01.04.2011 | Autor / Redakteur: Frank Semmler / Andreas Donner
Während die Vorteile des Einsatzes von Unified Communications (UC) inzwischen allgemein anerkannt sind, rücken nun die notwendigen, effektiven Maßnahmen zum Schutz vor bedrohlichen Ausfällen und kritischen Sicherheitslücken immer stärker in den Fokus. Frank Semmler, Head of Solutions Management Security bei Siemens Enterprise Communications, erklärt die vier wichtigsten strategischen Schritte zum Aufbau einer UC-Sicherheits-Strategie.
Früher wurden Anwendungen als Einzellösungen entwickelt und konzipiert. Unternehmen konnten damit zwar ihre Produktivität und Fähigkeiten erweitern, allerdings war die Integration mit anderen Systemen nicht immer trivial.
Heutzutage stellen Unternehmen die Anforderung, dass der Informationsfluss erhalten bleibt, ganz gleich, welche Softwareprodukte und Geräte zum Einsatz kommen. Die aufgebauten größeren und effizienteren UC-Netzwerke erlauben nun meist ein effektiveres Workflow-Management, jedoch können Sicherheitslücken oder Angriffe erhebliche Auswirkungen haben, wenn mehrere Systeme miteinander verknüpft werden und ungenügende Sicherheitsvorkehrungen getroffen wurden.
Daher sind Sicherheitsfunktionen und -lösungen ein unerlässlicher Bestandteil des UC-Einführungsprozesses. In der UC-Sicherheitsplanung müssen die Themen Compliance und Corporate Governance, die Risikobeschränkung potenzieller Sicherheitsgefährdungen und die Toleranz des Unternehmens gegenüber Störungen berücksichtigt werden.
Verfügbarkeit – Mit der zunehmenden Zentralisierung von Services wird die Verfügbarkeit zu einem wichtigen Anliegen. Ein Unternehmen könnte durch Services, die aufgrund eines Sicherheitsvorfalls nicht funktionieren, Schaden erleiden. Das Hauptaugenmerk muss darauf liegen, diese Vorfälle zu verhindern sowie die Alternativen und Optionen zu kennen, die im Fall eines Service-Ausfalls greifen. Schutzmaßnahmen der im Data Center betriebenen Services gegen Denial-of-Service-Angriffe, Schutz gegen Spoofing sowie Audit- und Überwachungsmaßnahmen sollten umgesetzt werden.
Vertraulichkeit – Ein breiter Zugriff auf Informationen führt zu produktiveren Abläufen. Allerdings sollte immer berücksichtigt werden, welche Auswirkungen ein unberechtigter Zugriff auf Präsenzdaten und vertrauliche Informationen haben kann. Eine durchdachte Zugriffs-Einschränkung kann das unerwünschte Verteilen von Daten verhindern. Die Verwendung von Benutzer- und Geräte- Authentifizierung zusammen mit einer Verschlüsselung stellt sicher, dass die Vertraulichkeit gewahrt bleibt.
Integrität – Service-orientierte Unternehmen sind stolz darauf, Informationen in Echtzeit bereitstellen zu können. Hierfür müssen sie sicherstellen, dass der Informationsaustausch gültig ist und nicht manipuliert wurde. Diese Art von Sicherheit wird erreicht, wenn, wo immer möglich, zertifikatsbasierte Authentifizierung verwendet wird.
Verantwortlichkeit/Zurechenbarkeit (Accountability) – Unternehmen müssen mit Datenschutzfragen, insbesondere in der EU, sorgfältig umgehen. Gleichzeitig müssen Benutzer in die Verantwortung genommen und Audit-Prüfungen sichergestellt werden. Dies ermöglichen das installierte Identity & Access Management und das Security Information & Event Management (SIEM). Während ersteres den Daten-Zugang steuert, protokolliert letzteres die gesendeten und empfangenen Nachrichten sowie das Kommunikationsaufkommen per Sprache und Video und den Datenkonsum durch verschiedene Parteien. Zusammen stellen sie die Zurechenbarkeit sowie den Datenschutz sicher.
Kontrolle – Regeln und Beschränkungen für Datenzugriffe können zwar einerseits die Nutzerfreundlichkeit verringern. Andererseits können sie jedoch das Unternehmen vor negativen Auswirkungen, z.B. durch den Verlust von Firmengeheimnissen, durch den Abfluss von Know-how oder vor rechtlichen Konsequenzen und Imageverlust bewahren. Kontrollmechanismen können durch die Umsetzung geeigneter Sicherheitsrichtlinien, die Einführung eines Rechtemanagements, die Sicherstellung der Content-Sicherheit und die Verhinderung von Datenverlusten (DLP; Data Loss Prevention) gebildet werden. Diese stellen, sofern sie richtig kommuniziert werden, die Produktivität berechtigter Benutzer innerhalb anerkannter Grenzen sicher.
»1 »2 nächste Seite
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2050673)
