IT-Sicherheitslösungen sind riskante Einkäufe
Von Andreas W. Klein, Managing Director techconsult
Dass Unternehmens- und Kundendaten wichtig und zu schützen sind, darüber herrscht Einigkeit. Ebenso ist klar, dass Hard- und Software der Dreh- und Angelpunkt funktionierender Betriebsabläufe sind und dass sie entsprechend ausfallsicher sein müssen. Anbieter und deren Lösungen für diese Aufgaben gibt es aber zu Hunderten. Das techconsult audit kann hier einen schnellen, gezielten Überblick verschaffen.
Außerdem kann die erstmalige Anschaffung von Sicherheitslösungen für Daten und Infrastruktur je nach Unternehmensgröße Kosten in fünf- oder gar sechsstelliger Höhe auslösen. Das muss so mancher Unternehmer erst einmal verdauen. Langfristige Investitionen solcher Größenordnungen wollen also gut überlegt sein. Nur macht die enorme Dynamik des IT-Markts diese Überlegungen normalerweise extrem schwierig.
Unruhiger IT-Security-Markt
Der erste Faktor, den es mit Blick auf eine sichere Investition zu berücksichtigen gilt, ist der Anbieter selbst. Schließlich will man sichergehen, dass es den Anbieter in den nächsten Jahren weiterhin gibt und dass er sich um Updates und Wartung kümmern kann.
Der IT-Security-Markt befindet sich zwar bereits seit einigen Jahren in der Konsolidierung, aber es gibt immer wieder neue Lösungen für zuvor unbekannte (oder unerkannte) Sicherheitsrisiken. IT-Riesen kaufen und verkaufen ganze Lösungssparten und platzieren sich in vielen Fällen noch nicht eindeutig. Hinzu kommen Unsicherheitsfaktoren wie die kein Ende nehmenden Enthüllungen von Edward Snowden, deren Auswirkungen nach wie vor noch nicht genau abgeschätzt werden können. Erste Konsequenzen zieht z.B. der Netzwerkhardwarehersteller Cisco mit der Entlassung von 6000 Mitarbeitern. Begründet wird diese Entscheidung mit einer gesunkenen Nachfrage nach amerikanischen IT-Lösungen infolge des NSA-Skandals. Informationen zur Zukunftsfähigkeit eines Anbieters sind daher von zentraler Bedeutung.
Politische Rahmenbedingungen
Auch die IT-Security ist nicht frei von politischen und rechtlichen Unwägbarkeiten. Deutschland und die EU sind in dieser Hinsicht schon etwas weiter. Es gibt bereits rechtsverbindliche Datenschutzregelungen auf deutscher und europäischer Ebene. Diese geben vor, welche Daten zu schützen sind, lassen allerdings Raum, auf welchem Weg dieser Schutz erfolgen muss.
Neueste Vorstöße des Innenministeriums sehen allerdings die Einführung eines IT-Sicherheitsgesetzes vor (der Referentenentwurf liegt vor), das verbindliche Mindeststandards für die Sicherung von IT-Systemen – und nicht nur von Daten – in Deutschland schaffen soll. Innenminister Thomas de Maizière versichert zwar, dass man den Mittelstand nicht mit neuen Auflagen drangsalieren wolle, bis zur finalen Fassung des Gesetzes ist diese Aussage aber nur bedingt für bare Münze zu nehmen.
Entwicklung des Unternehmens
Viele Lösungen, gerade hardwareseitige, sind abhängig von der Größe des Unternehmens, d.h. der benötigten Bandbreite oder der Nutzeranzahl. Sollte sich diese zukünftig erhöhen, muss eine größere Lösung her – neue Ausgaben für Hardware und Implementierung fallen an. Sollen auch neue Geschäftsfelder oder Vertriebswege erschlossen werden, sind weitere Lösungen erforderlich, die ebenfalls in die bestehende IT-Landschaft integriert werden müssen. Wichtig ist daher die Skalierbarkeit der Lösung, aber auch das Portfolio des Anbieters, das alle Möglichkeiten durch zukaufbare und leicht integrierbare Erweiterungen offen hält.
Für den Expertenbeirat zum audit haben techconsult und Heise ein Panel hochqualifizierter, unabhängiger und praxiserfahrener Fachleute gewonnen, die wir im Rahmen der Berichterstattung einzeln vorstellen: Teil 1 begründet die besondere Ausrichtung des audits zwischen dem Heise Security-Consulter und der konkreten Lösungswahl. Experte im Blickpunkt ist Alexander Tsolkas. Teil 2 betrachtet den schwierigen Markt aus Sicht der Anwenderunternehmen. Experte im Blickpunkt ist Adam Grzesik.
Anwenderunternehmen im Expertenbeirat
In Zusammenarbeit mit Heise Security bietet techconsult bereits den Heise Security Consulter an. Das Self-Check-Tool dient mittelständischen Unternehmen dazu, ihre Lage hinsichtlich IT- und Informationssicherheit einzuschätzen. Datenbasis ist die Security Bilanz Deutschland, die die Vergleichsdaten aus einer Befragung von über 500 mittelständischen Unternehmen mit 20 bis 1999 Mitarbeitern liefert. In der logischen Abfolge der Informations- und Entscheidungsprozesse anschließend bietet techconsult den IT-Entscheidern in Anwenderunternehmen mit dem audit konkrete Orientierungshilfe bei der Anbieter- und Lösungsauswahl.
Das techconsult audit vergleicht und bewertet IT-Anbieter und Lösungen – anders als andere, meist US-lastige und oft recht undurchschaubare Marktübersichten – hinsichtlich ihrer tatsächlichen und wahrgenommenen Leistungsfähigkeit in einer Kombination aus Experten- und Anwenderbefragung und lässt dabei auch die für den deutschen Anwender investitionsrelevanten Informationen einfließen. Wir wollen an dieser Stelle in rascher Folge die bisher benannten Fachleute im Beirat persönlich vorstellen. Diesmal ist es Adam Grzesik, der im interdisziplinären Expertenbeirat die Anwender repräsentiert:
Adam Grzesik verantwortet als IT-Sicherheitsberater des hochmodernen Rechenzentrums der First Colo GmbH in Frankfurt am Main das Qualitätsmanagement in den Bereichen Hochverfügbarkeit und Ausfallsicherheit. Innerhalb seiner zehnjährigen Tätigkeit in der IT-Sicherheitsbranche war er bei diversen komplexen Projektaufgaben maßgeblich daran beteiligt, wenn es galt, vermeidbare Sicherheitslücken zu schließen und denkbare Restrisiken gegen null zu fahren.
Während klassische Rechenzentrumsbetreiber in den letzten Jahren Unsummen in die noch so unwahrscheinlichsten Risiken „physischer“ Gefahren investiert haben, wurden die am nächsten liegenden Gefahren meistens sträflich vernachlässigt: „virtuelle“ Gefahren durch verteilte Überlastangriffe (DDoS). Diese finanziell, technologisch oder politisch motivierten Angriffe auf Internet-Seiten übersteigen in ihren Dimensionen immer wieder die jeweils zurückliegenden Ereignisse. Adam Grzesik verfügt seit vielen Jahren über Spezialkenntnisse auf dem Gebiet der Schutztechnologien gegen DDoS-Attacken und ist sowohl auf Verbandsebene als auch bei Institutionen und Unternehmen ein gefragter Gastredner, der keine Fragen zu diesem Thema scheut.
