IT-Security ohne intelligente Security-Management-Systeme oft ein Fass ohne Boden

IT-Security als Managementaufgabe braucht dauerhafte Überwachung und ein Controlling

(01.09.06) - Die steigende Bedeutung der IT und der nach wie vor wachsende Anreiz für die Angreifer führen zu immer mehr sicherheitsrelevanten Ereignissen und damit Datenmengen auf den Sicherheitssystemen. Um dieser riesigen Informationsflut Herr zu werden, suchen laut der Gartner Group viele Organisationen intelligente Security-Management-Systeme. "Die Anwenderunter-nehmen ertrinken praktisch in den Datenfluten, die von den unterschiedlichen Sicherheitsvor-richtungen produziert werden und suchen nach einem einfachen Weg, diese Daten zu korrelieren und sinnvoll zu nutzen“, sagte Mark Nicolett, Vice President bei Gartner Inc. "Eine breite Akzeptanz von Security Information Management-Funktionen wird dann erfolgen, wenn die Technologie auch von Unternehmen mit begrenzten Sicherheitsressourcen installiert und gewartet werden und gleichzeitig an größere, komplexere Umgebungen angepasst werden kann."

"Viele Unternehmen wissen mangels verwertbarer Kennzahlen gar nicht, wie effektiv ihre Investi-tionen in IT-Security und somit auch das Sicherheitsniveau im Betrieb sind", erklärt Dr. Matthias Rosche, Director Consulting bei der Ismaninger Integralis Deutschland GmbH. "Es kann von einem Manager nicht verlangt werden, viel Geld für IT-Sicherheit auszugeben, ohne vernünftige Daten-grundlagen für die Sinnhaftigkeit dieser Ausgaben zu haben. IT-Security als Managementaufgabe braucht dauerhafte Überwachung und ein Controlling. Um hier vernünftige Kennzahlen zu gewinnen, müssen im Grunde nur die Daten ausgewertet werden, die sowieso bereits im Unternehmen vorhanden sind", so der Sicherheitsexperte weiter.

Auch kommt vielfach das Thema "Controlling von Compliance-Vorgaben" in der Betrachtung zu kurz. Denn öfter als man glaubt, haben Unternehmer keine Ahnung, welche rechtlichen und regulativen Vorgaben für sie relevant sind und wie die Anforderungen daraus erfüllt werden können. "Ein sehr dünnes Eis bei Sicherheitsvorfällen und nicht ordnungsgemäßen Abläufen im Unter-nehmen, auf dem sich da so mancher Manager bewegt", mahnt Johann Miller, Geschäftsführer der Integralis

Integralis stützt IT Security Event Management auf drei goldene Regeln: Informationen auswerten, Kennzahlen finden, Entscheidungen treffen (Integralis: ra)