Distri-Award
– Jetzt zur Umfrage!

Suchen

Neue Risiken durch Virtualisierung, Cloud Computing und „X as a Service” Warum IT-Security und Compliance neu gedacht werden müssen

| Redakteur: Dr. Andreas Bergler

Die „IT-SECURITY & Compliance Partner Solution Days & IT-Entscheider Kongress 2009“ starten in Kürze. In seiner Keynote auf der Veranstaltung verbindet Prof. Dr. Sachar Paulus IT-Security und Compliance. Warum Compliance eine Quelle für Wertschöpfungsprozesse sein kann, erläutert er im Interview mit IT-BUSINESS.

Firmen zum Thema

Prof. Dr. Sachar Paulus ist unter anderem Honorarprofessor für „Security Management” an der FH Brandenburg.
Prof. Dr. Sachar Paulus ist unter anderem Honorarprofessor für „Security Management” an der FH Brandenburg.
( Archiv: Vogel Business Media )

ITB: Inwiefern ist beim Einsatz von Technologien wie Virtualisierung, Cloud Computing und Managed Services noch ein umfassendes Sicherheitskonzept möglich?

Paulus: Ein solches Konzept ist unter diesen Bedingungen nicht nur möglich, sondern erforderlich. Fakt ist, dass mit dem Einzug von Virtualisierung und Cloud die klassischen Sicherheitskonzepte wie Firewalls, Intrusion Detection Systeme und das Zonenschutzkonzept immer aufwändiger aufrechtzuerhalten sind. Ein Umdenken, auch und gerade bei Sicherheit, ist notwendig. Um dies zu erreichen, muss man sich mit den typischen, für viele IT-ler neuen Bedrohungen und Risiken in einem solchen Szenario auseinandersetzen und passende Maßnahmen einführen. Diese müssen nicht unbedingt teurer sein – sie sind in der Summe häufig sogar günstiger –, wenn man denn nicht den Bestand hätte, der sich noch amortisieren muss ...

ITB: Welche Maßnahmen für eine Compliance-gerechte Infrastruktur empfehlen Sie einem typischen, mittelständischen Unternehmen?

Paulus: Das hängt davon ab, was Sie alles zur Infrastruktur zählen. Geht es um reine Netzwerk- und PC-Infrastrukturen, so ist man mit einem Asset-Management neben den klassischen Produkten wie Firewall, Antivirus und Anti-Spam schon gut bedient. Zählen auch Informationsdienste wie E-Mail oder Content-Management-Systeme dazu, sollte eine Verschlüsselungslösung an Bord sein, eventuell auch eine Archivierungslösung. Gehören auch bestimmte dokumentbasierte Geschäftsprozesse dazu, so sollte über eine Signatur-Lösung nachgedacht werden. In allen Fällen sollte es ein übergreifendes Security-Management geben – etwa nach BSI Grundschutz oder angelehnt an ISO 27001 – sowie ein integriertes Identitätsmanagement. Da treten die allermeisten Probleme, auch bei Mittelständlern, auf.

ITB: Welche Kosten kommen auf die Unternehmen bei Compliance-Projekten zu?

Paulus: Das ist schwer zu schätzen. Wenn Unternehmenslenker alles richtig machen, dann kostet Compliance nichts zusätzlich, denn mit guter Compliance wird automatisch ein integriertes Management-System installiert, welches auch der Qualität zugute kommt. Ob man Compliance „on top“ versteht, hängt von der Reife der Unternehmensstruktur ab. Denkt man dort in Prozessen, werden viele Maßnahmen schon vorhanden sein, und die Kosten für die fehlenden Elemente sind oftmals gering. Bei einem durch Ad-hoc-Entscheidungen getriebenen Unternehmen dagegen sind viele Elemente des Management-Systems gar nicht vorhanden. Hersteller freuen sich, denn diese Unternehmen sind besonders interessant für Nischenlösungen, die kurzfristige Beschwerden lindern, aber langfristig durch Inkompatibilitäten und Konzeptunterschiede die Kosten in die Höhe treiben. Dann können die Kosten für Compliance leicht fünf Prozent des Umsatzes ausmachen.

(ID:2040138)