23.02.2006, 14:12 Uhr
Sicherheit ohne Kompromisse
Viele Unternehmen geben sich aus diversen Gründen mit unakzeptablen Sicherheitsniveaus zufrieden. Der Ansatz einer kompromisslosen Sicherheit soll dem jetzt ein Ende bereiten.
Remo Rossi ist Regional Director Switzerland, Austria und SEE bei Network Appliance.
Es vergeht kaum ein Tag, an dem nicht über Sicherheitsdelikte und Zwischenfälle wie verloren gegangene Backup-Tapes, Viren, Spyware und Hacker-Attacken berichtet wird. Die Liste der Sicherheitsthemen in Unternehmen ist lang und kostenintensiv. Dazu kommt, dass Sicherheit heute nicht nur den rein physischen Schutz der Daten bedeutet, sondern auch gesetzliche Implikationen zu berücksichtigen hat, wie sie beispielsweise im Sarbanes-Oxley-Act formuliert sind. Und spätestens jetzt wird klar, dass eine umfassende Sicherheit, die allen internen und externen Anforderungen entspricht, nicht mit üblichen Security-Lösungen wie Virenscanner oder Firewalls gewährleistet werden kann, sondern das Einbeziehen von Storage- und Datenmanagementtechnologien erfordert. Die Bedrohungen sind heute so vielfältig, dass kompromisslose Sicherheit Lösungen in drei Bereichen erfordert - Perimeter Security, Sicherheitsfaktor Mensch und Datensicherheit.
Bedrohung von aussen
Perimeter Security betrifft die Sicherheit an den Stellen, die das Unternehmensnetz mit dem öffentlichen Internet verbinden und sichert das Rechenzentrum anhand festgelegter Richtlinien gegen Gefahren von aussen wie Viren, Würmer und Hacker. Die Umsetzung dieser Richtlinien erfolgt mithilfe von Firewalls, Anti-Virus-Software und Web-Filtering-Lösungen. Damit wird der gesamte Datenverkehr, der in und aus einem Netzwerk fliesst, genau unter die Lupe genommen, werden eventuelle Gefahren geblockt und Zugriffe unterbunden.
Sicherheitsfaktor Mensch
Menschliche Sicherheit lässt sich mit der Abkürzung AAA beschreiben - Authentifizierung, Autorisierung und Auditing. Zum einen wird mittels Identifizierungsmassnahmen wie Passwörtern oder biometrischer Daten wie Fingerabdruck oder Iris-Scan festgestellt, dass ein Anwender wirklich der ist, der er behauptet zu sein (Authentifizierung). Zweitens wird die Autorisierung anhand vorab festgelegter Richtlinien festgestellt - was darf dieser Mitarbeiter tun? Auf welche Daten und Informationen darf er zugreifen? Welche Informationen sind für ihn schreibgeschützt, welche ganz gesperrt? Der letzte Bestandteil, Auditing, ist eine Art Protokollierung bezüglich der Netzwerkaktivitäten des Mitarbeiters. Was hat er in letzter Zeit gemacht? Welche Daten hat er angeschaut? Dieser Prozess ermöglicht es einem Unternehmen, wertvolle Daten gegen firmeninterne Bedrohungen zu schützen.
Datensicherheit
In Sachen Datensicherheit muss die Integrität der Informationen gewährleistet sein. Dies betrifft so genannte ruhende Daten (Data at Rest) auf Platten und Bändern und umfasst nicht nur die Sicherung und Verfügbarkeit dieser geschäftskritischen und vertraulichen Informationen. Vielmehr geht es heute auch darum, den Inhalt geheim zu halten und die Daten bei Bedarf zu löschen. Hier sind Verschlüsselungstechnologien ein Muss. Es reicht mittlerweile nicht mehr aus, Daten nur physisch gegen Systemausfälle, Unlesbarkeit oder echte Daten-Gaus abzusichern oder für sicheren Internettraffic zu sorgen. Daten müssen auch gegen unbefugten Zugriff geschützt werden. Für Datendiebstahl beispielsweise reicht heute ein USB-Stick oder sogar ein MP3-Player. Bisher war der Qualitätsunterschied zwischen Online- und Offline-Security sehr gross. Sind die im Unternehmen gespeicherten Offline-Daten verschlüsselt und zudem durch Zugriffsautorisierung geschützt, kann die Sicherheitslatte noch eine Stufe höher gelegt werden.