HMD 216, 37. Jahrgang, Dezember 2000

Security Management

Als E-Book bestellen
Feedback an den Herausgeber
Zum Inhaltsverzeichnis

Editorial

Wie uns allen bekannt, nahm in der Vergangenheit die Abhängigkeit der Firma von der IT-Technologie ständig zu. Waren es anfangs nur große und junge Unternehmen der IT-Branche , so sind davon heute fast alle betroffen. Gerade die Unternehmen, die das Internet aktiv nutzen und darüber die unterschiedlichsten Geschäfte abwickeln, müssen besondere Vorkehrungen treffen, um nicht davon Schaden zu erleiden. Aber auch Firmen mit einem reinen Intranet können das Thema Security Management nicht außer Acht lassen. Auch hier besteht bekanntlich die Gefahr, dass beispielsweise durch Ausspähen, Manipulation bzw. gezielte Virenangriffe, auch aus den eigenen Reihen, großer Schaden entstehen kann.

Das Thema der Instabilitäten bei der Hardware darf der Aufmerksamkeit der Verantwortlichen beim Thema Sicherheit nicht verloren gehen. Da aber die Ausfallrate der Hardware in den vergangenen Jahren deutlich zurückging und die Systeme immer preiswerter bei gesteigerter Leistung wurden, ist ein redundanter Aufbau in erschwinglichere Größenordnungen gekommen. Galten redundante Plattenlaufwerke in der Vergangenheit als sehr aufwendig und teuer, so hat sich dies, auch gerade vor dem Hintergrund der immer preiswerteren Festplatten, beachtlich gewandelt. Beispielsweise stellen heutzutage RAID-Systeme keinen sicherheitstechnischen Luxus mehr dar, sondern sind je nach Einsatzgebiet zu einer Alltäglichkeit geworden.

Im Rahmen des Schwerpunktthemas "Security Management" wird in diesem Heft auf das Thema Hardware und Sicherheit nicht näher eingegangen. Dies soll aber nicht den Eindruck vermitteln, dass man dieser Thematik nur untergeordnete Bedeutung beimessen sollte, sondern im Gegenteil, sie darf auf gar keinen Fall außer Acht gelassen werden. Hält man sich aber an gewisse Grundregeln, dann geht heutzutage von der Hardware kein erhöhtes Risiko mehr aus.

Ganz anders ist es aber bei der Problematik der missbräuchlichen Nutzung der Systeme wie beispielsweise durch Angriffe von außen bzw. innen, die das Ziel haben, dem Unternehmen in irgendeiner Weise Schaden zuzufügen. Der jüngste Einbruch in das Netz von Microsoft ist sicherlich ein herausragendes Beispiel. Gerade durch das Öffnen der eigenen IT-Welt für den Internet-Kunden, um beispielsweise bei Bestellungen über das Internet den Ablauf zu automatisieren, ist man vermehrten Angriffen ausgesetzt. Auch B2B stellt erhöhte Sicherheitsanforderungen. Um Schaden abzuwenden, muss deshalb der Authentifizierung, Autorisierung, Vertraulichkeit, Integrität, Nichtabstreitbarkeit und Protokollierung erhöhte Aufmerksamkeit gewidmet werden. Sehr wichtig dabei ist aber das Gesamtkonzept und die Anpassung des Security Managements an die stetig verändernden Geschäftsprozesse. Teillösungen führen unter Umständen gerade in die falsche Richtung. Hatte man beispielsweise durch eine effiziente Firewall einen ausreichenden Schutz erzielt, so kann dieser durch die spätere Einführung von Verschlüsselungstechniken beim E-Mail-Austausch zunichte gemacht werden. Konnte bei unverschlüsselten E-Mails die Firewall auch Macro-Viren der unterschiedlichsten Art aufspüren, so ist dies bei verschlüsselten Nachrichten nicht ohne weiteres mehr möglich und Viren können somit ungehindert in das System eindringen. Eine sich ständig an die geänderten Bedürfnisse anpassende Gesamtstrategie ist deshalb unerlässlich.

Ein weiterer Punkt, der ebenfalls größter Aufmerksamkeit bedarf, ist die Frage nach dem Aufwand und dem Restrisiko. Eine lückenlose Sicherheit wird es nicht geben, so dass zwischen Aufwand, Nutzen und Restrisikokosten abgewogen werden muss.

In dem vorliegenden Heft wird das Thema "Security Management" von den unterschiedlichsten Seiten betrachtet. In den ersten Beiträgen werden allgemeine Aspekte erörtert, um sich dann den verschiedensten Beispielen zuwenden zu können. Aufgrund der Fülle der Thematik kann durch dieses Heft nur ein kleiner Einblick in die Problematik gegeben werden. Ein Ziel dieser Beiträge ist es, den Leser für dieses sehr wichtige IT-Thema zu sensibilisieren und ihm den Einstieg in diese Problematik zu ermöglichen. Dem Fachmann sollen die Beiträge Anregung geben, um bestehende Sicherheitskonzepte zu verbessern.