VOLLTEXTSUCHE
News, 19.11.2007
Interview
IT-Sicherheit muss transparent und deshalb messbar sein
Angesichts der geschäftskritischen Bedeutung der IT für Unternehmen und gleichzeitig mannigfaltigen Bedrohungen genießen Maßnahmen zur Verbesserung der IT-Sicherheit insbesondere in großen Unternehmen höchste Priorität. Im Mittelstand hingegen, speziell in kleineren Unternehmen, fehlt es in puncto IT-Sicherheit nicht selten an Transparenz. In einem Interview erläutert Michael Hoos, Technischer Direktor Zentraleuropa bei Symantec, wie Unternehmen Sicherheitsrisiken und -defizite transparenter machen und besser auf diese reagieren können.
Frage: Herr Hoos, wie würden das Verhältnis zwischen organisatorischer und technischer Sicherheit in Unternehmen beschreiben?

Michael Hoos: Unternehmen sind sich heute der Notwendigkeit technischer Sicherheitsvorkehrungen weitgehend bewusst. Besonders größere Unternehmen haben in diesem Bereich ihre Vorkehrungen auch stark ausgebaut und sind gut abgesichert. Im Mittelstand wird hingegen oft noch gezögert, die notwendigen Investitionen vorzunehmen, auch wenn sich das nicht verallgemeinern lässt. Für alle Unternehmen gilt allerdings die Maxime, dass Sicherheit immer nur das Abwägen möglicher Gefahren mit dem für den Schutz erforderlichen Aufwand ist. Unternehmen sichern sich also immer nur gegen Gefahren ab, die große Auswirkungen haben können und gegen die sie sich mit vertretbarem Aufwand schützen können. Organisatorische Sicherheitsmaßnahmen werden vor diesem Hintergrund in vielen Unternehmen ebenfalls implementiert. Ein großes Thema ist hier auch Network Access Control. Die Erkenntnis, dass unsichere Geräte ein Netzwerk erheblich gefährden können, hat sich mittlerweile weitgehend durchgesetzt. Wir bieten aus diesem Grund mit unserer neuen Lösung Symantec Endpoint Protection 11.0 neben Virenschutz, Firewall und anderen Sicherheitsfunktionen auch ein NAC-Modul an, das sich nahtlos integriert.

Frage: Wie beurteilen Sie den Zusammenhang zwischen Geschäftspolitik und IT-Sicherheitspolitik? Sind sich Unternehmens- und Sicherheitsverantwortliche über die Prioritäten einig oder sprechen diese Bereiche zwei verschiedene Sprachen?

Michael Hoos: Ich würde nicht unbedingt von zwei verschiedenen Sprachen sprechen. Es ist vielmehr eine Frage der Perspektive: Das Management ist für die finanzielle Entwicklung des Unternehmens verantwortlich und wird kritisiert, wenn die Zahlen nicht stimmen. IT-Verantwortliche müssen hingegen für Sicherheitsvorfälle geradestehen. Es ist für beide Seiten ein Abwägen von anfallenden Kosten und möglichem Schaden. Damit man hier auf einen gemeinsamen Nenner kommt, sollte man versuchen, die Perspektive des jeweils anderen einzunehmen – hier sind die Sicherheitsexperten natürlich stärker gefordert, da sie das Management überzeugen müssen und nicht umgekehrt.

Frage: Wo sehen Sie typischerweise die Verantwortung für die IT-Sicherheit?

Michael Hoos: Eine Frage, über die Juristen trefflich streiten können. Sagen wir es so: Man muss heute einen gewissen Standard in der IT-Sicherheit voraussetzen. Niemand kann ernsthaft vertreten, das Unternehmensnetz ohne einige grundlegende Sicherheitsmaßnahmen aufzustellen – das sehen im Zweifelsfall auch die Richter so. So gesehen ist IT-Sicherheit eine Managementaufgabe. Aber die kann natürlich delegiert werden, und wenn es in der Ausführung bestimmter Maßnahmen Fehler gibt, können auch die Sicherheitsexperten in der Schusslinie stehen.

Frage: Welche Verfahren gibt es derzeit, um den Stand der IT-Sicherheit im Unternehmen zu messen?

Michael Hoos: Es gibt eine Reihe von industriellen Standards, die sich mit diesem Thema beschäftigen. Beispiele wären die Information Technology Infrastructure Library (ITIL) oder der Business Continuity-Standard ISO 17799. Die Einschätzung der IT-Sicherheit ist allerdings grundsätzlich recht aufwändig, und viele Unternehmen setzen hier nicht mit einer bestimmten Methodik an. Symantec bietet seit kurzem mit Foundation Risk Assessment (FIRA) einen Service an, der sich genau mit dieser Frage beschäftigt. Wir analysieren die Sicherheitslage anhand solcher gängigen Standards und besprechen dann mit dem Unternehmen die Ziele in diesem Bereich. Auf diese Weise kann die kritische Frage, wie hoch die Sicherheit in einem Unternehmen eigentlich ist, mit einer bewährten und vergleichbaren Methodik adressiert werden.

Frage: Welche Leistungen umfasst das Risk Assessment?

Michael Hoos: Bei unserem Risk Assessment-Angebot ist der erste Schritt immer eine detaillierte Risikoanalyse, anhand derer wir mit unseren Kunden konkrete Zielvorgaben ermitteln. Durch Interviews und Gespräche werden die individuellen Risikoprofile jedes Kunden ermittelt und die einzelnen Risiken dann im Hinblick auf ihre Relevanz für den Geschäftsablauf bewertet. Bei der eigentlichen Bewertung greifen wir auch auf das Symantec INFORM-Tool (INFOrmation Assurance Risk Model) zum Sammeln qualitäts- und quantitätsbezogener Kundendaten zurück. Damit lassen sich Gap-Analysen vornehmen und Lösungsempfehlungen generieren. Neben dem eigentlichen Vorteil, nämlich der Einschätzung der eigenen Risikolage und dem Aufzeigen möglicher Lösungsweisen bekommen Kunden durch ein Risk Assessment wertvolle Informationen zum allgemeinen Verständnis von IT-Risikostrukturen, zur Aufwertung der IT-Performance sowie zur optimalen Balance von Kosten und Risiken.

ZUM AUTOR
Über Symantec (Deutschland) GmbH
Symantec (Deutschland) GmbH
Humboldtstr. 6
85609 Aschheim

+49-89-943020
WEITERE NEWS AUS DIESER KATEGORIE
NACHRICHTEN AUS ANDEREN RESSORTS
SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
Anzeige
BUSINESS-SERVICES
© novo per motio KG