Ich möchte Ihnen heute einen Ausblick im Bereich IT-Security und Information Security für das Jahr 2012 geben. Das Thema ist dermaßen umfangreich, dass ich das in Kürze nicht für alle Themengebiete erledigen kann. Ich werde kurz zu jedem – meines Erachtens – wichtigen Thema darstellen, was uns in etwa erwarten wird.
Hardware:
Multi Function Firewalls – Am stärksten verbreitet sind immer noch ganz normale Legacy Firewall Systeme. Diese sind mittlerweile in die Jahre gekommen und sehr oft abgeschrieben. Frei nach dem Motto „never change a running system“ wurden diese nicht verändert und verrichten immer noch ihren Dienst. Allerdings werden immer mehr funktionale Anforderungen an Firewalls gestellt. Nächstes Jahr werden bedingt durch den Lebenszyklus der Altsysteme viele neue Multi Function Firewalls verkauft. Multi Function Firewalls sind Systeme, die Mehrfachfunktionen neben dem Firewallschutz vorweisen, wie z.B.:
- Antivirus
- Web Application Firewall
- Bandwidth Throtteling
- VPN
- Mobile VPN
- XTM Throughput
- Application Control
Web Application Firewalls – Neben den Multi Function Firewalls werden vermehrt Web Application Firewalls eingesetzt werden. Die Nachfrage nach diesen Systemen steigt stetig. Diese Art der Firewalls haben auf dem Firewallmarkt immerhin schon einen Anteil von ca. 30%. Web Application Firewalls schützen vor speziellen Angriffen, die durch Port 80 über http geschleust werden, und von normalen Firewalls nicht erkannt werden. Die WAF stellt eine Application Level Firewall bzw. Application Level Gateway dar.
Smart Phones – Smart Phone Security wird 2012 ein sehr großes Thema. Hersteller kommen uns derzeit schon mit vielen Verbesserungen entgegen (siehe Android 4.x), dennoch sind diese Art der Systeme aktuell sehr stark im Einsatz. Unternehmen, die eine breite Smartphone-Infrastruktur integriert haben, schreien förmlich nach Sicherheitslösungen und zentralen Verwaltungs- und Überwachungslösungen für ihre mobilen Telefone. Wer Android einsetzt, wird gehalten sein, seine OS-Levels auf einen Nenner zu bringen und zu standardisieren, und die autorisierten User-Apps zentral freizugeben. Diejenigen, die eine i-Infrastruktur (iPhone, iPAd) nutzen, werden weniger zu tun haben, doch höhere Kosten produzieren, und werden unflexibler enden, als Android-Fans. Für alle gilt, dass gut administrierbare einheitliche Lösungen gegen Malware und den erweiterten Schutz für Smart Phones gesucht werden, die mit der bestehenden IT-Infrastruktur interoperabel sind.
Software:
Datenschutzmanagementsysteme – Der Datenschutz ist in unseren Breiten schwer vernachlässigt. Die Novellierung des Datenschutzgesetzes liegt schon ein wenig zurück. Nicht allzu viel ist bisher in den Unternehmen geschehen. BDS – betriebliche Datenschutzbeauftragte pflegen immer noch ihre Verfahrensverzeichnisse auf diverse Arten und Weisen um ihren Berichts-, Kontroll- und Unterrichtungspflichten nachzukommen. Vom Excel-Sheet bis zur eigenentwickelten Software wird alles eingesetzt. Nächstes Jahr werden Datenschutzbeauftragte (und ihre Teams) stärker nach ganzheitlichen Datenschutzmanagementsystemen Ausschau halten. Wert wird insbesondere darauf gelegt, Schnittstellen zu den vornehmlich drei Bereichen Informationssicherheit, IT-Risikomanagement und Compliance zu haben. Ganz dringend gefordert auf dem Markt sind Managementsysteme, die die Dokumentation eines Datensicherheitskonzepts und Datenschutzkonzept konsolidieren. Beide Bereiche dokumentieren zu 80% gleiches. Das ist unnötig und ist im Zuge der Effizienz zu konsolidieren. Viele Unternehmen haben sich diesbezüglich eigene Systeme gebaut. Diese konsolidieren immerhin die verschiedenen Dokumentationen, allerdings ist die Handhabung meist steinzeitlich, auch stimmt die Integrität der Daten nicht immer, da die manuellen Systeme meist keine Kontrollfunktion bereitstellen.
Virtuelle Desktops stellen im Unternehmen die konsequente Weiterentwicklung der Server- und Speichervirtualisierung dar. Dabei wird anstatt einer einzelnen Komponente oder Applikation der komplette PC-Desktop in einem Rechenzentrum virtualisiert. Virtualisierungssoftware kann somit Server-basierend die Thin Clients zu einer leistungsfähigen und kostengünstigen Infrastruktur verbinden. Die Nachfrage nach Desktopvirtualisierung wird 2012 viel größer sein, als die nach Servervirtualisierung. Lösungen dieser Art haben einen großen Vorteil, vor allem für die Sicherstellung der Verfügbarkeit. Eine im RZ konsolidierte virtualisierte Desktop-Infrastruktur führt dazu, dass Unternehmen sichere, isolierte Desktops bereitstellen können, die ohne Unterbrechung zur Verfügung stehen. Und jeder Thin Client ist zentral organisiert und von überall im Netzwerk erreichbar. Hier spielen viele Compliance- und Datenschutz-Themen eine Rolle, die sicherlich in 2012 die grauen Zellen der Sicherheitsbeauftragten stärker als bisher fordern werden. Der „call for good concepts“ ist eröffnet.
Service:
Cloud Computing steht im Vordergrund. Cloud Computing wird nächstes Jahr stark anziehen, speziell im Mittelstand. Die Cloud Thematik ist breit gefächert. Dennoch wird ein Thema ganz stark die meisten (meist mittelständischen und kleineren) Unternehmen beschäftigen. Es ist die Standardisierung Ihrer IT. Viele Firmen wechseln ohne gründliche Vorbereitung in das Cloud Computing, und wundern sich im Verlauf des Projektes, dass viele Ziele nicht erreicht werden können, und dass alles wesentlich mehr kostet. 2012 ist ganz klar angesagt, auch die IT-Sicherheit im Zuge der ganzheitlichen Standardisierung als Vorbereitung für das Cloud Computing zu standardisieren. Ein weiterer Schwerpunkt in der Cloud ist das Etablieren von Cloud-Systemen – und Anwendungen zu Zwecken der Kassenzahlung in Hotels und der Gastronomie. In Zukunft übernehmen Systeme aus der Cloud die Funktionen des Kellners, bei dem man seine Rechnung zahlen möchte, in dem man ein Device auf dem Tisch stehen hat, in das man seine Bestellung eingibt und man zahlt per Modem. Im Hotel wird dies entsprechend ein Device auf dem Zimmer sein. Zahlen an der Rezeption entfällt.
Security as a Service wird 2012 wieder stärker anziehen. Viele Hersteller stehen in den Startlöchern und sind gut vorbereitet, haben Top-Dienstleistungen entwickelt, die zum Verkauf stehen. Einige kommen wie gerufen. Somit werden sich Security Dienstleistungen im Bereich Security Monitoring und Event Management, Data Leakage Prevention, Audit und – ganz stark wieder im Kommen – aktives (Kontrollkreislauf) Schwachstellenmanagement und -scanning, wieder prima verkaufen. Der Preis ist so gut, dass ein „do it yourself“ völlig daneben ist, es sei denn, es gibt Compliance Anforderungen, die einen derartigen ausgelagerten Service verbieten.
Urban Solutions – Fukushima hat gezeigt, dass Area Disaster schnell einen Strich durch geplante Disaster Recovery Sites machen, die ca. 15km auseinanderliegen. Urban Solutions in Ballungszentren werden zu erstellende Anstrengungen und Konzepte in 2012 sein, die derartiges verhindern sollen. Hier spielt die IT- und IT-Sicherheit eine große Rolle, da zur Steuerung von z.B. Städten viele Computer im Einsatz sind, für die z.B. Stromerzeugung, Wasserwirtschaft, Kanalisation, und Verkehrsleitsysteme. Viele Komponenten unserer urbanen Infrastruktur, die betroffen sind, gilt es zu schützen.
Identity Management muss in 2012 von vielen angepackt werden. Zum einen erfordert dies die Standardisierung im Zuge von Cloud Computing, aber auch Webapps, die wir täglich allesamt aus dem Internet nutzen (sei es Homebanking oder eine Online-Videothekenservice), taugen in Bezug auf ihre Benutzerfreundlichkeit im Sinne eines Identity Management nichts, und fordern neue Wege.
Data Leakage Prevention Systeme werden 2012 immer stärker, nach und nach, klassische Event Management Systeme ablösen. Das hat mehrere Gründe, vor allem aber, dass Event Management Systeme wie ArcSight ESM oder NetIQ‘s Security Logmanager zwar die IT und deren Spezies völlig befriedigen können, aber die Business Schnittstelle völlig außer Acht lassen. Anders ist das bei Data Leakage Prevention Systemen. Zum einen können sie ähnliche Daten berichten wie ESM-Systeme, aber beziehen die Businessebene administrativ und berichtend völlig mit ein, und können sogar einen unberechtigten Zugriff nach der guten Lehre des Kontrollkreislaufs verhindern. Von daher haben Sie den hochspezialisierten Event Management Systemen mittlerweile einiges voraus. Die Datenflut eines ESM-Systems ist in der letzten Zeit so stark über das Maß gestiegen, dass sehr stark gefiltert werden muss, um überhaupt noch nützliche Daten aus einem ESM-System zu erhalten. Auch ist das Arbeiten mit dem reinen Text-Log-Record-Entry völlig out. Gefragt sind gute und vielseitige visuelle Anzeigen. Mein Tipp, Data Leakage Prevention.
Revisionssichere Auditierung privilegierter IT-Zugriffe muss ich unmittelbar nach Data Leakage Prevention ansprechen. DLP kann dies schon. Wer sich aber keine DLP-Systeme leisten möchte, der wird in 2012 stärker kleinere und einfachere Systeme zur revisionssicheren Auditierung privilegierter Zugriffe einsetzen. Hier kommt das Triggering dazu wieder aus dem Cloud Computing als vorbereitende Maßnahme für das „Cloudsourcing“.
Meta-Authentifizierung und mobile Authentifizierung (Roaming) sind wichtige Themen, über die man sich zumindest in 2012 stärker Gedanken machen wird. Diese Funktionalitäten sind im Rahmen des Cloud Computings und der Erweiterung der Smartphone-Infrastrukturen mehr gefragt denn je. An Roaming Authentication Concepts wird gerade an vielen Unis auf der Welt gearbeitet, die ersten Produkte liegen schon im Beta vor. Roaming Authentication ist eine Meta-Authentifizierung, bei der die Autorisierungsinstanz, die eine Authentifizierung durchführen kann, mobil ist, und von Server zu Server hüpfen kann, wenn sie autorisiert wurde das zu tun.
Gesundheitssysteme – hier speziell deren Lebenszyklus interessiert uns alle wieder mehr in 2012. Ganzheitliche Konzepte und Ansätze sind gefragt, nicht Alleingänge wie z.B. „nur“ eine neue Gesundheitskarte sind gefragt. Zusammengefasste Systeme bedeuten mehr Daten, die konsolidiert verarbeitet werden. Somit müssen wir mit guten, starken und sinnvollen Konzepten aus der Sicherheit unterstützen.
Soziale Netzwerke werden immer mehr Telefonie und Emailsysteme ersetzen. In wenigen Jahren kommuniziert die Welt nur über soziale Netzwerke. Dieser Trend ist so sicher wie das Amen in der Kirche. Derzeit beschränken wir uns darauf Policies zu etablieren, wie Soziale Netzwerke genutzt werden sollen im Betrieb. Das wird nicht reichen. Zum einen reicht die organisatorische Maßnahme schon lange nicht mehr, zum anderen müssen wir die organisatorische Policy in die technische Praxis umsetzen, und müssen die betrieblich erlaubten Zone mit der privaten Zone gut in Einklang bringen, denn die Menschheit wird in Zukunft nicht mit mehreren Smartphones herumlaufen. Es wird die betriebliche oder private Device für beide Umgebungen genutzt werden. Genau dafür müssen gute Konzepte aus der Sicherheit entwickelt werden, damit betrieblich privat nicht blockt und umgekehrt. Man möchte ja auch als Unternehmen den maximalen Nutzen einer solchen Lösung.
Risikomanagement:
Ganzheitliches Risikomanagement wird trendy. Immer mehr Unternehmen setzen endlich Software für das (IT-)Risikomanagement ein. Das hat lange gedauert, und es fängt erst an. In 2012 wird es einen Anstieg an Käufen von Risikomanagement-Tools geben. Und das ist sehr empfehlenswert.
Management:
Verändernde Rolle des CIO – Die Aufgaben des CIOs werden sich ändern. Viele schimpfen ihn schon Cloud Information Officer. Genau darum geht es. Er wird in Zukunft mehr der Selektor eines Cloud Services, als der Erbauer einer IT-Infrastruktur. Ähnlich geht es dem Sicherheitsbeauftragten. Viele werden im Rahmen des Cloud Computings ihren Job verlieren, und sollten sich ein zweites Standbein suchen. Nicht alle können vom Cloud Computing Anbieter übernommen werden, wie es früher beim Outsourcing üblich war, ok ok ok, so kurz vor Weihnachten war das ein schlechter Witz, ist gut. Ist natürlich gelogen…aber nicht so ganz…leider…