“IT-Sicherheit braucht Qualitätssicherung”

silicon.de: Sie behaupten, dass Investitionen in die IT-Sicherheit teilweise ins Leere laufen. Warum?

Graf: Nach Angaben des BSI wurden im Jahr 2008 rund 4,5 Milliarden Euro in IT-Sicherheit investiert. Eine beachtliche Summe. Was die Palette an Lösungen zur Absicherung des Netzwerks betrifft, sind die Unternehmen sehr gut aufgestellt. Unserer Erfahrung ist jedoch, dass es nur in wenigen Unternehmen eine funktionierende Qualitätssicherung für die IT-Sicherheit gibt. Denn erst durch eine solche kann ich sicherstellen, dass meine Schutzsysteme optimal arbeiten und die Investitionen auch voll ausgeschöpft werden.

Die Sicherheitsapplikationen werden gekauft, installiert und entsprechend der geltenden Security Policies eingerichtet. Doch ob das geforderte Schutzniveau erreicht wird, wird oft nicht ausreichend überprüft. So ist es beispielsweise in großen Unternehmen mit tausenden PC-Arbeitsplätzen gängige Praxis, nach dem Rollout von Patches oder Viren-Pattern lediglich stichprobenartig den Erfolg zu prüfen. So entstehen Sicherheitslücken in Bereichen, die die Sicherheitsverantwortlichen gut geschützt wähnen.

silicon.de: Können Sie ein Beispiel für das Scheitern der gängigen Praxis nennen?

Graf: Ja, Conficker/Downad ist sicherlich das bekannteste Beispiel der jüngsten Zeit. Warum konnte der Virus in so viele scheinbar sichere Netzwerke eindringen? Dafür gibt es mehrere Gründe. Zum einen gibt es Lücken im Verteilprozess der Virensignaturen. Zum anderen reicht es schon, wenn ein bis zwei Server die kritischen Updates zum Betriebssystem nicht erhalten haben und die Schadsoftware erhält Zugang ins Netzwerk. Einem unserer Kunden ist genau dies passiert. In einem anderen Fall wurde eine solch alte Version der Virenschutzsoftware verwendet, dass selbst die aktuellsten Signaturen keinen Schutz mehr gewährleisteten.