28.10.2008 | Autor / Redakteur: Stephan Augsten / Peter Schmitz
Auf der RSA Conference Europe 2008 wird eines deutlich: Mindestens ebenso groß wie der Name vieler IT-Hersteller ist auch deren Verantwortung. So wird einerseits die Frage gestellt, ob die Security-Industrie eine Mitschuld an der internationalen Bankenkrise trägt. Zum anderen sehen sich einige Anbieter zu mehr Transparenz gegenüber Kunden, Entwicklern und Wettbewerbern verpflichtet.
Mehr Regulatorien, strengere Audits und weniger Investitionen: All das dürften Auswirkungen des Finanzcrashs auf die IT-Security-Branche sein, befürchtet Tim Mather, RSA Conference Chief Strategist. Als brandaktuelles Thema steht also auch die internationale Bankenkrise im Fokus der RSA Conference Europe, auf der sich derzeit zahlreiche Security-Spezialisten und IT-Entscheider tummeln.
Doch anstatt wie viele andere die Schuld bei den Kreditinstituten zu suchen, schließt Mather eigene Fehler nicht aus. Immerhin gebe es ja genügend Compliance-Vorgaben, die sich mit Reporting und Datenintegrität befassen – beispielsweise den Sarbanes Oxley Act. „Indem wir uns [als Security-Anbieter] in die Geschäftsprozesse haben integrieren lassen, sind wir selbst zu einer Art Teilhaber des Problems geworden“, meint Mather.
„Wir müssen einen Blick in den Spiegel werfen und uns die Frage stellen, ob wir [beim Risk Management] nicht vielleicht selbst etwas verhunzt haben“, gibt der RSA-Strategie-Experte weiter zu bedenken. Bislang hätten sich sowohl Hersteller als auch Kunden nur um das Risiko möglicher Investitionen gekümmert – doch jetzt sind die schwindenden Budgets das Hauptproblem.
Fortan bemühten sich die Kunden um Kostenreduktion, und das schlage sich nunmal auch auf die Security-Industrie nieder. Deshalb müssen sich die Sicherheitshersteller laut Mather künftig noch intensiver mit Voice over IP, Virtualisierung, Cloud Computing und Open-Source-Projekten befassen. Letztere ruft Paul Kurtz, Executice Director von SAFECode auf, sich am Software Assurance Forum for Excellence in Code (SAFECode) zu beteiligen.
SAFECode wurde auf der letztjährigen RSA Conference Europe von EMC, Juniper, Microsoft, SAP und Symantec ins Leben gerufen, um für mehr Transparenz bei der Anwendungsentwicklung zu sorgen. Nicht nur Sicherheitslücken ließen sich damit schon bei der Programmierung beseitigen, erläutert Rob Clyde, Vice President Technology von Symantec. „Auf diese Weise können wir Kosten reduzieren, die durch nachträgliche Korrekturen am Code entstehen.“
Einen weiteren Vorteil nennt Mitgründer Kurtz: „ Wir wollen Security-Hersteller, Unternehmens- und Endkunden besser miteinander verknüpfen.“ Es gehe nicht darum Standards zu entwickeln, sondern darum Anwendungsentwickler mit Best Practices zu unterstützen. Diese sind bewusst nicht von den Technikern der Unternehmen verfasst, sondern von Strategie- und Security-Experten der Unternehmen.
Bereits am 8. Oktober hat SAFECode das E-Paper „Fundamental Practices for Secure Software Development“ herausgegeben. Kommenden Monat soll unter der Leitung von EMC ein Leitfaden für Security-Trainings erscheinen. Neben den Best-Practice-Leitfäden sind künftig auch Seminare geplant, die sich mit sicherer Anwendungsentwicklung beschäftigen.
Bislang ist SAFECode ein Sammelbecken für Sicherheitsexperten großer IT-Hersteller, auch Nokia beteiligt sich mittlerweile an dem Projekt. Janne Uuusilehto, Vorsitzender von Nokia Product Security weiß natürlich, dass sein Unternehmen vorwiegend mit mobilen Geräten in Verbindung gebracht wird: „Wir entwickeln allerdings fast schon genau so lange Software.“
„Wir würden unsere Organisation aber gerne auch um Open-Source-Projekte erweitern“, wirbt Kurtz. „Außerdem fehlen uns noch andere große Hersteller. Kurtz denkt dabei auch an asiatische Firmen, denn vor dem Hintergrund der Globalisierung wolle man die Zusammenarbeit nicht auf den europäischen oder US-amerikanischen Raum beschränken.
Damit käme man dem Aufruf des RSA-Präsidenten Arthur Coviello nach, der in seiner Eröffnungs-Keynote zur RSA Conference ein radikales Umdenken in der Security-Gemeinde forderte. Die Vergangenheit habe gezeigt, dass isolierte IT-Systeme nicht gleichzeitig mehr Sicherheit bieten. Vielmehr müssten die Lösungen verschiedenster Hersteller künftig intelligent miteinander interagieren.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2017460)
