQ, einem Security-Software-Anbieter. "Versierte Hacker hinterlassen kaum sichtbare Spuren, und diese verlieren sich leicht in den Megabyte-großen Protokollen von Firewall, Web- und E-Mail-Server." So hat auch das Consulting-Unternehmen Arthur Andersen in der Studie "IT-Sicherheit in Europa" festgestellt, dass ein Fünftel der befragten Firmen von eventuellen Angriffen gar nichts weiß.
Dabei liegen die Gefahren von Viren, Einbruchs- und Ausspähversuchen auf der Hand. Zwar gehören gängige Abwehrmittel wie Virenchecker und Firewalls inzwischen zur Grundausstattung der meisten Firmennetzwerke; auch aufwendige Authentifizierungs-Infrastrukturen nach dem Public-Key-Verfahren (PKI) und virtuelle Privatnetze, die zwar das Internet nutzen, aber durch so genannte Tunnel gegen unerwünschte Mitleser ab-geschirmt sind, finden sich in vielen Sicherheitsportfolios. Doch selbst wer zudem eine Intrusion-Detection-Software zur sofortigen Entdeckung unberechtigter Zugriffe installiert, ist längst nicht auf der sicheren Seite. "Wer glaubt, dass sich IT-Sicherheit allein mit technischen Mitteln garantieren lässt, ist auf dem Holzweg", warnt Carsten Casper, Sicherheitsexperte bei der Meta Group.
Das Bedrohungspotenzial ist gewachsen: Benötigten Hacker früher als Rüstzeug zumindest Sachverstand sowie profunde Programmier- und Systemkenntnisse, sind heute Virenbausätze, Hacker-Programme wie IP-Sniffer und Passwortdetektoren mit detaillierter Bedienungsanleitung frei im Internet verfügbar. Sie machen aus jedem Computerlaien mit destruktiver Gesinnung einen potenziellen Angreifer. "Gegen solche Standardangriffe lassen sich noch recht einfach Vorkehrungen treffen", erklärt Armin Stephan, Sicherheitsberater bei Computer Associates (CA), einem der großen Anbieter von Security-Lösungen. Aber selbst diese simplen Gegenmittel fehlen vielerorts - wie natürlich erst recht Sicherheitsstrategien, die mehr können, als spielerisch motivierte Störungs- und Zerstörungswut verpuffen zu lassen.
Kein sichtbarer Gewinn
CIOs haben es schwer, Mittel für zusätzliche Sicherheitsmaßnahmen lockerzumachen. IT-Sicherheit kostet Geld und bringt - zumindest auf den ersten Blick - keinen sichtbaren Gewinn. Zudem sind die Risiken kaum abzuschätzen. Der RoI - oder besser: RoSI (Return on Security Investment; siehe CIO 5/02, S. 58) - ist deshalb allenfalls in Umrissen ermittelbar. Welchen konkreten Schaden verursacht ein Hacker-Einbruch? Lässt sich der ImageVerlust durch eine Negativschlagzeile berechnen? Manche Schäden sind nur zu erahnen: "Wenn Industriespione unbemerkt im Firmennetz surfen, kann das durchaus dazu führen, dass das Unternehmen bei Ausschreibungen nicht mehr zum Zuge kommt", sagt Kniest.
Dass auch tatsächlich messbare Schäden entstehen, zeigte nicht nur der rasante Fall der Yahoo-Aktie, nachdem das Web-Portal im vergangenen Jahr durch eine DoS (Denial of Service) -Attacke von Hackern zeitweise lahm gelegt worden war. Natürlich ist nicht jedes Unternehmen so exponiert wie Yahoo, dessen Internet-Portal zugleich das Kerngeschäft ist. Aber mit wachsendem E-Business, mit der Verlagerung von Geschäftsprozessen durch SCM, CRM, E-Procurement, B2B- und B2C-Portale müssen Unternehmen ihre Datenbestände für Kunden und Partner öffnen. Dann bleibt keine Wahl mehr: Das Risiko wird quasi zum Bestandteil des Geschäftsmodells. Und auch die Geschäftspartner verlangen Auskunft über die Sicherheit von Daten und Transaktionen.
Deshalb sind es häufig E-Business-Initiativen, die CIOs veranlassen, die IT-Sicherheit auf den Prüfstand zu stellen. "Vor zehn Jahren war der IT-Sicherheit noch mit Benutzer-Adminstration und Datensicherung Genüge getan; heute braucht man ein für das jeweilige Unternehmensumfeld maßgeschneidertes Sicherheitsmanagement", sagt CA-Sicherheitsfachmann Stephan. Selbst wer in zusätzliche Security-Software investiere, sei keineswegs automatisch abgesichert.
Wichtiger noch, da sind sich die Experten einig, ist das Etablieren einer Security Policy - einer klar und deutlich ausformulierten Sicherheitsrichtlinie. Dazu gehört auch, Sicherheitsziele zu definieren, die gesetzlichen Regelungen zu berücksichtigen, Verantwortliche zu benennen, die Administration einzubinden und Sicherheitsbewusstsein zu schaffen. Hieraus lassen sich dann verbindliche, transparente Handlungsanleitungen für alle Mitarbeiter und Partner des Unternehmens im Umgang mit Systemen, Anwendungen und Daten ableiten. Die technische Umsetzung ist dabei ein wichtiger, aber eben nur ein Baustein der umfassenden Security Policy. Rarität: der Chief Security Officer Weil es IT-Sicherheit nicht von der Stange gibt, beginnt die Planung von Richtlinien immer mit einer Bestandsaufnahme und der Formulierung strategischer Ziele. "Eine sinnvolle Abschätzung des Gefährdungspotenzials kann nur auf einer Bewertung der einzelnen Geschäftsprozesse aufsetzen", erläutert Meta-Experte Casper. "Da spielt nicht allein die Branche eine Rolle, sondern vor allem die Frage, wie wichtig ein bestimmter Prozess für das Kerngeschäft ist." Erst anschließend könnten die Policies für einzelne Bereiche festgelegt werden: beispielsweise für die Zugriffsrechte, den Umgang mit Outsourcing und externen Dienstleistern sowie mit Passwörtern und Eskalationsszenarien, für strategische Prozesse wie Rollendefinitionen, Daten-klassifikationen und das Policy-Management selbst.
Ein steiniger Weg mit vielen Hindernissen. Fast immer werden Sicherheitsmaßnahmen als unbequem wahrgenommen und häufig umgangen. Beispiel Passwort: Wer im häufigen Wechsel "starke" Passwörter (die außer Buchstaben und Ziffern auch Sonderzeichen enthalten) verwenden muss, kann sich diese meist nicht merken. Resultat: Wenn das Passwort nicht gleich gut sichtbar am Bildschirm klebt, hat der Mitarbeiter es meist in unmittelbarer Nähe verwahrt. "Wer danach sucht, findet 50 Prozent der Passwörter im Umkreis von einem Meter von Monitor und Computer" schätzt Professor Christoph Meinel, Direktor des Instituts für Telematik in Trier.
Andere Probleme entstehen bei der Verankerung der Sicherheitsziele in der Administration. Während in den USA ein Chief Security Officer (CSO) zumindest in großen Unternehmen keine Seltenheit mehr ist, sind Sicherheitsverantwortliche mit klaren Befugnissen hierzulande noch die große Ausnahme. Meist im Bereich der operativen IT angesiedelt, haben sie eher die technische Umsetzung als die strategische Planung im Blick. "Es ist unerlässlich, die strategischen Ziele regelmäßig zu überprüfen. Die IT-Sicherheit ist keine Aufgabe, die einmal erledigt wird, sondern ein fortlaufender Prozess", sagt Sicherheitsberater Casper. "Das Formulieren von Sicherheitsrichtlinien ist nur dann sinnvoll, wenn der verantwortliche Manager in der Position ist, sie intern durchzusetzen - notfalls auch gegen Widerstände", bestätigt CA-Mann Stephan.
So weit sind nur wenige europäische Unternehmen. Gerade ein Viertel stützt sich bei der IT-Sicherheit überhaupt auf ein Policy-Set, das fortlaufend angepasst wird. Am ehesten ist diese Art der Prävention bei Großunternehmen und jenen zu finden, die schon ein E-Business-Projekt abgeschlossen haben. Das Bewusstsein, dass eine immer komplexere Firmen-IT mit einem ebenso komplexen und maßgeschneiderten Sicherheitsmanagement ausgestattet sein muss, ist noch weithin unterentwickelt.
Der Security-Manager sollte sich darum nicht scheuen, Werbung in eigener Sache zu machen und seine Erfolge zu kommunizieren. Das erhöht die Akzeptanz und belegt, dass sich Security-Investitionen lohnen. "Wir haben diesen Monat 16 Viren verzeichnet, konnten 15 ohne Schaden abfangen; ein Server musste für 16 Stunden vom Netz. Es gab 24 versuchte Übergriffe, die aber erfolglos blieben." Mit regelmäßigen Bilanzen dieser Art könne der Sicherheitsverantwortliche belegen, dass der reibungslose IT-Betrieb nicht zuletzt von einer wirksamen Sicherheitsinfrastruktur abhängt, sagt Casper.
100-prozentige Sicherheit gibt es nicht
Als Nebenprodukt liefert ein funktionierendes Sicherheitsmanagement Basisdaten für künftige Investitionen. "100 Prozent Sicherheit gibt es nicht - aber die Frage nach dem RoI, also die Frage, wie viel Sicherheit zu welchem Preis zu haben ist, lässt sich nach der Einrichtung einer Security Policy viel leichter beantworten", sagt Casper.
Die technischen Mittel, sämtlichen Sicherheitsrisiken entgegenzuwirken, sind vorhanden. CA-Mann Stephan schätzt den Markt für Sicherheitslösungen auf 400 bis 500 Anbieter, von denen allerdings die wenigsten die gesamte Produktpalette abdecken. Zudem fängt bei der Sicherheitsplanung keiner bei null an; die Hard- und Software-Infrastruktur ist fast immer gewachsen. "Fast alle Security-Anwendungen verfügen über Schnittstellen, sodass auch vorhandene Systeme in eine neu konzipierte Sicherheitslösung zu integrieren sind", so Stephan.
Falsche Sparsamkeit gehört in Sachen Security zu den häufigsten Fehlern: "Nach dem 11. September sah es teilweise so aus, als würden die Verantwortlichen in den Unternehmen aufwachen und mehr für die IT-Sicherheit tun", hat Wissenschaftler Meinel beobachtet. "Aber mittlerweile ist das Bewusstsein für die Bedeutung des Themas wieder zurückgegangen." Glaubt man Markt-forschern, wird sich das zumindest in den finanziellen Aufwendungen nicht niederschlagen - im Gegenteil. Nach der Meta-Group-Studie "E-Security" soll der Umsatz mit Enterprise Security (Hardware, Software, Services) von 1,3 Milliarden Euro im Jahr 2000 bis 2004 auf knapp 3 Milliarden ansteigen. Überproportional wächst dabei der Anteil an Investitionen für Sicherheitsmaßnahmen in Zusammenhang mit E-Business (E-Security): Er wird sich in der genannten Zeit von 204 Millionen Euro mit einer durchschnittlichen jährlichen Wachstumsrate von 42 Prozent auf 831 Millionen mehr als vervierfachen.
Die Investitionen für Services liegen dabei mit einem jährlichen Wachstum von 50 Prozent deutlich über denen für Hard- und Software. Das gibt zumindest Anlass zu der Hoffnung, dass sich ein Umdenken anbahnt und die Tendenz von der rein technischen in Richtung einer strategischen Sicherheitsplanung weist.
Weiterführende Informationen: Mit dem Auszug aus der Meta Group Studie "Security im E-Business-Zeitalter" (2001) steht eine Kurzbeschreibung der Anbieter von Security-Lösungen zur Verfügung. Eine grafische Übersicht verdeutlicht die Positionierung der Anbieter.