|
|
SicherheitskonzepteWorauf sollten Sie bei der Wahl von Internet-Sicherheitslösungen für Ihr Unternehmen achten.
Brauchen wir das Internet- ja wir brauchen es sofortTausende Unternehmen reißen sich darum, online zu gehen. Wenn Ihr Unternehmen auch dazu gehört, ist dieser Teil der Doku genau richtig für Sie. Es behandelt die folgenden Aspekte:
Analysieren Sie ihr/e System/ SituationDie Situation: Ein LAN-Administrator ist gerade mit irgend etwas beschäftigt, als eine Gruppe von Leuten aus der Verwaltung auftaucht. Sie wollen, dass das Unternehmen ins Internet geht und sie wollen es gestern. In diesem Moment wird das Leben des LAN-Administrators auf den Kopf gestellt. Tatsache ist, dass manche Netzwerk-Spezialisten nicht viel über Sicherheit im Internet wissen. Das Thema ist komplex und wenn Sie keinen bestimmten Grund haben, sich damit zu beschäftigen, ist es komplette Zeitverschwendung. Wo fangen Sie also an?
Automatische Erkennung von Angriffen mittels Intrusion DetectionEine Intrusion (Eindringen) wird wie folgt beschrieben: ”Eine Menge von Handlungen, deren Ziel es ist, die Integrität, die Verfügbarkeit oder die Vertraulichkeit eines Betriebsmittels zu kompromittieren””. Allgemeiner gefasst kann man unter einer Intrusion die absichtliche Verletzung der Sicherheitsmaßnahmen eines System verstehen. Das Ziel der Intrusion Detection (ID) ist es, diese Verletzungsversuche zu erkennen, sie für den die Systemsicherheit zuständigen Personen zu melden und geeignete Gegenmaßnahmen zu treffen, bzw. das System für Intrusions- Gegenmassnahmen (Intrusion Response System, IRS) mit geeigneter Information über den Angriff zu versorgen.
Grundlegende BegriffeEin Intrusions- Erkennungssystem (IDS) besteht aus den
folgenden drei Hauptkomponenten:
Die oben aufgeführten Komponenten können noch weiter verfeinert werden. Dies führt auf der einen Seite zu einer Menge von Design-Alternativen, auf der anderen Seite zu unterschiedlichen Funktionalitäten eines ID-Systems. Die möglichen Verfeinerungen des ID- Grobentwurfs führen zu einem Klassifikationsschema für ID- Systeme.
DatensammlungFür den Erfolg eines ID- Systems ist es wichtig, aus welcher Quelle die Daten zur Intrusionerkennung genommen werden. Die beste Analysekomponente ist wirkungslos, wenn ihr nicht in ausreichendem Maße Daten zu Verfügung stehen. Folgende Datenquellen können unterschieden werden:
Auditdaten aus verschiedenen Systemeinheiten. Die Audit- Datensätze enthalten Meldungen und Statusinformation auf hoher Abstraktionsebene (z.B.: ”Wer hat sich angemeldet?” oder ”Wann traten Schutzverletzungen auf?”). Die Audit- Datensätze spiegeln einen chronologischen Ereignisstrom wider. Es ist extrem schwierig, gute Audit- Datensätze zu erzeugen. Sowohl zu große als auch zu kleine Protokolldatenmengen erschweren die Analyse. Im Hinblick auf ein ID-System sind TCSEC C2+ Auditdaten besser geeignet als die Protokolldaten eines IBM Mainframe Überwachungssystems. Viele Auditsysteme erzeugen große Datenmengen, die nur
einen beschränkten Wert für ID-Systeme haben. Ältere
Betriebssystemgenerationen beinhalten eine viel zu schwache
Sicherheitsarchitektur. Infolgedessen werden auch sicherheitskritische
Ereignisse nicht hinreichend detailliert protokolliert. Sinnvolle Quellen für
ID-relevante Auditdaten sind:
Betriebsmittelvergabe durch das Betriebssystem. Hier sind Paramter wie CPU-Auslastung, Ein-/Auslagerungsrate des virtuellen Speichers, Anzahl aktiver Netzverbindungen etc. interessant. Netzverkehrsdurchsatz. Hier sind Parameter wie Quell- und Zieladresse eines Pakets, sowie der Quell- und Ziel-Port interessant. Auch können die bei den verschiedenen Protokollen zu wählenden Optionen (z.B. Source Routing, SYN-Bit etc.) für das ID-System von Interesse sein. Werden Auditdaten auf einer höheren Abstraktionsebene gesammelt, z.B. von einem Proxy-Server, so bedingt dies zwangsweise den Verlust der Daten auf niedrigerer Ebene. Als Folge können viele der in 2.3.2 besprochenen Angriffe nicht erkannt werden. Es ist daher notwendig, Daten auch auf niedrigen Ebenen zu sammeln, zumal diese Ebenen nur sehr schwache Sicherheitsmechanismen haben.
DatenanalyseDer tatsächliche Erkennungsprozess findet in der Analysekomponente des IDS statt. Hier gibt es zwei unterschiedliche Techniken: Missbrauchserkennung (misuse detection, auch als Signaturanalyse bezeichnet) und Anomalieerkennung. Während die Missbrauchserkennung versucht, bekannte Angriffe zu identifizieren, hat Anomalieerkennung das Ziel, die unmittelbaren Folgen eines Angriffs zu erkennen. Damit ist es, zumindest vom Ansatz her, mittels Anomalieerkennung möglich, das System auch vor noch unbekannten Angriffen zu schützen.
MissbrauchserkennungDieser Ansatz versucht, in den Auditdaten die für bekannte Angriffe typischen Muster zu erkennen. Hier finden häufig ”String Matching”-Algorithmen Anwendung: Der Datenstrom wird auf ein bestimmtes Muster hin untersucht. Hierbei ist noch nicht spezifiziert, wie mächtig dabei die Sprache zur Beschreibung des zu suchenden Musters sein kann. Die Missbrauchserkennung stellt gewisse Anforderungen an den
zu erkennenden Angriff:
Die Angriffsmuster werden in einer so genannten Signaturdatenbank gespeichert. Diese Datenbank bildet die zentrale Komponente des Missbrauchserkennungssystems.
AnomalieerkennungDieser Ansatz basiert auf der Überlegung, dass ein Angriff
ein atypisches Systemverhalten (Anomalie) erzeugt, wodurch er erkannt werden
kann. Um solche Abweichungen vom Normalverhalten festzustellen, ist es zunächst
notwendig, innerhalb des zu schützenden Systems festzulegen, was ”normales
Verhalten” ist. Das Wissen um das normale Verhalten leitet sich aus dem
bisherigen Benutzerverhalten ab. Hierzu gibt es unterschiedliche Verfahren: 1. Statistische Ansätze Das System versucht hierbei zu einer vorgegeben Parametermenge (CPU-Auslastung, Seitenwechselrate etc.) zunächst die Normalwerte zu bestimmen. Dies können zustandsunabhängige Mittelwerte sein (die CPU-Auslastung ist immer bei 20 %). Es kann sich aber auch um zustandsabhängige Werte handeln (bedingte Wahrscheinlichkeiten). Sobald ein Parameter sich außerhalb des für ihn als normal
definierten Bereichs bewegt, wird ein Alarm ausgelöst. Optional kann angegeben
werden, wie hoch die Abweichung vom Normverhalten ist. 2. Logische Ansätze In den statistischen Ansätzen spiegelt sich die zeitliche Abfolge von Ereignissen nicht in den Parametern wider. Eine vom Normverhalten abweichende Abfolge von Ereignissen kann aber genauso aufschlussreich sein wie Statistiken. Logische Ansätze zur Anomalieerkennung berücksichtigen daher die zeitliche Abfolge von Ereignissen und beschreiben das Normverhalten anhand von Regeln. Entsprechende Systeme betrachten bestimmte Ereignisfolgen als typisch. Beobachtet das System den Anfang einer gewissen Ereignisfolge, so erwartet es, daß auch der Rest der Ereignisfolge abläuft. Ist dies nicht der Fall, wird das beobachtete Systemverhalten als anomal bewertet.
ErgebnisdarstellungDie Aufgabe der Ergebnisdarstellungskomponente ist es, die
Ausgabe der Datenanalyse benutzergerecht zu präsentieren. Dazu gibt es in
Abhängigkeit der Datenanalysemethode verschiedene Möglichkeiten.
· Anomalieerkennungssysteme bieten sogenannte Verdachtsbewertungen (suspicion values) an, die angeben, wie stark das aktuelle Verhalten vom Normalwert abweicht. In Abhängigkeit dieses Wertes können unterschiedliche Benachrichtigungs- bzw. Alarmierungswege gewählt werden. Eine weitere wichtige Komponente ist die lokale Darstellung
der Analyseergebnisse. Mittels einer grafischen Benutzeroberfläche können die
Ergebnisse anwenderfreundlich dargestellt werden. Neben dieser
bildschirmorientierten Präsentation können Ergebnisse wie z.B. ein Alarm auf
unterschiedliche Weisen an den Sicherheitsbeauftragten weitergeleitet werden:
Zusammentragen von InformationenDer erste Schritt ist wahrscheinlich der schmerzhafteste. Bevor Sie Berater kontaktieren oder Sicherheitslösungen einkaufen, sollten Sie zunächst einmal Informationen über Ihr Netzwerk sammeln:
Danach sollten Sie ein Modell der Vertrauensverhältnisse in Ihrem Unternehmen aufstellen. Stellen Sie in diesem Modell Benutzer- und Rechnerprivilegien und Vertrauensbeziehungen dar. Es lohnt sich, dies in grafischer Form zu tun, falls Sie es anderen präsentieren müssen. Diese Informationen sollten zusammen mit den folgenden Dingen in einen Ordner gesteckt werden:
Diese Informationen stellen Ihnen eine wertvolle Wissensbasis zur Verfügung. Von hier ausgehend können Sie bestimmen, welche Produkte und Dienstleistungen Sie brauchen. Außerdem werden Sie in der Lage sein, sämtliche Fragen seitens Beratern oder Anbietern zu beantworten. Der nächste Schritt besteht nun darin, herauszufinden, wo Sie diese finden.
ZertifizierungenEin Ansatz ist es, Ihr System von einem anerkannten Team von Experten prüfen und zertifizieren zu lassen. Nachdem Ihr System untersucht wurde, erhält es ein Sicherheitszertifikat. Im nächsten Abschnitt finden Sie einige Unternehmen, die Zertifizierungen durchführen. Coopers & Lybrand L.L.P., Resource Protection Services (USA)Coopers & Lybrand L.L.P., Resource Protection Services Tel.: +1-800-639-7576 E-Mail: Bruce.Murphy@us.coopers.com Die Coopers & Lybrand's Resource Protection Services Group besteht aus den Information Technology Security Services und den Business Continuity Planning (BCP) Services. Ihre Experten bieten eine ganze Reihe von Sicherheits- und BCP- Leistungen, wie Sicherheitsimplementierung, Electronic Commerce und Kryptographie, technische Sicherheitsanalyse und -design, Testangriffe, Sicherheitsmanagement und Business Continuity Planning mit Hilfe ihrer als Marke angemeldeten CALIBER- Methodik.
Die Abteilung Information Technology Security Services hat sich auf Tests und Zertifizierungen für die folgenden Gebiete spezialisiert:
Coopers & Lybrand bietet Sicherheit sowohl für große als auch für kleine Unternehmen. Zum Beispiel hat C&L die Zertifizierung von Windows NT 4.0 für Microsoft übernommen. The American Institute of Certified Public Accountants (AICPA)American Institute of Certified Public Accountants Tel.: +1-212-596-6200 Fax: +1-212-596-6213 Das American Institute of Certified Public Accountants (AICPA) hat das WebTrust- Zertifizierungssystem entwickelt. Während des WebTrust- Zertifizierungsprozesses evaluieren in Datensicherheit geschulte CPAs (Wirtschaftsprüfer) ihr System anhand folgender Aspekte:
Bei erfolgreicher Zertifizierung erhalten Sie ein VeriSign- Sicherheitszertifikat und das WebTrust- Zertifizierungssiegel. Das WebTrust- Siegel teilt potentiellen Kunden mit, dass ein CPA die Geschäftspraktiken und -kontrollen des Betreibers einer Website evaluiert hat und bestimmt hat, dass sie konform gehen mit den WebTrust- Prinzipien und -Kriterien für Business- to- Customer Electronic Commerce. Außerdem verweist das Siegel auf einen Bericht mit dem Inhalt, dass die mit den WebTrust- Kriterien konformen Prinzipien befolgt werden. Diese Prinzipien und Kriterien reflektieren grundlegende Standards für Geschäftspraktiken, Transaktionsintegrität und Datenschutz.
Das WebTrust- System ist einer Wirtschaftsprüfer-Zertifizierung Ihrer Unternehmensvermögen, -gewinne und -verluste ganz ähnlich. Die Zertifizierung erfolgt durch die Unterschrift und Versicherung eines ausgebildeten Experten in einem bestimmten Fachgebiet. AICPA ist auch der führende Anbieter von Schulungen für CPA-Unternehmen im Bereich der IT- Sicherheit und -integrität. AICPA hat den Bedarf für Zertifizierungsdienste im Bereich Electronic Commerce früh erkannt und erreicht mit seinen Schulungen allein in den USA etwa 300.000 IT- Sicherheits- und Finanzexperten. International Computer Security Association (früher NCSA)International Computer Security Association Tel.: +1-717-258-1816 E-Mail: info@icsa.net Die International Computer Security Association (früher bekannt als National Computer Security Association) ist der größte Anbieter für Computersicherheit- Zertifizierungsverfahren. Ihre Mission ist eine Erhöhung des öffentlichen Vertrauens in Computersicherheit durch ein Programm zur Zertifizierung von Produkten und Dienstleistungen. Neben der Zertifizierung für Produkte bietet die ICSA auch Zertifizierungsverfahren für Netzwerke. Dies geschieht mit Hilfe ihres TruSecure- Programms, ein Service, der das Testen und Zertifizieren Ihrer Web-Server und Firewalls sowie der Arbeitsabläufe Ihres Netzwerks beinhaltet. Nach Abschluss des Zertifizierungsverfahrens erhält Ihr Unternehmen ein Sicherheitssiegel von ICSA.COM, der Ihr Netzwerk zertifiziert. Außerdem ist ICSA die Nummer eins unter den Zertifizierungsunternehmen im öffentlichen Bereich. ICSA prüft und bescheinigt alle der folgenden Produkte:
Zertifizierung als eine Garantie bei HaftungsfragenDas Problem in Hinsicht Zertifizierung ist die Höhe der Kosten. Eine Zertifizierung ist nicht unbedingt eine Garantie für Sicherheit. Sie zeigt vor allem, dass Ihr Unternehmen sich in punkto Sicherheit Gedanken macht. Dies kann ein kritischer Punkt sein, wenn Sie nicht nur für den Schutz Ihrer eigenen Daten, sondern auch der Daten anderer verantwortlich sind. Wenn es bei Ihnen zu einem Sicherheitsloch kommt und vertrauliche Daten von Ihrem Server entweichen, werden Sie wahrscheinlich einem Prozess entgegensehen. Denken Sie an das AOL-Debakel vor einiger Zeit. Ein Marine-Offizier mit 17 Jahren Erfahrung hatte einen Account bei America Online. In seiner persönlichen Darstellung (unter seinem Decknamen) gab er als Familienstand »Homosexuell« an. Ein Marine-Untersucher kontaktierte zu einem späteren Zeitpunkt AOL und verlangte die Herausgabe der wahren Identität, die hinter diesem AOL-Profil steckte. Beschäftigte von AOL gaben daraufhin den richtigen Namen des Offiziers heraus. Die Marine entließ in der Folge den Offizier mit der Begründung, dass er die »Nichts fragen, nichts sagen «- Richtlinie des Militärs verletzt habe. Es scheint, dass AOL seine eigenen Richtlinien in punkto Privatsphäre verletzt hat. Es wird sicherlich zu einem Gerichtsverfahren kommen. Zwar betrifft der AOL-Fall nicht das eigentliche Eindringen in ein Netzwerk, aber er dient doch als Warnung. Wenn Sie es versehentlich zulassen, dass vertrauliche Daten herauskommen, können Sie sich sehr schnell vor Gericht wieder finden. Zertifizierung kann Ihrer Verteidigung nützlich sein, da sie Ihre Sorgfalt in punkto Sicherheit beweist. Abgesehen von theoretischen und moralischen Aspekten der ganzen Angelegenheit wird die Anklage im realen Leben Schwierigkeiten haben, einen Fall von Fahrlässigkeit zu beweisen, wenn Sie vorweisen können, dass Ihr Unternehmen die besten erhältlichen Standards einsetzte, als (und unmittelbar bevor) das Sicherheitsloch entstand.
Wo gibt es Schulungen?Ein anderer Weg zur Sicherung Ihres Systems ist es, Ihr eigenen Mitarbeiter zu schulen. Ich favorisiere diese Lösung, weil sie eine kluge Investition darstellt. Außerdem sind unternehmensinterne Sicherheitslösungen fast immer eine bessere Idee. Generelle SchulungenDieser Abschnitt listet einige Anbieter für generelle Schulungen zum Thema IT- Sicherheit auf:
Lucent Technologies, Inc.Lucent Technologies, Inc. Tel.: +1-800-288-9785 Lucent Technologies bietet Schulungen zu den Themen Netzwerk-Sicherheit, Firewalls (vor allem die Lucent Managed Firewall) und Netzwerk-Management. Teilnehmer, die eine Lucent- Schulung abschließen, erhalten ein Lucent Technology Security Administration-Zertifikat.
Great Circle Associates, Inc.Great Circle Associates, Inc. Tel.: +1-800270-2562 Fax: +1-650-962-0842 Great Circle Associates bietet technische Vor-Ort-Schulungen in den folgenden Bereichen:
Great Circle Associates ist eine wichtige Quelle für Schulungen und Beratungen auf dem Gebiet sichere Netzwerkarchitektur und -design. Brent Chapman, der Präsident des Unternehmens, ist der Autor von Building Internet Firewalls, einem Industrie-Standardwerk für Netzwerk-Administratoren.
Learning Tree InternationalLearning Tree International Kontakt: Linda Trude Tel..: +1-800-843-8733 Fax: +1-800-709-6405 E-Mail: uscourses@learningtree.com Learning Tree bietet viertägige praxisnahe Intensivkurse über Unix-Sicherheit, Windows- NT-Sicherheit, Internet/Intranet-Sicherheit und Firewalls sowie mehr als 130 weitere IT- Themen. Der wichtigste Firewall-Kurs ist »Deploying Internet and Intranet Firewalls: Hands-On«, der die folgenden Aspekte umfaßt:
NSC Systems Group, Inc.NSC Systems Group, Inc. Tel.: +1-800-414-8649 Fax: +1-770-396-1164 E-Mail: kellim@nscedu.com NSC System Group bietet einige sehr attraktive Schulungen in den folgenden Bereichen an:
Training On VideoTraining On Video Tel.: +1-800-408-8649 E-Mail: web@trainonvideo.com Training On Video bietet ein interessantes Produkt namens Internet Security Solutions Video. Diese Videopräsentation von 4½ Stunden Dauer wird von dem bekannten Sicherheitsspezialisten H. Morrow Long geleitet (Long ist für die Sicherheit der Yale University verantwortlich). Hier sind einige der Themen, die in der Videopräsentation behandelt werden:
Fortgeschrittenere SchulungenWenn Sie sehr sensible Daten schützen müssen, brauchen Sie Industrie- intensive Schulungen . Hierfür empfehle ich Ihnen die Sytex, Inc. oder die Syracuse Research Corporation. Sytex, Inc.Sytex, Inc. Tel.: +1-410-312-9114 Fax: +1-410-312-9118 E-Mail: lmasser@sso.sytexinc.com Sytex, Inc. ist ein Internet- Sicherheits-/Informationskriegs-Unternehmen, das (neben anderen Dingen) fortgeschrittene IT-Sicherheitsschulungen bietet. Zu den erwähnenswerten Sytex- Kunden gehören:
Sytexs Angebot beinhaltet die vielleicht umfassendsten Schulungen im Bereich IT- Sicherheit in ganz Amerika, darunter zwei Kurse, die eingerichtet wurden, um den speziellen Bedarf für Gesetzeshüter, Geheimdienstoffiziere und Systemadministratoren zu decken. Die Kursteilnehmer lernen Details darüber, wie Netzwerke arbeiten und wie Eindringlinge diese Netzwerke ausbeuten. (Die Kurse wurden auf Anfrage einer wichtigen amerikanischen Untersuchungsbehörde eingerichtet. Derzeit werden über 200 Spezialagenten im Rahmen dieser Kurse geschult). Was die Sytex- Kurse wirklich von anderen abhebt, ist die Tatsache, dass die Teilnehmer mit realen Vorfällen, Protokollen und Crackern umgehen müssen. In dieser praxisnahen Umgebung lernen die Teilnehmer, ihr Wissen in einer praktischen und effektiven Art und Weise anzuwenden. (Es geht doch nichts über reale Lebenserfahrungen.) Sytex bietet Schulungen auf den folgenden Gebieten an:
Web- Hosting als Lösung?Eine andere Möglichkeit besteht darin, es ganz und gar zu vermeiden, eigene Server zu betreiben. Vielleicht brauchen Sie ja nur zwei oder drei Domains und ein Extranet für Ihre Kunden. Wenn das so ist, sollten Sie Web- Hosting in Betracht ziehen. Web- Hosting heißt, dass Ihre Server in den Büros eines Internet Service Providers stehen. In diesem Fall zahlen Sie eine monatliche Gebühr und der Provider ist für die Sicherheit der Site verantwortlich. Es gibt erhebliche Unterschiede in der Höhe der Gebühren für Web- Hosting, abhängig von den Services, die Sie brauchen. Zusätzliche Gebühren können entstehen, wenn Sie die maximale Bandbreite überschreiten oder spezielle Services benötigen. Wenn Ihr Unternehmen nicht mehr will, als Informationen für die Öffentlichkeit zur Verfügung zu stellen, ist dies der Weg, den Sie gehen sollten. Sie vermeiden dadurch viele Kosten, die durch die Wartung Ihrer eigenen Server entstehen würden, darunter:
Außerdem haben die meisten Internet Service Provider die nötigen Mittel für sichere Kreditkarten-Transaktionen, Kreditkartenabrechnung, VPNs, Extranets, EDI und andere Schlüsselkomponenten in Bezug auf Electronic Commerce zur Hand. Sie können eine Menge Geld sparen, wenn Sie ihr Wissen und ihre Erfahrung nutzen.
Externe Sicherheitsberater in Anspruch nehmen!!!Wenn Ihr Unternehmen dagegen eigene Server haben muss, können Sie trotzdem viele sicherheitsrelevante Aufgaben auslagern. Bevor Sie jedoch einen beträchtlichen Betrag in einen Sicherheitsberater investieren, sollten Sie ein paar Dinge wissen. Der Sicherheitssektor ist in der letzten Zeit explodiert. Einige Schätzungen gehen von einer Steigerungsrate von 500 % für den Sicherheitsmarkt innerhalb der nächsten drei Jahre aus. Der Sicherheitsbereich unterscheidet sich jedoch von anderen Bereichen, z.B. Medizin oder Jura. Es gibt in diesem Bereich keinerlei Dokumente, die einen Sicherheitsexperten auch als solchen ausweisen. Natürlich gibt es Zertifizierungsprogramme und Sie werden vielleicht hören, dass dieser Berater ein zertifizierter Microsoft-Ingenieur ist oder ein anderer CNE. Das ist toll, aber es gibt Ihnen keinerlei Garantie, dass diese Leute Ihre Site tatsächlich schützen können. Direkt gesagt geben sich viele Unternehmen jeder Art und Größe als Sicherheitsexperten aus, eben weil der Markt so lukrativ ist. Leider sind viele der so genannten Sicherheitsspezialisten gar keine, sondern haben lediglich große Erfahrung im Netzwerkbereich. Wenn Sie uneingeschränkte Mittel zur Verfügung haben, können Sie eine der großen, anerkannten Sicherheitsunternehmen als Berater verpflichten. Ist Ihr Unternehmen jedoch eher klein, werden Sie ein kleineres, weniger bekanntes Unternehmen zur Beratung heranziehen müssen. Das bringt uns zu einem anderen Punkt: den Kosten.
Was sollte das kosten?Wie viel sollte Sicherheit kosten? Das hängt von Ihren speziellen Bedürfnissen ab. Hier sind Faktoren, die die Höhe der Kosten beeinflussen:
Lassen Sie uns jeden Faktor kurz anschauen.
Ihre Netzwerk-ArchitekturEin homogenes Netzwerk mit einheitlichen Applikationen wird Ihre Kosten senken. Tipp:
Der Grund dafür besteht darin, dass Sicherheitsrichtlinien und -maßnahmen einfach auf das gesamte System dupliziert werden können. Sogar bestimmte Betriebssystem-Kombinationen können mit einem Pauschalangebot abgedeckt werden. Es existieren beispielsweise Tools, die Management und Sicherheit von NT und Netware gleichzeitig zentralisieren können. Umgekehrt werden sich Ihre Kosten für Sicherheit natürlich erhöhen, wenn in Ihrem Netzwerk viele verschiedene Betriebssysteme laufen, da dann ein Sichern viel komplexer wird. Ihr Sicherheitsteam muss dann vielleicht Hilfe von außen in Anspruch nehmen. Unix-Spezialisten beispielsweise wissen möglicherweise so gut wie nichts über MacOS. Wenn sie auf ein ganzes Netzwerk-Segment treffen, das aus Macintosh-Rechnern besteht, müssen sie möglicherweise einen weiteren Spezialisten hinzuziehen. Oder es kann sein, dass Ihre Berater sich dazu gezwungen sehen, zumindest einige Proprietäre Codes einzusetzen: ihre eigenen. Das bringt uns zu einem anderen Faktor, der die Höhe der Kosten beeinflusst: Ihr Vertrauen in Proprietäre Lösungen.
Ihr Vertrauen in proprietäre LösungenIch kann Ihnen genau sagen, was ein Sicherheitsteam nicht hören will: » Der Programmierer, der das System ursprünglich für uns entwickelt hat, ist untergetaucht oder nicht mehr für uns tätig. Und weil er es aus dem Nichts geschrieben hat, konnten wir es nicht einfach in eine Microsoft-Umgebung importieren. Natürlich wissen wir, dass es alt ist, aber das sind die Fakten.« Es gibt viele Unternehmen, die in so einer Lage stecken. Wenn Ihr Unternehmen dazugehört, wird es teuer..... Wenn Sie eine proprietäre Datenbank haben und Sie einen Zugang zu dieser über das Web einrichten wollen, wird das ein Vermögen kosten
Wie gut Sie Ihre bestehenden Sicherheitsinformationen organisiert habenAm Anfang gab ich Ihnen den Tipp, eine Menge Informationen über Ihr Netzwerk zu sammeln. Das erscheint vielleicht etwas komisch, aber es wird Ihnen Geld sparen. Wenn ein Sicherheitsberater zum ersten Mal in Ihr Unternehmen kommt, weiß es so gut wie nichts über Ihr Netzwerk. Wenn Sie die relevanten Informationen nicht zur Verfügung stellen können, werden die Kosten erheblich in die Höhe gehen. Ich habe im letzten Jahr einige Unternehmen besucht, und nur eins hatte im Vorfeld Informationen gesammelt, die ich Ihnen vorher beschrieben habe. Ich weiß sofort, dass ich einige Zeit brauchen werde, um die Informationen zu sammeln, die ich eigentlich sofort haben sollte. Wenn ein Sicherheitsberater bei Ihnen eintrifft, sollten Sie jede erdenkliche Information zur Hand haben. (Halten Sie vielleicht sogar einige Informationen zurück, um die Sachkenntnis des Beraters zu testen, die Informationen sollten Sie aber schon beisammen haben.) Schließlich gibt es noch einen letzten Faktor, der erheblich Einfluss auf die Kosten ausübt: die Art der Daten, die Sie schützen wollen.
FazitAll diese Faktoren werden Ihre Kosten beeinflussen - und es gibt keine Industrie-Standards darüber, was diese oder jene Aufgabe kosten wird. Sie können jedoch einiges unternehmen, um riesige Kosten zu vermeiden.
Wichtigste Kundenvorteile
Preisliste
|
Senden Sie E-Mail mit Fragen oder Kommentaren zu dieser Website an:
tos.computer@gmx.de
|