Themen wie SIEM (Security Incident and Event Management), DAM (Database Activity Monitoring) oder Log-Management werden – genauso wie der Themenkomplex GRC (Governance, Risk Management, Compliance) – immer wichtiger. Noch werden aber viel zu oft Herausforderungen mit Punktlösungen adressiert, die auf Dauer mehr Kosten als Nutzen bringen.
Mit Marketing-Schlagwörtern wie SIEM (Security Incident and Event Management) oder DAM (Database Activity Monitoring), aber auch mit Log-Management, Security Event Correlation oder Threat Detection versuchen Anbieter im Kontext von – zumindest gefühlt – zunehmenden Sicherheitsrisiken und von Informationslecks, ihre Produkte zu positionieren. Auch die Data Leakage Prevention/Protection (DLP) kann man dazu zählen.
Es gibt zwar keinen Zweifel daran, dass man versuchen muss, den Zugriff auf Informationen zu kontrollieren, sich gegen Bedrohungen zu wappnen oder mögliche Informationslecks zu schließen. Die Frage ist aber, ob man diese Ziele mit Punktlösungen erreichen kann. Anders formuliert kann man sich auch die Frage stellen, wann welche Investments in Punktlösungen zielführend sind und wann nur eine vermeintliche Sicherheit erreicht wird.
Und wenn man sich mit den Zielen beschäftigt, geht es auch um die Frage, ob es hier nur um das Vermeiden von Problemen geht oder ob es nicht auch positive Treiber gibt. Denn derzeit wird die Vermarktung dieser Technologien meist mit einem als „Dealing with FUD“ bezeichneten Ansatz getrieben. FUD steht für Fear, Uncertainty, and Doubt – und genau das scheint meist das wichtigste Marketing-Argument zu sein.
Es geht aber nicht nur um die Vermeidung von Strafen und Problemen. Denn richtig gemacht tragen solche Ansätze auch dazu bei, die IT flexibler für Änderungen zu machen – Nachvollziehbarkeit und definierte Prozesse sind dafür eine Grundvoraussetzung. Und richtig gemacht erhält man über solche Lösungen auch viele Informationen für die IT-Optimierung.
Genau dieser Schritt hin vom Stopfen einzelner Löcher hin zu einer strategischen Lösung wird aber nicht gelingen, wenn man keine klare Strategie für diesen Bereich hat. Die Zielsetzung muss sein, dass man sowohl die abstrakteren Governance-Anforderungen („das korrekte Handeln“) als auch die konkreten Vorgaben für das (IT-) Risikomanagement und Compliance-Anforderungen unterstützt. Das setzt aber ein Gesamtkonzept voraus, mit dem man die Verbindung zwischen übergeordneten Regeln und Anforderungen und den Tools für einzelne Überwachungs- und Steuerungsfunktionen schafft.
Dass wird schon daran deutlich, dass beispielsweise sowohl Anbieter von Identity und Access Management (IAM-) oder GRC als auch die Hersteller von SIEM-Lösungen und Produkten für die Log-Analyse zunehmend spezielle Reports für einzelne Regulierungen anbieten – wie beispielsweise PCI-DSS, einen Standard im Bereich von Kreditkartendaten. Mit anderen Worten: Es gibt mehrere Teilinformationen, die erst miteinander verknüpft werden müssen.
Dabei werden generische GRC-Plattformen, in denen die GRC-Anforderungen abgebildet werden können, immer wichtiger. Diese sind das Bindeglied zwischen Technologien wie IAM, SIEM, DAM oder dem Log-Management. Sie liefern die Gesamtsicht. Für die Details werden zwar spezialisierte Tools benötigt. Nur machen diese Tools auf Dauer nur Sinn, wenn sie sich sinnvoll in ein Gesamtkonzept integrieren lassen.
Die Herausforderung ist derzeit, dass es diese umfassenden GRC-Plattformen so noch nicht gibt. Es gibt aber Initiativen von Herstellern wie Novell, IBM oder CA, Aspekte wie das IAM-bezogene GRC, SIEM und andere Funktionen zu integrieren. Das muss auch die strategische Zielrichtung sein.
Auf dem Weg dorthin gilt es bei der Auswahl von Punktlösungen darauf zu achten, dass diese auch in ein zukünftiges Gesamtkonzept integrierbar sind. Denn viele Punktlösungen sind auf Dauer einfach zu teuer, weil sie die erforderliche konsolidierte Information nicht liefern, gleichzeitig aber zu hohem Aufwand beim Kauf, der Installation, dem Betrieb und der Integration führen.
Bevor man also nun auf die Schnelle Löcher stopft, sollte man sich erst darüber klar werden, wie der Umgang mit den genannten Herausforderungen auf Dauer aussehen soll – und dann gezielt die Teile des Puzzles zusammenfügen, um ein stimmiges Gesamtbild zu erhalten und am Ende möglichst wenig ungenutzte Teile herumliegen zu haben.