Foto: Uli Ries
Der Mix aus Konzepten wie Bring your own device (BYOD), immer schwieriger zu entdeckender Malware und stetig neuen Sicherheitslücken sei laut RSA-Boss Art Coviello dafür verantwortlich, dass Unternehmensnetzwerke früher oder später zwangsweise infiziert würden. Das konstatierte er im Rahmen seiner Keynote zur RSA Conference 2012 in San Francisco. Insofern keine neue Erkenntnis, als ähnliches beispielsweise von BKA-Präsident Jörg Ziercke am Rande eines Symposiums schon vor über zwei Jahren geäußert worden ist.. Interessant ist jedoch, dass ein hochrangiger Vertreter eines IT-Sicherheitslieferanten der gleichen Ansicht ist und gleichzeitig noch Kritik an seinesgleichen äußert: "Angreifer profitieren auch von der langsamen Reaktion der Industrie, das Potenzial der entstehenden Bedrohungslandschaft richtig zu erkennen."
Neue Generation, neue Ansprüche
Enrique Salem, Chef von Symantec, führte zudem die Generation Y als wichtigen Faktor für unvermeidbaren Wandel an. Diese mit dem Internet aufgewachsene Generation stelle am Arbeitsplatz ganz andere Anforderungen hinsichtlich der Hardware und der zugänglichen Web-Dienste als die Vorgängergeneration. Salem sprach von einem "Vorschlaghammer", mit dem diese Generation für Veränderungen im IT-Umfeld sorgen würde. Unternehmen würden durch die Öffnung hin zu privaten Endgeräten und Kommunikationsplattformen im Web nach und nach unsicherer. Den Zugriff auf Dienste wie Facebook und Twitter rigoros zu sperren, sei laut Salem jedenfalls keine Lösung für mehr Sicherheit im Unternehmen. Es würde die Mitarbeiter zum einen frustrieren, zum anderen aber auch ihre Kreativität und die Effizienz ihrer Arbeit mindern. Vertreter der Generation Y wendeten sich schließlich regelmäßig auch an private Freunde, um beruflich relevante Informationen einzuholen.
- Gerald Hahn, Softshell
"Das Budget der Cyberkriminellen übersteigt das Budget der IT-Security-Branche um ein Vielfaches." - Thorsten Krüger, SafeNet
"Trennen Sie Ihre Daten nach Wichtigkeit und Zuständigkeit." - Alfred Zapp, CSC
"Gerade in den vergangenen Monaten haben wir eine Fülle von Anfragen nach IT-Security-Beratung erhalten - besonders im mobilen Bereich. Das ist ein brandheißes Thema in den Vorstandsetagen." - Candid Wüest, Symantec
"Unternehmen berücksichtigen die mobilen Geräte noch nicht in ihrer Sicherheitsstrategie. Sie machen heute die gleichen Fehler wie bei den Client-PCs vor zehn Jahren." - Willi Backhaus, Avenade
"Es hat mich überrascht, dass auch CRM-Systeme sowie Zeit- und Spesenerfassung zunehmend über private Geräte bedient und erledigt werden." - Sven Gerlach, Integralis
"Das Management sollte die Nutzung privater Geräte im Unternehmen nicht vorleben." - Markus Henning, Sophos
"Den Unternehmensentscheidern ist nicht klar, was sie eigentlich tun, wenn kritische Daten über das Web erreichbar sind." - Bruce Schneier, Sicherheitsexperte
"Daten zu speichern ist billiger, als sie zu löschen. Das birgt Risiken."
Symantec bringt O3
Foto: Uli Ries
Coviello ist ob der neuen Herausforderungen der Ansicht, dass "Lösungen zum Verteidigen der Perimeter und solche, die auf Signaturen basieren, ihr Verfallsdatum überschritten haben." So harsch will man dies bei Symantec nicht sehen, setzt aber genau wie RSA auf die Cloud, um die Probleme in den Griff zu bekommen. Während Symantec mit O3 eine neue Lösung bietet, kombiniert RSA die vorhandenen Produkte Cloud Trust Authority und Adaptive Authentication mit dem Cloud Security Service von Zscaler. Gemeinsam ist den Diensten, dass sie User-Identitäten auch außerhalb des eigenen Netzwerkes kontrollieren sowie regeln und letztendlich für Single-Sign-On sorgen. In beiden Fällen ist kein Agent auf dem jeweiligen Endgerät notwendig. Das heißt, dass sich die Anwender an einem Cloud-Dienst anmelden und dieser je nach Umgebung (Endgerät, Ort, Anmeldedaten, Zustand des Endgeräts) entscheidet, welche Aktionen der Anwender beim jeweiligen Intra- oder Internetdienst ausführen darf. Symantec integriert O3 beispielsweise in salesforce.com, sodass Nutzer nicht erneut angelegt werden müssen. Wird ein Nutzerkonto im Active Directory des Arbeitgebers entfernt, ist auch kein Zugriff auf das Online-CRM-System mehr möglich.