Nur etwa vier Prozent der Sicherheitsverantwortlichen in großen deutschen Unternehmen haben laut einer aktuellen Studie einen permanenten Überblick über ihre IT-Sicherheitssysteme. Diese wenigen Unternehmen können zeitnah Aussagen zum Status von Viren-Pattern-Updates oder Patches über das gesamte Unternehmensnetzwerk hinweg treffen, doch die große Mehrheit steuert ihre IT-Sicherheit im Blindflug. Security Level Management schafft hier Transparenz.

So erstaunlich es klingen mag, in punkto Sicherheit hat die Tierwelt unseren Großunternehmen einiges voraus: Dank eines einfachen Rückmeldesystems (vor allem in Form eines speziellen Erkennungstones) weiß diese immer Bescheid, dass es dem Nachwuchs gut geht. Sicherheitsverantwortliche hingegen haben in den seltensten Fällen einen permanenten Überblick über den Zustand ihrer „Babys“, den unternehmensweit installierten IT-Schutz-systemen. Diesen Transparenzmangel bestätigt eine kürzlich durchgeführte Umfrage in großen deutschen Unternehmen. Ein effektives Security Level Management kann dem Blindflug ein Ende setzen. Nahezu alle Unternehmen arbeiten heute mit Lösungen wie Virenschutzsystemen, Firewalls, Spam und Web-Content-Filtern, die eine kontinuierliche Verfügbarkeit der Daten sicher-stellen und deren Schutz gewährleisten sollen. Zugegebenermaßen haben es Sicherheitsverantwortliche in großen Unternehmen etwas schwerer als die Tierwelt, den Überblick zu behalten: Wie die kürzlich vorgestellte Studie „IT-Sicherheit organisieren, kontrollieren“ belegt, sichern Unternehmen mit 1.000 bis 5.000 PC-Arbeitsplätzen ihre IT mehrfach ab, mit Schutzsystemen von drei oder mehr Herstellern. In Unternehmen mit besonders hohem Schutzbedarf sind bis zu fünf verschiedene Varianten gleichartiger Schutzsysteme, bei-spielsweise Virenscanner, im Einsatz.

Wunsch und Wirklichkeit

Technik wird also zuhauf angeschafft und auch Ziele setzt man sich: In über 90 Prozent der befragten Unternehmen sind Security Policies definiert, die zumindest regeln, wie der Schutz der Daten organisiert sein muss. Geht es an die Prüfung der Ziele gegen die tatsächliche Leistung der Systeme, steht Sicherheitsverantwortlichen als erste Hürde der Aufwand der Informa-tionssammlung entgegen: 19 Stunden dauert es im Durchschnitt, bis Aussagen über das aktuelle Security Level getroffen werden können, das heißt um die Informationen aus den heterogenen Sicherheitslösungen zu aggregieren, zu normalisieren und aussagekräftig aufzubereiten. Nur etwa vier Prozent der Befragten gaben an, über eine permanente Zugriffsmöglichkeit auf ihre Sicherheitssysteme zu verfügen beziehungsweise einen permanenten Über-blick über ihre Systeme zu haben. Diese wenigen Unternehmen können zeitnah Aussagen zum Status von Viren-Pattern-Updates oder Patches über das gesamte Unternehmensnetzwerk hinweg treffen, doch die große Mehrheit steuert ihre IT-Sicherheit im Blindflug. In etwa 40 Prozent der befragten Unternehmen ist – vielleicht aufgrund des hohen Aufwands – überhaupt kein kontinuierlicher Abgleich von Zielen und tatsächlicher Leistung der Schutz-systeme vorgesehen.

Security Level Management

Neben den technischen Schwierigkeiten der Informationssammlung, die sich v.a. bei Unternehmen mit vielen Standorten, tausenden von IT-Arbeitsplätzen und Schutzlösungen unterschiedlicher Hersteller ergeben, liegt der Mangel an Transparenz auch in der Organisation der IT-Sicherheit begründet: Viele Unternehmen leiten aus ihren Security Policies keine messbaren Ziele für ihre IT-Systeme ab. Hier setzt die Disziplin „Security Level Management“ (SLM) an, die es zum Ziel hat, IT-Sicherheit transparent zu machen. Ein „Security Level“ besteht dementsprechend aus einer Sammlung unternehmensspezifischer Grenz- und Schwellenwerte, die festgelegt und anschließend kontinuierlich geprüft werden müssen.

Dabei ist zu berücksichtigen, dass Grenz- und Schwellenwerte auch spezifische Standortbedingungen abbilden müssen, damit sie praktikabel bleiben. Ein Werk in China mit einer langsamen Modem-Verbindung zum Internet kann bei-spielsweise die Virenscanner immer erst nachts aktualisieren, damit tagsüber die Produktion nicht beeinträchtigt wird. Die Grenzwerte müssen daher dort höher angesetzt sein als für den deutschen Standort mit seinen schnellen Standleitungen ohne Bandbreitenbeschränkung. Die Technik zur zeitnahen Prüfung der Zielwerte steht bereit: Das „AMPEG Security Lighthouse“ (ASL) beispielsweise kann mit spezifischen Grenz- und Schwellenwerten für alle laufenden Anwendungen „gefüttert“ werden und zeigt mit Ampelfarben die Sicherheitslage bezogen auf Kontinente, Regionen oder auch herunter gebrochen auf einzelne Standorte an. Die Software kann Security Officern als technische Grundlage für ein effizientes Security Level Management.

IT-Sicherheit transparent steuern

Ist es möglich, das Soll kontinuierlich mit dem Ist abzugleichen, kann die IT-Sicherheit nachhaltig verbessert werden. Unregelmäßigkeiten fallen sofort auf, langfristige Trends können auf einfache Art und Weise identifiziert werden. Die durch SLM gewonnene Transparenz kann in Unternehmen zudem unmittelbar für Kosteneffekte sorgen: Erreichen Virenpattern beispielsweise alle Rechner im Unternehmensnetz nachweisbar immer innerhalb einer gewählten Tole-ranzfrist, muss nicht „zur Sicherheit“ noch ein Verteilserver gekauft werden. Sicherheitsverantwortliche wissen dann, dass die bestehenden Systeme ausreichen. Besteht keine Transparenz, können sie es bestenfalls ahnen. Der Aspekt der Messbarkeit und der zahlenmäßigen Bewertung der Sicherheitslage wird sicherlich auch in der Unternehmensleitung auf Interesse stoßen: Reports über die Sicherheitslage werden von dort in fast 90 Prozent aller befragten Unternehmen eingefordert. Den Wunsch nach Transparenz in Bezug auf die Sicherheitslage haben wir dann also doch wieder gemein. Höchste Zeit, die Tierwelt auch in der Umsetzung einzuholen und den Blindflug zu beenden.

Florian Hohenauer ( Diese E-Mail-Adresse ist gegen Spam-Bots geschützt, Sie müssen Javascript aktivieren, damit Sie es sehen können )

Diesen Artikel finden Sie auch in der Ausgabe Mai/Juni 2008 des it security.