Allein in den letzten anderthalb Jahren entstanden, wie eine deutsche Sicherheitsstudie feststellt, jedem dritten Unternehmen durch Viren, Würmer und kriminelle Mitarbeiter Schäden von bis zu 10’000 Euro. Besserung scheint nicht in Sicht. Zeitmangel und restriktive Budgets stehen, wie die Autoren schreiben, Verbesserung der IT-Security entgegen.
Sicher, die Verantwortlichen haben in den letzten Jahren dazugelernt und investiert. Virenscanner und Firewalls gehören heute in den Unternehmen zur Standardausstattung. Aber auch die Angreifer wurden listiger, und immer neue Gefahren halten die Verantwortlichen auf Trab. Laut einer Umfrage von silicon.de waren 15 Prozent der Befragten mit Denial-of-Service-Attacken konfrontiert. Viren und Trojaner sind allgegenwärtig, von der Spam-Plage gar nicht zu reden.
Ulrich Brügger, Information Security Consultant bei
IBM Schweiz, bestätigt denn auch, dass 2004 ein hektisches Jahr war, und er kommt auf einen zentralen Punkt zu sprechen: «Im Gespräch waren vor allem neue Viren und Trojaner. Von anderen Angriffen hörte man sehr viel weniger, denn welches Unternehmen gibt schon gern zu, dass die Firewall nicht gewartet oder zwei Jahre alte Patches nicht aufgespielt wurden.» Ethical Hacking, in dem sich auch IBM engagiert, sei daher von grosser Bedeutung. Die Unternehmen, so Brügger, müssten wissen, ob ihre Infrastruktur den Anforderungen genügt und ob sich ihre Sicherheitsinvestitionen bezahlt machen.
2005 wird ein interessantes Jahr
Herbert Lüthold, Head of Security bei
Swisscom Solutions, ist überzeugt, dass die IT-Sicherheit im laufenden Jahr noch an Bedeutung gewinnen wird: «Im letzten Jahr spürten wir eine deutlich gestiegene Nachfrage. Die Konvergenz auf IP-Basis und die zunehmende Verbreitung von VoIP-Diensten machen neue Sicherheitsmassnahmen notwendig. Gleichzeitig bewirken gesetzliche Regelungen und Corporate-Governance-Überlegungen in den Chefetagen einen Druck von oben, der die entsprechenden Budgets ermöglicht.»
Die Aussichten für 2005 sieht er daher ähnlich wie die entsprechenden Studien von IDC und der Meta Group, nämlich bei acht bis zwölf Prozent Wachstum: «In Bezug auf unsere Managed Security Services bin ich sogar eher noch etwas optimistischer, aber grundsätzlich stimmen meine Erwartungen mit denen der Marktforscher überein.»
Andreas Kleeb, CEO von
RedIT ist etwas zurückhaltender: «Die Kunden wissen schon, dass sie etwas unternehmen müssten, aber der Leidensdruck scheint noch nicht gross genug zu sein.» Selbstverständlich nehme man bei RedIT das Thema Sicherheit ernst, aber echte Nachfrage gebe es nur punktuell, von besonders sicherheitsbewussten Unternehmen. Der Grossteil dagegen halte sich noch immer eher zurück: «Worte und Taten klaffen auseinander. Es wird zwar viel geredet, aber ein wirklicher Markttreiber ist die Sicherheit für uns noch nicht. Es ist wie bei der Grippe-Prophylaxe: Wo es noch nicht weh tut, kann gespart werden.»
Das weiss auch Brügger: «Jeder denkt, uns passiert das schon nicht. Viele Vorkommnisse werden mit Schweigen übergangen und unter den Teppich gekehrt, bis man einmal darüber stolpert. Und das tut dann weh. Dafür kenne ich genügend Beispiele.»
Er meint, dass das Sicherheitsbewusstsein zwar wachse, speziell KMU seien jedoch auf Beratung angewiesen: «Grosse Unternehmen haben ihre IT-Abteilungen. Den Kleinen
hilft keiner. Das Patch-Management wird gewaltig vernachlässigt, da
KMU selten beurteilen können, was sie wirklich benötigen. Hier liegt die Zukunft, denn Aufklärung ist dringend notwendig.» Allein schon eine unabhängige Meldestelle, wie sieder Bund mit Melani (Melde- und Analysestelle Informationssicherheit) plant, könnte laut Brugger hier viel helfen.
Die Sensibilisierung wächst
«Die Kunden sind heute sensibilisierter», stellt Delec-CEO Jürg Schwarzenbach fest. «Security ist nicht unsere Hauptarbeit, aber wir merken, dass das Thema unsere Kunden beschäftigt. Es gibt auch Projekte in diesem Bereich, und wir bieten Workshops für KMU an, um ihnen zu zeigen, wie etwa die Firewall überwacht werden muss.»
Dieses Problem sieht auch Kleeb: «Investiert wird vorwiegend in die Technik, während Kontrolle und Management vernachlässigt werden. Konfiguration und die Gestaltung der Prozesse sind jedoch genauso wichtig wie Hard- und Software.» Und er fügt bei: «Generalisten können eben entgegen den Erwartungen meist nicht alles. Das gilt übrigens für die Anbieter genauso wie für die Kunden. Oft überblicken sie die Zusammenhänge im Security-Bereich zuwenig. Sicherheit ist keine statische Sache. Ohne dass ständig die neuen Technologien nachgefahren werden, funktioniert Security nicht.»
Brügger seinerseits betont, dass auch ausgefeilte Technologien wie Intrusion Detection nur Sinn machen, wenn sie ständig an 365 Tagen überwacht werden. Zudem könnten die Alarmmeldungen von den meisten Kunden nur schwer beurteilt werden. Durch die vielen Fehlalarme würden sie mit der Zeit gleichgültig und verpassten dann im Ernstfall entscheidende Warnungen. «Die Zukunft liegt daher bei Intrusion-Prevention-Technologien und bei Managed Security Services», erklärt der IBM-Mann.
Bewusster investieren
Eric Bilang, Leiter des Bereichs Security beim Basler Dienstleister
Trivadis, stellte fest, dass die Firmen heute genauer überlegen, wofür sie ihr Geld ausgeben wollen: «Das heisst nicht, dass sie zurückhaltender sind, aber dass sie Planung und Umsetzung bewusster auf die Unternehmensstrategie abstimmen.» Sicherheitstechnologien seien heute ein wichtiger Teil des Geschäfts von
Trivadis, da Security bei der Entwicklung und beim Betrieb von Business-Applikationen einen hohen Stellenwert habe. «Es passiert ja auch etwas», sagt er. «Über die Bedeutung der sicheren Kommunikation für die Erschliessung neuer Geschäftsfelder im B2B- oder B2C-Bereich etwa wird nicht mehr nur geredet. Da fängt die Umsetzung jetzt ganz konkret an, etwa mit Secure
E-Mail. Als ganz wichtiges Thema erachte ich zudem das Identity Management, obwohl die Ansprüche natürlich unterschiedlich sind und von einfachen, pragmatischen Lösungen bis zum Identity Management mit Single-Sign-on reichen.»
Auch für Lüthold ist Identity und Access Management eines der wichtigsten Themen dieses Jahres. Er verspricht sich insbesondere von der neuen Gesetzgebung für die digitale Unterschrift einen neuen, zusätzlichen Security-Schub.
Brügger allerdings widerspricht dieser Einschätzung: «Das sind in meinen Augen noch keine wirklichen Treiber, vor allem, weil die Killerapplikation dazu noch fehlt. Ausserdem wirken vorläufig die noch ungeklärten Fragen in Bezug auf die Haftung der Provider als Hemmer.»
Top-Thema ICT-Outsourcing
Einen wichtigen Trend für 2005 sieht Lüthold auch im ICT-Outsourcing: «Wir bemerken das selbst bei Unternehmen, bei denen wir dies früher nie erwartet haben, etwa bei Banken. Die Service Provider müssen sich daher vermehrt mit Sicherheitsaspekten beschäftigen.
Swisscom hat zurzeit einen
Voice-Instrastruktur-Auslagerungsauftrag der Credit Suisse laufen. Als Security-Abteilung sind wir da selbstverständlich stark involviert. Security wird mehr und mehr zu einem integrierten Bestandteil der klassischen Swisscom-Dienstleistungen werden.»
ICT Solution Provider, so Lüthold, müssen zudem in der Lage sein, laufend zu überprüfen, ob die definierten Risiken auch bewältigt werden können. «Unsere Kunden sind vorwiegend grössere Unternehmen», fügt er an, «die über ein entsprechendes Security-Budget verfügen.»
Konsolidierung kommt – aber wann?
Kleeb betont, das die Sicherheit nicht für sich allein betrachtet werden könne und ins Partnerangebot gehöre. «Dabei ist es natürlich eine Frage der Grösse oder allenfalls
der Spezialisierung, ob die Security-Spezialisten dann auch ausgelastet sind.»
Weltweit scheint nicht zuletzt unter diesem Aspekt eine Konsolidierung im Gange zu sein. Verschiedentlich wurden Startups von grossen Unternehmen aufgekauft.
IBM etwa hat Anfang Jahr den Spezialisten für Identifizierungsmanagement SRD (Systems Research & Development) übernommen.
Hierzulande zeichnet sich die Security-Landschaft durch eine Vielzahl kleinerer Firmen aus. Brügger vergleicht den Schweizer Markt mit der Situation im Baugewerbe: Gibt ein Unternehmer auf, machen sich zehn Maurer selbständig. «Das ist auch verständlich, schliesslich sehen alle Marktforscher grosse Chancen im Security-Bereich. Trotzdem halte ich eine Konsolidierung für unvermeidlich, auch wenn sie wohl erst in zwei oder drei Jahren einsetzen wird.»
Auch Lüthold erwartet, dass die Konsolidierung in der Schweiz gegenüber der Entwicklung im Ausland etwas verzögert ablaufen wird: «Die kleinen Security-Unternehmen sind gut eingeführt und flexibler als die meisten Grossen. Sie geniessen daher das Vertrauen ihrer Kunden. Für grössere Unternehmen ist die Situation daher nicht ganz einfach. Sicher werden wir vermehrt zusammenarbeiten, wie etwa bereits heute mit dem Sicherheitsspezialisten Celeris.»
Einig sind sich alle von IT Reseller Befragten darin, dass insbesondere im KMU-Bereich noch Aufklärungsarbeit geleistet werden muss. Eric Bilang von
Trivadis formuliert es so: «Im letzten Jahr sahen wir, wie die Unternehmen zwischen «Pflästerlipolitik» und Überinvestitionen hin und her schwankten. Eine unserer wichtigsten Aufgaben sehen wir daher darin, unseren Kunden bei dieser Gratwanderung zu helfen, sich zuerst auf die wirklich unternehmenskritischen Daten und Bereiche zu konzentrieren.» (fis)