Die jüngsten Datenskandale zeigen: Um die Informationssicherheit ist es in vielen Unternehmen und Behörden schlecht bestellt. Doch weder mit Festplattenverschlüsselung noch mit Information Rights Management oder Web Access Management bekommt man das Problem in den Griff: Es geht darum, eine durchgängige Strategie für die Authentifizierung zu entwickeln. Und das setzt eine grundlegende Klassifizierung von Informationen voraus.
In den letzten Monaten gab es ein paar interessante Entwicklungen bei Autorisierungslösungen. Zunächst sorgte die Übernahme von Securent durch Cisco für Aufsehen. Und in den letzten Monaten tauchte mit Rohati Systems ein ganz neuer Anbieter auf.
Gleichzeitig wurde immer wieder deutlich, dass Unternehmen und staatliche Stellen das Thema der Informationssicherheit oft nicht im Griff haben. Ob es um Daten ging, die in der Öffentlichkeit auftauchten wie im Fall einiger Telekom-Unternehmen, der unter fragwürdigen Umständen an die Justiz gelangten Bankdaten aus Liechtenstein oder den verschiedenen Datenverlusten in Großbritannien – in allen Fällen war es um die Informationssicherheit schlecht bestellt.
In solchen Situationen bieten viele Hersteller ihre Produkte als die Lösung für alle Probleme an. Meistens haben sie auch teilweise Recht, weil die Produkte tatsächlich ein Teil der Lösung sind. Aber sie sind eben nicht die vollständige Lösung. Weder mit Festplattenverschlüsselung noch mit Information Rights Management, Web Access Management oder den genannten neuen Verfahren für das Autorisierungsmanagement auf Netzwerkebene von Cisco respektive Rohati bekommt man alle Herausforderungen in den Griff.
Ebenso wenig macht es aber Sinn, punktuell zu investieren. Ein bisschen Verschlüsselung hier, ein bisschen Web Access Management dort, garniert mit einem einigermaßen brauchbaren Identity Provisioning, noch ein wenig Remote-Authentifizierung und ein paar andere Elemente wird mit Sicherheit nur zu einem führen: Zu hohen Kosten bei weiter vorhandenen Sicherheitslücken.
Es geht darum, eine durchgängige Strategie für die Authentifizierung zu entwickeln. Welche Zugriffe werden auf welcher Ebene authentifiziert und wie werden welche Informationen geschützt? Das setzt zumindest eine grundlegende Klassifizierung von Informationen voraus.
Und es setzt eine klare Sicht auf die Ebenen der Autorisierung und des Schutzes von Informationen voraus. Information muss dabei immer geschützt werden, egal ob sie in einem System liegt oder transportiert wird. Zuverlässig, nach einheitlichen Regeln. Und mit überschaubarem Aufwand.
Statt also zu versuchen, von allem ein bisschen zu machen, muss man ein Modell entwickeln, das definiert, welche Klassen von Informationen auf welchen Systemen wie geschützt werden – bei Zugriffen von Administratoren, internen Benutzern und von außen, wobei diese Grenzen immer mehr verschwimmen. Ein solches Modell mit klaren Schutzschichten lässt sich heute durchaus erstellen.
Es scheitert auch nicht an der Technologie, sondern an den Menschen. Denn für eine solche Gesamtsicht muss man erstens alle Teilbereiche verstehen und zweitens auch noch zusammenarbeiten. Die Verantwortlichen für Firewalls, für das Identity Management, für das Active Directory, für die Sicherheit von SAP-Systemen, für RACF und so weiter, müssen kooperieren.
Das geht nur, wenn CIOs und CISOs die Definition einer solchen Autorisierungsstrategie als ihre Aufgabe begreifen. Und da es sich um eine Kernaufgabe im Kontext von Governance, Risk und Compliance (GRC) handelt, müsste sie auf der Agenda jedes CIOs und CISOs ganz oben stehen. Für eine kontrollierte Sicherheit und die Vermeidung von Fehlinvestitionen.