Von Alexander Roth

Hannes P. Lubich, IT-Sicherheitsexperte bei CA, brachte in seinem Gastvortrag auf der diesjährigen "IDC Security Conference" das Wesen moderner IT-Sicherheit auf den Punkt: "Wenn Sie als IT-Verantwortlicher eines Unternehmens von Ihrem Chef hören, IT-Sicherheit sei zu teuer, dann können Sie nur eines antworten: Im Vergleich wozu?"

Hacker, Mitarbeiter, IP-Kommunikation, Netzwerkschutz, Richtlinien und Gesetze: IT-Sicherheit baue sich mittlerweile aus so vielen Aspekten auf, dass ein entsprechendes Risikomanagement vom gesamten Unternehmen getragen werden müsse, vom einzelnen Arbeitnehmer bis zur Chefetage, so Lubich weiter. Sein Fazit: Es gibt kein theoretisches Rechenmodell, mit dem sich ein Budget für IT-Security rechtfertigen lässt. Ein Unternehmen muss sich vielmehr auf die Suche nach seinem individuell zugeschnittenen IT-Lösungsszenario machen - und das habe eben seinen Preis.

Man kann IDCs fünfte Security-Konferenz im Frankfurter Hilton Hotel als den Versuch betrachten, den 250 Besuchern, vorwiegend IT-Administratoren, "Hilfsmittel" für diese Suche zu geben. Unter dem Motto "Risiken erkennen - Bedrohungen ausschalten" hielten 17 Anbieter von IT-Sicherheitslösungen Vorträge und führten Workshops durch. Mit dabei waren unter anderen die Hersteller CA, McAfee, Symantec, Verisign, Clearswift, Secude, Ciphertrust, IBM und Procurve Networking, der hauseigene Sicherheitsspezialist von HP.

Komplexität vs. Ganzheitlichkeit

Während sich die Hersteller darin einig waren, dass die Bedrohungsszenarien immer komplexer werden - zumal Unternehmen die IT immer stärker in ihren eigenen Wertschöpfungsprozess einbinden - , forderten sie die Zuhörer auf, nach ganzheitlichen Lösungsansätzen zu suchen. Wenn schon nicht alle verwendeten Technologien von einem einzigen Hersteller kommen, dann gehe es um einen Lieferanten, der das Grundmodell stelle. Ein Beispiel: "Identity und Access Management" mit Procurve Networking. IT-Security fordere mittlerweile ein Rollenverständnis aller Personen, die mit der IT-Umgebung des Unternehmens in Berührung kommen, wie Peter Schaudeck von Procurve betonte. So sei ein durchdachtes Identity und Access Management unabdingbar. Es ermögliche bereits im Vorfeld, Gefahren auszuschließen - etwa wenn es um den Zugriff von Mitarbeitern auf kritische Firmendaten geht oder um das Einschleusen von Schadcode ins Firmennetz durch mobile Geräte.

Dass es gerade bei mittelständischen Unternehmen in puncto IT-Sicherheit und Rollenverständnis der eigenen Mitarbeiter noch deutlichen Nachholbedarf gibt, hoben Björn Haan von IBM Deutschland sowie Vertreter der Security-Spezialisten Qualys und Verisign hervor: Sie verwiesen auf die Möglichkeit, dass sich Firmen mit selbst auferlegten Richtlinien (Policies) absichern sowie präventive Risikoanalysen und Mitarbeiterschulungen durchführen sollten.

Letztendlich mussten jedoch alle Experten zugeben: Ob sich die Investition in IT-Sicherheit überhaupt gelohnt hat, ist nicht messbar - da die Firmen ja zu erreichen versuchen, dass kein Schadensfall eintritt. Ein Punkt, der von vielen Besuchern immer wieder diskutiert wurde.

Die Hersteller forderten eine andere Sichtweise als das bloße Reduzieren von IT-Security auf den Kostenfaktor. Peter Riedel von Secude brachte es auf den Punkt: "IT-Sicherheitsinvestionen bedeuten für Unternehmen die Chance, Wettbewerbsvorteile zu erlangen."

Abwehrtechnologien verschmelzen

Weitere Themen der Konferenz: die zunehmende Bedeutung gesetzlicher Auflagen (Compliance) und Konvergenz. So hatte die Analystin Anita Liess von IDC in ihrer Eröffungsrede klar gemacht, dass insbesondere im Bereich von Sicherheitssoftware der Trend zu beobachten sei, dass traditionelle Abwehrtechnologien wie Firewalling, Virenschutz, Webfilter und Intrusion Prevention miteinander verschmelzen. Stichwort "UTM" (Unified Threat Management): 2007 werde die Anzahl an verkaufter UTM-Hardware, die die genannten Schutzfunktionen enthalten, weiter ansteigen (siehe Tabelle).

Des Weiteren stelle IDC ein "Verweben" der Bereiche "Storage" und "Security" fest. Als Beispiel verwies Liess auf die Übernahme des Authentifizierungsspezialisten RSA Security durch EMC im Sommer 2006.

Was viele überraschte: Dem von vielen Experten bereits als "Hoffnungsmarkt" deklarierten Geschäft mit "Managed Services" traut IDC vorerst keine große Zukunft zu. Hier vermutet der Marktforscher lediglich im Privatkundenbereich einen Schub für nächstes Jahr.

Die Besucher zeigten sich, trotz vieler bekannter Trends, sehr interessiert. Alle praktischen Workshops beispielsweise waren ausgebucht - auch IDC konnte sich mit einer ähnlich hohen Teilnehmerzahl wie im Vorjahr nicht beschweren.