Gastkommentar von Experton-Analyst Alexander Tsolkas
Security: Jahresausblick 2012
Der Analyst Alexander Tsolkas von der Experton Group gibt nachfolgend einen Ausblick auf den Bereich IT-Security und Information Security für das Jahr 2012. Da das Thema sehr umfangreich ist, stellt er kurz die wichtigsten Punkte für 2012 im Überblick dar.
Tipps zur Cloud-Security von Verizon
Sorge um Sicherheit fördert Trend zu Virtual Desktop
Nürnberger Security-Messe IT-SA 2011: Grenzenlos und sicher
Hardware
Multi-Function Firewalls: Am stärksten verbreitet sind immer noch ganz normale Legacy-Firewall-Systeme. Diese sind mittlerweile in die Jahre gekommen und sehr oft bereits abgeschrieben. Frei nach dem Motto „Never change a running system“ wurden diese nicht verändert und verrichten immer noch ihren Dienst. Allerdings werden immer mehr funktionale Anforderungen an Firewalls gestellt. Nächstes Jahr werden bedingt durch den Lebenszyklus der Altsysteme viele neue Multi Function Firewalls beschafft. Multi-Function Firewalls sind Systeme, die Mehrfachfunktionen neben dem Firewall-Schutz vorweisen, wie zum Beispiel:
Antivirus
Web Application Firewall
Bandwidth Throttling
VPN
Mobile VPN
XTM Throughput
Application Control
Web Application Firewalls (WAF): Neben den Multi-Function Firewalls werden vermehrt Web Application Firewalls eingesetzt werden. Die Nachfrage nach diesen Systemen steigt stetig. Diese Art der Firewalls haben auf dem Firewall-Markt immerhin schon einen Anteil von zirka 30 Prozent. Web Application Firewalls schützen vor speziellen Angriffen, die durch Port 80 über HTTP geschleust werden und von normalen Firewalls nicht erkannt werden. Die WAF stellt eine Application Level Firewall beziehungsweise ein Application Level Gateway dar.
Smartphones: Smart Phone Security wird 2012 ein sehr großes Thema. Unternehmen, die eine breite Smartphone-Infrastruktur integriert haben, schreien förmlich nach Sicherheitslösungen und zentralen Verwaltungs- und Überwachungslösungen für ihre mobilen Telefone. Wer Android einsetzt, wird gehalten sein, seine OS-Levels auf einen Nenner zu bringen und zu standardisieren und die autorisierten User-Apps zentral freizugeben. Diejenigen, die eine Apple-Infrastruktur (Iphone, Ipad) nutzen, werden weniger zu tun haben, aber höhere Kosten produzieren und werden unflexibler enden als Android-Fans. Für alle gilt, dass gut administrierbare, einheitliche Lösungen gegen Malware und für den erweiterten Schutz von Smartphones gesucht werden, die mit der bestehenden IT-Infrastruktur interoperabel sind.
Software
Datenschutz-Management-Systeme: Der Datenschutz wird in unseren Breiten schwer vernachlässigt. Die Novellierung des Datenschutzgesetzes liegt schon ein wenig zurück, jedoch ist in den Unternehmen bisher noch nicht allzu viel geschehen. BDS (betriebliche Datenschutzbeauftragte) pflegen immer noch ihre Verfahrensverzeichnisse auf diverse Arten und Weisen, um ihren Berichts-, Kontroll- und Unterrichtungspflichten nachzukommen. Vom Excel-Sheet bis zur eigenentwickelten Software wird alles eingesetzt. Nächstes Jahr werden Datenschutzbeauftragte (und ihre Teams) stärker nach ganzheitlichen Datenschutz-Management-Systemen Ausschau halten. Wert wird insbesondere darauf gelegt, Schnittstellen zu den vornehmlich drei Bereichen Informationssicherheit, IT-Risiko-Management und Compliance zu haben. Ganz dringend gefordert werden Management-Systeme, die die Dokumentation eines Datensicherheits- und Datenschutzkonzepts konsolidieren. Beide Bereiche dokumentieren zu 80 Prozent Gleiches. Das ist unnötig und muss im Zuge der Effizienz konsolidiert werden. Viele Unternehmen haben sich diesbezüglich eigene Systeme gebaut. Diese konsolidieren immerhin die verschiedenen Dokumentationen, allerdings ist die Handhabung meist steinzeitlich. Auch stimmt die Integrität der Daten nicht immer, da die manuellen Systeme meist keine Kontrollfunktion bereitstellen.
Security as a Service wird 2012 wieder stärker anziehen. Viele Hersteller stehen in den Startlöchern und sind gut vorbereitet, haben Top-Dienstleistungen entwickelt, die zum Verkauf stehen. Einige kommen wie gerufen. Somit werden sich Security-Dienstleistungen im Bereich Security Monitoring und Event-Management, Data Leakage Prevention, Audit und – ganz stark wieder im Kommen – aktives (Kontrollkreislauf-) Schwachstellen-Management und -scanning, wieder prima verkaufen. Der Preis ist so gut, dass ein „Do it yourself“ völlig daneben ist, es sei denn, es gibt Compliance-Anforderungen, die einen derartigen ausgelagerten Service verbieten.
Urban Solutions: Fukushima hat gezeigt, dass Area Disaster schnell einen Strich durch geplante Disaster Recovery Sites machen, die zirka 15 Kilometer auseinanderliegen. Urban Solutions, in Ballungszentren, werden zu erstellende Anstrengungen und Konzepte für 2012 werden, die derartiges verhindern sollen. Hier spielen auch die IT und IT-Sicherheit eine große Rolle, da zur Steuerung von Städten IT eingesetzt wird, für zum Beispiel Stromerzeugung, Wasserwirtschaft, Kanalisation, Verkehrsleitsysteme und viele Komponenten unserer urbanen Infrastruktur, die betroffen sind.
Identity-Management muss 2012 von vielen angepackt werden. Dies erfordert die Standardisierung im Zuge von Cloud Computing, aber auch Web Apps, die wir täglich allesamt aus dem Internet nutzen (sei es Homebanking oder ein Online-Videotheken-Service), taugen in Bezug auf ihre Benutzerfreundlichkeit im Sinne eines Identity-Management nichts, und fordern neue Wege.
Data-Leakage-Prevention-Systeme werden 2012 immer stärker, nach und nach, klassische Event-Management-Systeme ablösen. Das hat mehrere Gründe, vor allem aber, dass Event-Management-Systeme wie Arcsight ESM oder NetIQs Security Logmanager zwar die IT und deren Spezies völlig befriedigen können, aber die Business-Schnittstelle völlig außer Acht lassen. Anders ist das bei Data-Leakage-Prevention-Systemen. Zum einen können sie ähnliche Daten berichten wie ESM-Systeme, zum anderen beziehen sie die Business-Ebene administrativ und berichtend völlig mit ein und können sogar einen unberechtigten Zugriff nach der guten Lehre des Kontrollkreislaufs verhindern. Von daher haben sie den hochspezialisierten Event-Management-Systemen mittlerweile einiges voraus. Die Datenflut eines ESM-Systems ist in der letzten Zeit so stark über das Maß gestiegen, dass sehr stark gefiltert werden muss, um überhaupt noch nützliche Daten aus einem ESM-System zu erhalten. Auch ist das Arbeiten mit dem reinen Text-Log-Record-Entry völlig out. Gefragt sind gute und vielseitige visuelle Anzeigen. Mein Tipp: Data Leakage Prevention (DLP).
Revisionssichere Auditierung privilegierter IT-Zugriffe muss ich unmittelbar nach Data Leakage Prevention ansprechen. DLP kann dies schon. Wer sich aber keine DLP-Systeme leisten möchte, der wird 2012 stärker kleinere und einfachere Systeme zur revisionssicheren Auditierung privilegierter Zugriffe einsetzen. Hier kommt das Triggering dazu wieder aus dem Cloud Computing als vorbereitende Maßnahme für das „Cloudsourcing“.
Meta-Authentifizierung und mobile Authentifizierung (Roaming) sind wichtige Themen, über die man sich 2012 zumindest stärker Gedanken machen wird. Diese Funktionalitäten sind im Rahmen des Cloud Computings und der Erweiterung der Smartphone-Infrastrukturen mehr gefragt denn je. An Roaming Authentication Concepts wird gerade an vielen Universitäten auf der Welt gearbeitet – die ersten Produkte liegen schon im Beta vor. Roaming Authentication ist eine Meta-Authentifizierung, bei der die Autorisierungsinstanz, die eine Authentifizierung durchführen kann, mobil ist und von Server zu Server hüpfen kann, wenn sie autorisiert wurde, das zu tun.
Soziale Netzwerke werden immer mehr Telefonie und E-Mail-Systeme ersetzen. In wenigen Jahren kommuniziert die Welt nur über soziale Netzwerke. Dieser Trend ist so sicher wie das Amen in der Kirche. Derzeit beschränken wir uns darauf, Policies zu etablieren, wie Soziale Netzwerke im Betrieb genutzt werden sollen. Das wird nicht reichen. Zum einen reicht die organisatorische Maßnahme schon lange nicht mehr, zum anderen müssen wir die organisatorische Policy in die technische Praxis umsetzen und müssen die betrieblich erlaubte Zone mit der privaten Zone gut in Einklang bringen, denn die Menschheit wird in Zukunft nicht mit mehreren Smartphones herumlaufen. Es wird das betriebliche oder private Device für beide Umgebungen genutzt werden. Genau dafür müssen gute Konzepte aus der Sicherheit entwickelt werden, damit Betriebliches Privates nicht blockt und umgekehrt. Man möchte ja auch als Unternehmen den maximalen Nutzen einer solchen Lösung.
Risiko-Management
Ganzheitliches Risiko-Management wird trendy. Immer mehr Unternehmen setzen endlich Software für das (IT-)Risiko-Management ein. Das hat lange gedauert, und es fängt erst an. 2012 wird es einen Anstieg an Käufen von Risiko-Management-Tools geben. Und das ist sehr empfehlenswert.
Lesen Sie mehr zum Thema
