Für Freeform Dynamics gelingt End User Security nur, wenn neben Sicherheits-Tools fünf weitere Bausteine zusammengefügt werden. [...]
DAS SECURITY-PUZZLE
Die 6 Puzzle-Teile
Freeform Dynamics findet, dass die Herausforderung End User-Sicherheit einem Puzzle gleicht. Sechs Teile müssen CIOs demnach zusammenfügen. Welche, zeigt unsere Bildergalerie. Sie fasst damit die wichtigsten Ergebnisse der Studie zusammen.
1. Technologischer Schutz
Freeform Dynamics konstatiert, dass es an Tools mittlerweile eine enorme Vielfalt gibt. Es sei schwer herauszufinden, welche Kombination in welcher Situation am besten geeignet ist. Die eine Erfolgsformel gibt es also nicht. Deshalb haben die Analysten gefiltert, was diejenigen der Befragten im Einsatz haben, die angesichts ihrer Security-Lage zuversichtlich sind. Diese Gruppe setzt Anti-Malware- und Firewall-Software unabhängiger Anbieter übergreifend für alle Geräte-Typen ein. Data Loss Protection (DLP) ist implementiert, Daten auf Desktops, mobilen Endgeräten und Notebooks sind verschlüsselt. Genutzt werden ferner cloud-basierte Content Filtering Services und Zugangskontrollen via Black-Lists und White-Lists. Außerdem wird mit verschiedenen Virtualisierungs- und Sand-Boxing-Techniken experimentiert und eine Einbettung der Gerätesicherheit auf Hardware-Level bevorzugt. In der Studie wird darauf hingewiesen, dass selbst diese Auswahl an erfolgreich eingesetzten Tools nicht absolut zu setzen sei. Es sei möglich, spezifische Aspekte des Problems End User Security auf ganz andere Weise erfolgreich zu lösen.
2. Ganzheitliches und gemeinschaftliches Management
Mittelfristig setzt sich nach Einschätzung der Analysten beim Management und Monitoring der IT-Sicherheit ein nutzerzentrierter Ansatz durch, so dass Richtlinien und Sicherheitsmaßnahmen geräteübergreifend definiert und angewandt werden können. Schon jetzt reagierten die Anwender auf Herausforderungen wie Virtualisierung, BYOD und verschwimmende Abgrenzung von Geräte-Kategorien. So haben die zuversichtlichen Anwender jeweils zu 60 Prozent Security Management-Tools im Einsatz, die Notebooks als auch Desktops mit und ohne Windows beziehungsweise physische und virtuelle Server schützen. Zu jeweils etwa einem Drittel gibt es übergreifendes Sicherheitsmanagement auch für verschiedene mobile Betriebssysteme wie Android und iOS, für Endgeräte des Unternehmens und der Mitarbeiter sowie insgesamt für die Desktop- und Mobile-Umwelt.
3. Visibilität und Durchdringung
Jenseits der eher oberflächlichen Einblicke auf operativer Ebene, die die bislang genannten Puzzle-Teile ermöglichen, bedarf es laut Freeform Dynamics auch eines vertieften und möglichst breiten Verständnisses der Bedrohungen und kriminellen Aktivitäten. Dabei geht es darum, mit Hilfe von Analyse und automatisierter Sichtbarmachung verdächtige Vorgänge möglichst in Echtzeit erkennen zu können. Die Auswertung historischer Daten könne ebenfalls dazu beitragen, Bedrohungslagen und Anfälligkeiten besser zu verstehen und auf dieser Basis gezieltere vorbeugende Maßnahmen zu treffen. Jeweils zwei Fünftel der zuversichtlichen Befragten setzen Security Analytics ein und versuchen sich aktiv gegen Advanced Persistent Threats (APTs) zu wappnen. Die APT bringen neben den Entwicklungen durch Cloud Computing und Mobile IT laut Freeform Dynamics eine neue Qualität ins Gebiet der IT-Sicherheit. Die Möglichkeit, dass Cyber-Kriminelle über einen langen Zeitraum gezielt das eigene Unternehmen nach Einfallstoren und Schwachstellen ausleuchten und abklopfen, erfordere Aktivitäten, die über die traditionellen Security Tools hinausgehen.
4. Bewusstseinsschulung für die Mitarbeiter
„Der Fokus sollte auf den Menschen liegen, nicht auf Hardware oder Software“, so einer der Studienteilnehmer. Ein anderer: „Wir haben uns zu sehr damit befasst, was für Zeug wir kaufen sollen, aber nicht genug damit, wie wir die User schulen.“ Laut Freeform Dynamics sind derlei Aussagen durchaus repräsentativ. Die Befragten fühlten sich in einem Zwiespalt: Es gelte die richtige Balance zu finden aus restriktiven Maßnahmen, um die Security-Risiken zu minimieren, und aus der Freiheit und Flexibilität, ohne die die User ihre Jobs nicht gut erledigen können. In der Praxis dürfen sich die Erkenntnisse aber nicht darin erschöpfen, über die Schwierigkeiten bei der Bewusstseinsbildung der User zu klagen – umso weniger in Zeiten von BYOD. Jedes vierte Unternehmen aus der zuversichtlichen Gruppe legt hohen Wert auf die Mitarbeiterschulung – der Anteil ist doppelt so hoch wie jener aus der Vergleichsgruppe.
5. Unterstützung aus der Chefetage
Ebenfalls doppelt so hoch wie in der Vergleichsgruppe sind die über 40 Prozent, die in der zuversichtlichen Gruppe von einem hohen Bewusstseinsniveau in Sicherheitsfragen auf der höchsten Management-Ebene berichten. Weil die Security-Diskussion zumeist über System- und Implementierungsaspekte kreise, lasse die Chefetage ihre IT-Abteilung damit oftmals alleine, so Freeform Dynamics. Zielführend sei das allerdings nicht, denn ohne Geld und Unterstützung von oben fehlt ein eminent wichtiger Baustein im Puzzle. Da hilft nur beharrliches Werben.
6. Proaktive Investitionen
In einer dynamischen Umwelt und angesichts des schnellen Rhythmus, in dem neue Bedrohungen auftauchen, kommt es laut Freeform Dynamics auf Antizipation und proaktives Handeln an. Wer sich erst mit Problemen befasse, nachdem diese ihn ereilt haben, nehme unnötige hohe Kosten und Risiken in Kauf. „Der reaktive Ansatz ist außerdem ein Quell an Unsicherheit, Stress und Reibungen mit den Fachabteilungen, ohne die man definitiv besser zurecht kommt“, so die Analysten. Ein aktuelles Beispiel: Momentan seien die Trends Geräte-Differenzierung und BYOD klar erkennbar – insofern ist es fahrlässig, sich noch nicht auf diese Veränderungen einzustellen. Laut Freeform Dynamics spiegelt sich der Trend zur Proaktivität darin wider, dass die Anwender zunehmend auf integrierte Suiten setzen und die Zahl ihrer Security-Insellösungen minimieren wollen.
* Werner Kurzlechner ist Redakteur der deutschen CIO.
Be the first to comment