Das US-Unternehmen A10 Networks, nach eigenen Angaben technologisch führend im Application Networking, rüstet künftig seine Application Delivery Controller der Produktserie Thunder mit dem Symantec Certificate Intelligence Center aus. Wie der deutsche A10-Vertrieb in Hamburg mitteilt, würden Kunden somit „eine konsolidierte und vereinfachte Methode erhalten, um kritische Informationen wie Zertifikate, Schlüsselgrößen, Chiffren und Gültigkeitsdauer sicher zu verwalten“.
Als Hauptvorteile nennt A10 Networks eine zentralisierte, vereinfachte, konsolidierte und übersichtlichere Schlüsselverwaltung, eine deutlich geringere Anzahl an benötigten Zertifikatsschlüsseln, eine optimierte Zertifikatsnutzung und Sicherheitsüberprüfung sowie das Senken von Betriebskosten und die Benachrichtigung vor Zertifikatsablauf.
Hintergrund ist, dass immer mehr Anwendungen webbasiert sind und verschlüsselt sein müssen, um die Vertraulichkeit der Daten gegen immer ausgebufftere IT-Angriffe abzusichern. A10 argumentiert damit, dass beim Echtzeit-Sammeln von Daten die Verwaltung und die Organisation von digitalen Zertifikaten und ihren Schlüsseln eine kritische Komponente darstellen würden. Diesem Risiko will der Netzwerkspezialist nun durch die Kooperation mit dem Sicherheitsanbieter Symantec begegnen.
Die Application Delivery Controller der Produktserie Thunder von A10 Networks sind hochperformante ADCs, mit denen Kundenanwendungen hochverfügbar gehalten, beschleunigt und gesichert werden. Die Premiumlinie bietet eine Skalierbarkeit der Performance und einen Datendurchsatz von bis zu 150 Gigabit pro Sekunde. Die Produkte basieren auf dem Herstellerbetriebssystem Advanced Core Operating System (ACOS).
- Vorbereitung des Zertifikats
Wie lässt sich die Sicherheit der IT systematisieren? Ein zertifiziertes ISMS hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern. - Management einbeziehen
Da die Norm eine Ableitung aller operativen Maßnahmen auas Management-Entscheidungen (Security Policiy, Risikoakzeptanz etc.) fordert, fällt ein fehlendes Commitment des Managements im Verlauf der Verzifisierung sicher auf. - Belegschaft sensibilisieren
Jeder Einzelne muss beispielsweise die durch die Security Policy bestimmte Werte verinnerlichen und auf den eigenen Bereich anwenden können. Findet dieser Transfer nicht statt, macht sich das spätestens in einem Audit bemerkbar. Ein erfolgversprechendes Rezept ist es, Aufgaben an einzelne Unterstützer in der Belgschaft zu vergeben. - Anwendbarkeit und Risikoakzeptanz definieren
Bei der Festlegung des Anwendungbereichs sind die jeweiligen finanziellen Mittel und andere Ressourcen zu berücksichtigen. Daraus erwachsende Entscheidungen zu Sicherheitsniveaus und -maßnahmen müssen bewusst getroffen, dokumentiert und kommuniziert werden. - Realistische Zeitpläne
Mit der Umsetzung der letzen Maßnahme ist ein Unternehmen noch nicht zertifizierbar. Tatsächlich ist in erster Linie nachzuweisen, dass die Maßnahmen auch gelebt werden. Man sollte daher frühzeitig mit der Dokumentation der Maßnahmen beginnen und sie regelmäßig intern auf Vollständigkeit prüfen. - Pragmatische Ziele statt Perfektion
Maßnahmen können und dürfen schrittweise implementiert werden, besonders dann, wenn eine von vornherein perfekte Lösung die Organisation überfordern würde. Der Nachweis eines aktiv gelebten kontinuierlichen Verbesserungsprozesses ist besser als die Präsenation perfekter Einzellösungen auf einer nicht tragbaren Basis. - Bewährtes einbetten
Kein Unternehmen beginnt im Hinblick auf IT-Sicherheisaspekte mit einer grünen Wiese. Die vorhandenen, oft aus pragmatischen Erwägungen enstandenen Maßnahmen lassen sich direkt in die Risikoanalyse aufnehmenund so rechtfertigen sowie unterfüttern. - Synergien nutzen
Einige der durch ISO 27001 vorgegebenen Anforderungen finden sich auch in anderen Normen wieder. Es sollte daher geprüft werden, ob bestimmte Themen nicht übergreifend behandet werden können oder bereits erledigt wurden.