Gartner warnt vor Unterschätzung der Risiken

Web 2.0: Ohne neuen IT-Security-Ansatz wird es gefährlich

11.10.2007 von Christiane Pütter

Die Analysten von Gartner, generell als Fans von Web 2.0 bekannt, melden sich nun mit Sicherheitsbedenken zu Wort. Die offene Natur der Technologie bringe nie dagewesene Risiken mit sich, so die Warnung. Unternehmen, die keine gezielte Security-Strategie dafür entwickeln, dürften bald im Trüben fischen. Zum Glück hat Gartner ein paar Tipps parat.

Bis Ende dieses Jahres, so Gartner Vice President Joseph Feiman, werden drei von zehn Großunternehmen Web 2.0-Initiativen gestartet haben. Dass damit auch eine grundlegende Erneuerung der Security-Strategie fällig ist, sei vielen CIOs nicht klar.

Feiman unterscheidet dabei zwei Kategorien: Schutz für Unternehmen und interne User einerseits, Schutz für externe Anwendungen andererseits.

Interne Risiken beziehen sich zum Beispiel auf Malware in RSS Feeds oder Informationslecks durch unsachgemäßes Bloggen und fehlerhaften Einsatz von Collaboration Tools. Externe Gefahren können aus der Nutzung von Inhalten Dritter (Mashups) und offenen User Communities resultieren.

Wie der Analyst beobachtet, hat sich bisher noch kein Trend in der Frage durchgesetzt, wie mit dem Bloggen durch Angestellte umzugehen ist. Manche Chefs fördern es, andere verbieten es, wieder andere haben dazu noch nicht einmal eine formale Richtlinie erlassen. Joseph Feiman selbst hält es für eine Medaille mit zwei Seiten: "Die positive Seite besteht darin, dass Bloggen starke Communities aufbauen und Markentreue festigen kann. Auf der negativen Seite kann Bloggen mit dem Verrat von Firmengeheimnissen verbunden sein. Angestellte, die sich über irgend etwas geärgert haben, können es missbrauchen - und das kann unabsehbare Folgen nach sich ziehen."

Insbesondere die Problematik des Schutzes geistigen Eigentums wiegt bei Web 2.0 schwer. Selbst digitale Kalender können sich als Informations-Lecks erweisen. Und quasi jeder Inhalt - von der Presse-Info über Preislisten bis zu Videos - können per Web 2.0-Anwendungen verändert und weiterversendet werden. Joseph Feiman: "Das lässt sich einfach nicht kontrollieren." Sein Rat: Unternehmen müssen ganz genau überlegen, welche Inhalte sie publik machen und welche nicht.

Inhaltskontrolle

Konsequenz aus Sicht des Analysten: Unternehmen sollten beim Arbeiten mit Web 2.0-Anwendungen zwei Praktiken pflegen, zum Einen die Adaption eines gesicherten Entwicklungs-Lebenszyklus und zum anderen die Validierung jeden Inhaltes, stamme er von Angestellten oder Geschäftspartnern.

Konkret gibt Gartner folgende Tipps:

Sichere Verschlüsselung ist die beste Verteidigung,
Web-Vulnerability-Scanner nutzen,

Server-seitig jeden Input validieren,
darauf gefasst sein, dass jeder öffentliche Content in unerwarteter Weise genutzt werden könnte,
interne User und Assets durch Tools schützen und in Sicherheitsfragen schulen,
den Einsatz von Application Firewalls, Content Monitoring/Filtering sowie Data Loss Protection (CMF/DLP) und Database Acitivity Monitoring in Erwägung ziehen.

Joseph Feiman hat seine Überlegungen kürzlich auf einem Gartner Summit in Sidney ausgeführt.