Mittlerweile wissen IT-Verantwortliche und Administratoren, dass Sicherheitssoftware benötigt wird, um Unternehmensdaten zu schützen. Dennoch hört man immer wieder in den Medien über Verluste sensitiver Daten – mal waren es gezielte Angriffe, mal wurden Datenträger einfach in der U-Bahn oder im Taxi liegen gelassen. Eigentlich sollten die Systeme doch geschützt sein, wenn die prinzipielle Einsicht sich verbreitet hat?! Doch bis zum tatsächlichen Einsatz von Sicherheitssoftware ist es ein weiter Weg: Denn bei vielen Produkten sind die Implementierung sowie die nachfolgende Administration und Nutzung so aufwändig und kompliziert, dass zuerst IT-Verantwortliche und dann Administratoren und Anwender die Einführung und Nutzung immer wieder aufschieben – trotz offensichtlicher Probleme und obwohl man das an sich als sinnvoll erachtet.
Die IT-Abteilungen fast aller Organisationen sind chronisch unterbesetzt und daher fast immer überlastet – ein weiteres Projekt, das viel Zeit und Ressourcen verschlingt, ist da das Letzte, was man noch braucht. Es ist ja nicht einmal nur die Softwareeinführung alleine, die Probleme bereitet: Auch die Integration in bestehende Arbeitsabläufe sorgt allzu oft für Unmut bei den Mitarbeitern – Unmut, der auch wieder in der IT-Abteilung "abgeladen" wird. Kein Wunder also, dass sich so mancher Administrator für das "Data Leakage Prevention in der einfachsten Form" entscheidet und die Schnittstellen, über die Daten abfließen könnten, zum Beispiel schlicht mit Bauschaum oder Superkleber versiegelt – was für das Hightech-Umfeld der IT wie weltfremde Satire klingen mag, ist in der Praxis nicht so selten, wie man meinen könnte.
Werbung und Realität
Was gute Lösungen von schlechten unterscheidet, zeigt sich leider oft erst in der tatsächlichen Implementierung und Anwendung – eine "einfache Administration" wird heute eigentlich von jedem Softwarehersteller propagiert, weil das ein wichtiges Verkaufsargument darstellt. Aber was bedeutet leichte Administration eigentlich aus der Sicht eines Administrators?
Admins (Alb-)Traum
Leichte und schnelle Einführung
Erfährt ein Administrator beispielsweise, dass er für die Installation und Einführung eines Endpoint-Security- oder Data-Leakage-Prevention-(DLP)-Systems sechs Wochen veranschlagen muss, dann spaziert er lieber in den Baumarkt, um Bauschaum zu kaufen. Das ist rabiat, aber schnell und wirkungsvoll – entweder man kann eine wirklich gute Lösung hinreichend schnell einführen oder aber man sucht eine schnelle Lösung, die vielleicht nicht ganz so gut ist. Das Gleiche gilt auch für die Sicherheitssoftware: Der Basisschutz muss sofort nach einer einfachen Installation gewährleistet sein, ohne dass großartige Konfigurationen nötig wären. Danach sollte sich der Sicherheitsstandard dann Stück für Stück verfeinern lassen.
Genauso einfach sollte eine Lösung für die Applikationskontrolle starten: IT-Verantwortliche befürchten oft (und teils zurecht), dass sie für eine solche Lösung, die unlizenzierte oder unerwünschte Softwareprodukte (Spiele etc.) blockiert, zunächst einmal ermitteln müssen, welche Software eigentlich im Einsatz ist – dafür ist aber "natürlich" keine Zeit. Doch es gibt auch Lösungen, bei denen man einfach vorgeben kann, dass alle Produkte, die durch den Administrator oder durch eine Softwareverteilung installiert wurden, zugelassen sind – das dauert bei guten Systemen nicht mal eine Minute. Oder man erstellt eine Liste der vertrauenswürdigen Hersteller und berechtigt deren Produkte – das dauert zwar ein wenig länger, aber auch in dem Fall kommt man ohne aufwändige Softwareinventarisierung aus.
Zentrales Management
Auch den Begriff "zentrales Management" findet man heutzutage in fast jeder Verkaufsbroschüre – oft wird eine zentrale Managementkonsole allerdings eher dekorativ über zehn oder mehr verschiedene Tools gespannt, ohne dass diese einem gemeinsamen Architekturkonzept unterlägen. Nicht selten kommt es vor, dass sich bestimmte Abläufe in den verschiedenen Tools sogar wiederholen oder gar widersprechen: So gibt es zum Beispiel Endpoint-Security-Systeme, bei denen beim Speichern einer Datei zunächst eine Komponente überprüft, ob die Datei überhaupt gespeichert werden darf – wenn ja, wird sie weiter gegeben an die nächste Komponente, die analysiert, ob der entsprechende Benutzer die Berechtigung zum Speichern hat, um die Datei dann an die dritte Komponente zum Verschlüsseln zu übermitteln. Eine vierte Komponente wartet dann womöglich noch darauf, die Transaktion zu protokollieren... Es ist kein Wunder, dass so ein System kompliziert in der Einführung ist und den Arbeitsablauf enorm verlangsamt. Integrierte Architekturkonzepte sind deutlich intelligenter und wickeln entsprechende Transaktionen viel schneller ab.
Einfache Produktstruktur
Es klingt zwar lächerlich und banal, aber viele Produkte haben eine Preisliste, die man ohne einen dreitägigen Workshop nicht versteht. Und auch an so einer 10-seitigen Komponenten- und Modulliste kann ein Projekt scheitern: Wenn schon die Entscheidung, was für Komponenten und Module überhaupt benötigt werden, so schwierig und intransparent ist – wie kompliziert wird dann erst das System selbst sein? Eine IT-Abteilung will doch nicht eine Serverkomponente, eine Datenbankkomponente, zwei Agents, eine SOAP-Schnittstelle mit integrierter SSL-Unterstützung und noch zwei Module, die nicht genauer beschrieben sind, kaufen, sondern beispielsweise schlicht eine Zugriffskontrolle oder Verschlüsselungslösung! Welche Komponenten und Module dafür benötigt werden, sollte nicht das Problem des Kunden sein.
Leichte Erweiterbarkeit
Selten will man alle Funktionen von Anfang an benutzen. Sollten dann aber weitere ergänzt beziehungsweise aktiviert werden, dann darf das nicht dazu führen, dass etwa wieder eine neue Datenbank aufgesetzt sowie ein zusätzlicher Server und weitere Agents installiert werden müssen. In der Praxis gibt es jedoch tatsächlich Produkte, die für ein Update eine Deinstallation und eine Neuinstallation der Software nötig machen – solcher unnötige Aufwand ärgert jeden Administrator.
Users (Alb-)Traum
Barrierefreie Bedienung
Der normale, seit Jahren bekannte Arbeitsfluss beim Anwender soll auch durch neue Sicherheitssysteme möglichst nicht behindert oder geändert werden. So integriert sich beispielsweise eine transparente Verschlüsselung, die Daten völlig ohne Interaktion mit dem Benutzer ver- und entschlüsselt, vollkommen in den Arbeitsfluss: Der Mitarbeiter braucht kein spezielles Wissen zum Verschlüsselungsprodukt, weiß aber trotzdem was er tut. Der Schulungs- und Administrationsaufwand ist gering und es gibt dann auch keinen Grund mehr, die Verschlüsselung zu umgehen.
Leichte Erlernbarkeit
Sicherheitssysteme müssen auch vom Benutzer einfach verstanden werden, damit sie volle Akzeptanz erlangen – leider gibt es auch hier viele Beispiele, wie es nicht sein sollte: Besonders "spannend" ist es etwa, sich im alltäglichen Stress beibringen zu lassen, wie man beispielsweise Daten auf einem USB-Stick verschlüsselt, indem man abhängig vom Inhalt verschiedene Container mit verschiedenen Passwörtern öffnet und dabei darauf aufpassen muss, wo man was hineinkopiert – der samstagnächtliche Anruf beim Administrator ist dann schon vorprogrammiert, wenn man sich gerade auf Geschäftsreise in den USA befindet und nicht mehr weiß, wo eine bestimmte Datei hineinkopiert wurde und wie das Passwort lautet... Es kann allerdings auch sein, dass man nicht nachfragen muss, weil man schon seit Monaten überhaupt keine Daten mehr verschlüsselt, da das einfach "zu umständlich" war.
Transparenz
Das folgende Zitat eines Administrators drückt die häufig anzutreffende Intransparenz aus: "Ich kann doch unmöglich eine Software einsetzen, bei der ich zwar viele unterschiedliche Policies setzen kann, aber nie sehe, was das Ergebnis ist. Das erfährt man dann vom Benutzer und oft auf nicht gerade angenehme Art und Weise". Leider arbeiten etliche Lösungen so: Es gibt eine Fülle von Policies, die alle irgendeinen Sinn haben – daraus eine funktionierende Lösung zusammenzustellen, überlässt man aber dem Administrator. Das führt zu einem hohen Administrationsaufwand, vielen Fehlern und daraus resultierender Frustration beim Administrator und auch beim Anwender.
