Der Jahreswechsel steht vor der Tür und es wird Zeit, sich mit den Security-Trends für 2010 auseinanderzusetzen.

Wir haben fünf Themen identifiziert, die im kommenden Jahr nicht außer Acht gelassen werden sollten:

1.    Virtualisierung und Konsolidierung
2.    Data Loss Prevention (DLP)
3.    GRC-Tools
4.    Security mit Windows 7
5.    Security für SaaS oder “in the Cloud Services”

Doch was muss hier eigentlich beachtet werden?

Virtualisierung und Konsolidierung

Virtualisierung und Konsolidierung sind nicht neu. Immer mehr Unternehmen entscheiden sich dazu, durch Virtualisierungsprojekte und die dazugehörige Konsolidierung Kosten einzusparen und effizienter zu arbeiten.

So sind die IT-Security-Hersteller langsam aber sicher in der Pflicht, Lösungen auf den Markt zu bringen, die Virtualisierung und Konsolidierung effektiv absichern. Vor allem die sogenannte Hypervisoryschicht bietet Angriffspunkte, denn wer diese übernimmt, hat potentiell alles im Griff. Mittlerweile gibt es die ersten Sicherheitslösungen in diesem Bereich, z.B. von Checkpoint, Sourcefire oder IBM(ISS). Weitere werden folgen.

Ein zweiter Trend in diesem Bereich ist die Möglichkeit, eine Security-Appliance einzusetzen, die auch für andere Produkte offen ist. So bietet z.B. Riverbed in seiner Appliance eine Service-Plattform (RSP) an, auf der Kunden die Möglichkeit haben, in einer geschützten Partition auf der Steelhead Appliance virtuell mit VMware bis zu fünf zusätzliche Services und Anwendungen auszuführen. Dies ermöglicht somit die Implementierung lokaler Services in allen Niederlassungen, ohne dass zur Ausführung der Anwendungen ein vollständig ausgestatteter Server nötig wäre. Die Service-Plattform ist für Riverbed RTA-Partner geöffnet und der Kunde kann sich „seine“ Security-Appliance zusammenstellen. 

DLP (Data-Loss-Prevention)   

Data-Loss-Prevention (DLP) war zwar bereits in den vergangenen Jahren in aller Munde, doch bisher wurde sich diesem Thema inhaltlich kaum angenommen. Das liegt vor allem daran, dass die Unternehmen noch gar nicht bereit sind für DLP.

Zum einen sind die Informationen, die im Unternehmen vorhanden sind, in den wenigsten Fällen strukturiert und es ist nicht erkennbar, welche Daten hochsensibel und welche öffentlich zugänglich sind. Zum anderen muss der autorisierte Benutzer genauestens definiert sein. Denn eine DLP-Lösung hat die Aufgabe, sensible Daten zu erkennen und vor Missbrauch durch autorisierte Benutzer zu schützen.

Der bisherige Ansatz, möglichst das ganze Unternehmen zu schützen, ist zum Scheitern verurteilt. Sinnvolle Einsatzbereiche sind da gegeben, wo Klarheit bzgl. der zu schützenden Daten und ihrer Eigentümer herrscht. Skandale rund ums Thema Datenverluste werden uns somit weiterhin begleiten.

GRC-Tools – Die Compliance Helferlein

GRC-Tools werden im strategischen und operativen Security Management an Bedeutung gewinnen. So können Gap-Analysen, Risikoanalysen, Business Impact Analysen, Compliance-Tests zu Security Standards und Policy/Awarness-Unterstützung durch diese „Helferlein“ unterstützt werden. Aber GRC-Tools können auch das Policy-Management bei Firewalls, das Configurations- und Change Management, das Vulnerability- und Patchmanagement sowie Archivierung und Logging übernehmen und leisten dadurch große Hilfe im operativen Sicherheitsbetrieb. 

In der Praxis hat sich gezeigt, dass mit dem richtigen Einsatz von geeigneten Tools teilweise sehr große Kostenvorteile zu erzielen sind. Gleichzeitig kann in vielen Fällen die Wirksamkeit der Maßnahme optimiert und zusätzlich verbesserte Report- und Feedback-Daten geboten werden. Es kommt zu einer großen Zeitersparnis und auch die Effizienz der notwendigen Entscheidungsprozesse werden weiter gesteigert, indem auf Managementebene ein entsprechendes (GRC-)Tool eingesetzt wird. Dieses Werkzeug verwaltet die Assets, Risiken, Controls und entsprechenden Konzepte, Richtlinien und Prozeduren. So lassen sich die Konsistenz der Controls und deren Redundanzfreiheit verbessern und es werden Pflegeaufwand und damit verbundene Fehler vermieden.

Security mit Windows 7

Windows 7 wird einer der bedeutendsten Trends in 2010 werden. Dies liegt vor allem daran, dass Windows Vista von der Industrie nicht in dem Maße angenommen wurde, wie erwartet.

Microsoft hat kräftig in Windows 7 investiert und bietet im Endpoint-Bereich bereits fast alles an:

 

• Verschlüsselung mit Bitlocker/Bitlocker to Go

• Full Disk Encryption mit TPM Chip oder USB-Stick

• externe Speichermedien

• erweiterte Certificate Life Cycle Management (CLM) Integration

• erweitertes Zertifikatsmanagement

• Anwendungskontrolle mit AppLocker

• erweitertes User Account Control (UAC)

• neues Management der Windows Firewall

 

Gerade in einem homogenen Umfeld sollte allerdings geprüft werden, wie sich welche Sicherheitskomponenten übertragen lassen und wie sie im Verbund nutzbar sind.

Zudem gibt es Themen, mit denen man sich aus industrieller Sicht noch weiterhin beschäftigen sollte, wie der starken Authentisierung und der Verschlüsselung. Infineon hat hier zum Beispiel ein Trusted Platform Module (TPM) auf dem Markt, welches im Unternehmensumfeld eine sichere Authentisierung und Verschlüsselung bietet. Aber auch eine zentrale Administration sowie eine zentrale Verwaltung werden Anforderungen sein, die mit Windows 7 im kommenden Jahr bewerkstelligt werden müssen.

Security bei Software as a Service (SaaS) oder “in the Cloud Services”

Outsourcing ist trendy, weil SaaS oder in the Cloud Services u.a. Fixkosten im Betrieb reduzieren und sich die Administratoren auf ihre Kernkompetenzen konzentrieren können. So werden standardisierte Angebote primär für kleine und mittelständische Unternehmen interessant. Diese bieten vor allem Systemhäuser und Telcos, aber auch Hardware- und Softwarehersteller an. Die Services werden von externen Security-Spezialisten betreut.
Doch bis das bestehende Problem – das noch nicht vorhandene Vertrauen – nicht gelöst ist, wird sich Cloud Computing und SaaS langsam entwickeln. Denn Unternehmen fragen sich berechtigterweise: Was bedeutet solch ein Service eigentlich für meine Daten? Kann ich diese sensiblen Daten überhaupt auslagern, sind diese sicher und wie sind meine Informationen verfügbar?

Ein zuverlässiges Auditing und zertifizierte Anbieter sind sicherlich hilfreich, aber vor allem wird nach einer kompetenten Beratungsleistung verlangt.

Weitere Informationen zu diesen Themen finden Sie bei der Integralis, dem international führenden Security Solution Provider, unter www.integralis.de.

 

Dr. Matthias Rosche, Director Business Development und Consulting, Integralis