"Ich wette, dass wir spätestens in zehn Jahren nicht mehr über Betriebssysteme, Geräte und Plattformen sprechen, sondern uns auf das Wichtige konzentrieren – den Schutz von Informationen unabhängig von Speicherort und Gerät."
Erst kam der Kindle. Ich hatte erwartet, dass dieses Gerät die Welt dank seines klaren, einfachen Designs für sich gewinnen würde. Bis das iPad auf dem Markt erschien und im Sturm nicht nur die Jugendlichen eroberte, sondern bis in die Chefetagen vordrang. Als die Nachfolgeversion des iPads in die Geschäfte kam, wurden am ersten Wochenende mehr als eine Million Stück verkauft. Nun drängen diese Smartphones und Tablets aus den Einkaufsmeilen in die Netze der Provider und der Firmen, spätestens mit der jungen Generation talentierter Mitarbeiter.
Dabei greift schon heute mehr als die Hälfte der deutschen Arbeitnehmer im Urlaub über mobile Geräte auf geschäftliche E-Mails zu, heißt es in einer repräsentativen Umfrage des Marktforschungsunternehmens Emnid, die Symantec in Auftrag gab. Ähnlich klingt eine aktuelle Erhebung der Enterprise Strategy Group unter 174 Firmen. Dort erklärten rund 40 Prozent der Unternehmen, dass ihre Mitarbeiter vertrauliche Firmendaten wie Kundeninformationen auf ihren Mobilgeräten speichern. Wir nennen diesen Trend "Consumerization der IT". Der Privatanwender will sein privates Gerät geschäftlich nutzen oder umgekehrt. Er möchte Information über Social-Media-Kanäle austauschen, in Cloud-Diensten parken oder mit nach Hause nehmen.
Diese Emanzipation der Informationen von festen Speicherorten und den dortigen Schutzschirmen birgt Risiken, nicht nur aus juristischer Sicht, da auf den Geräten private und geschäftliche Daten vermengt werden. Was heißt es für CIOs, wenn wichtige Daten auf mobile Geräte wandern, womöglich noch als Kopie in irgendein offenes Cloud-Verzeichnis? Wie wirken sich diese neuen Kanäle auf den digitalen Schatten jedes Users aus? Wie lässt sich ein verlässliches Sicherheitskonzept erarbeiten, wenn niemand weiß, welches Gerät in zwei Jahren, geschweige denn in zehn Jahren populär sein wird? Welchen Gefahren sind die Geräte selbst ausgeliefert, sei es Schadcode oder Diebstahl? Wie wird sich der Schadcode selbst entwickeln vor dem Hintergrund, dass er immer öfter für politische Zwecke genutzt wird?
Wir müssen uns, um kluge Antworten darauf zu finden, von dem lieb gewonnenen systemorientierten Ansatz zugunsten eines auf Informationen zentrierten Modells trennen. Dieses informationszentrische Modell von Symantec besagt, dass wir uns auf die Daten selbst konzentrieren müssen und diese absichern, kontrollieren, verwalten und steuern - unabhängig von einem speziellen System, Ort oder Gerät. Diese "Evolution" der IT ist für Firmen jeder Größe überlebensnotwendig. Denn der Druck nimmt zu, auf allen Ebenen.
Trennung von Hardware, Plattform und Betriebssystem schreitet voran
Die bisherigen Schutzwälle um die Rechenzentren und Netzwerke der Firmen sind löchrig oder wirkungsschwächer. Die Unternehmensdaten wandern überall hin und werden zu jeder Zeit bearbeitet, modifiziert, kopiert und verschoben. Sie liegen nicht mehr an dem Ort, über den die Organisation volle Kontrolle hatte. Schon das Konzept der Virtualisierung hat diese Emanzipation von Information und Plattform vorangetrieben. Die Einbindung mobiler Geräte und von Cloud-Diensten beschleunigt diese Trennung von Hardware, Plattform und Betriebssystem nur noch mehr.
Zur gleichen Zeit zeigt unsere Bestandsaufnahme der IT-Bedrohungen und Vorfälle aus den vergangenen zwölf Monaten, dass die IT-Welt gefährlicher geworden ist. Stuxnet hat im vergangenen Jahr Industriesteueranlagen erfolgreich sabotiert. Erfolgreiche Angriffe auf kritische Infrastrukturen können zerstörerische Folgen in der realen Welt haben und im Extremfall die nationale Sicherheit bedrohen.
Im Rückblick wird ebenso deutlich, dass die Angriffe immer ausgefeilter und zielgerichteter werden. Deutschland stellt mit seinem starken Mittelstand, multinationalen Konzernen und internationalen Organisationen ein attraktives, da lukratives Ziel für komplexe und speziell auf ein Unternehmen ausgerichtete Cyber-Attacken dar. Hydraq war neben Stuxnet repräsentativ für dieses gewachsene Risiko. Beide nutzten bis dato unbekannte Schwachstellen, sogenannte Zero-Day-Exploits, um in die "Opfersysteme" einzudringen. Bei diesen ausgeklügelten Attacken ging es unter anderem darum, kritische Infrastrukturen zu sabotieren - ein Trend, der sich noch deutlich verstärken wird, wie der Critical Infrastructure Protection Report 2010 (CIP) von Symantec aufzeigte.
Auch über soziale Online-Netzwerke und gegen mobile Geräte führen Cyber-Kriminelle ihre Attacken mittlerweile durch. Beschleunigt wird diese Entwicklung durch die Popularität der großen mobilen Plattformen wie iOS, Android oder Windows Phone 7. Die Zahl der Attacken auf Smartphones und Co. hat sich innerhalb eines Jahres fast verdoppelt. Gleichzeitig vermehren sich auch die "Ziele" - für dieses Jahr gibt es Prognosen, dass mehr als eine Milliarde Smartphones Internetzugang haben werden, verglichen mit 1,3 Milliarden PCs. Die häufigste Attacke erfolgte durch Trojaner, die als legitimierte Programme getarnt waren. Meistens fungieren öffentliche App-Stores unfreiwillig als Verbreitungsplattform - so auch geschehen beim aktuellen Pjapps-Trojaner.
Das Jahr 2010 hat neben dieser neuartigen Qualität auch dramatische Zuwächse beim Volumen von Malware gesehen. 286 Millionen neue Threats hat Symantec entdeckt, eine bis dato unerreichte Zahl, die leider dieses Jahr mit Sicherheit übertroffen wird. Wir schätzen, dass die Zahl bis Ende Dezember 2011 auf mehr als 340 Millionen unterschiedliche Schadcodeprogramme anwächst. Die Datenvorfälle dieses Jahr zeigen auch, dass politische Akteure wie Hackeraktivisten Firmen ins Visier nehmen.
Die Dutzenden Fälle von medial präsenten Datenverlusten durch Hacking lassen dabei manchmal vergessen, dass diese oft auf sogenannte "Innentäter" zurückgehen. Unabhängig vom Zugriff- und Speicherkonzept drohen unbeabsichtigte Datenverluste durch Mitarbeiter und mutwilligen Diebstahl. Wie aktuell das Thema in vielen Unternehmen ist, zeigt eine Studie von Symantec aus dem vergangenen Jahr: Von 945 befragten Jobwechslern konnten immerhin 59 Prozent noch sensible Daten ihres Alt-Arbeitgebers abgreifen. Im neuen Job nutzten 68 Prozent von ihnen E-Mail-Verteiler, Kundenlisten und Personaldaten, die sie mitgenommen hatten.
Informationen werden auf immer mehr Geräte verteilt
Während das Risiko durch Schadcode also zunimmt, werden die Informationen auf immer mehr Geräte verteilt. Dadurch wächst die Menge der Daten explosionsartig. Analysten sprechen hierbei von dem digitalen Schatten, den jeder von uns bei Unternehmen, Dienstleistern, geschäftlichen und privaten Plattformen wirft. So schätzt IDC, dass die Menge der Informationen, die wir über all unsere Smartphones, iPads oder Kindles austauschen, in den kommenden Jahren um 4.000 Prozent wächst. Gleichzeitig merkt das Analystenhaus an, dass Unternehmen jedes Jahr im Schnitt 60 Prozent mehr Daten per Backup sichern und archivieren müssen. Konservative Schätzungen gehen davon aus, dass die Menge der unstrukturierten Daten wie E-Mails oder Dateien auf einem Fileserver bis 2014 um 400 Prozent zunehmen. Die Budgets wiederum wachsen nur mit zehn bis 20 Prozent. Und 70 Prozent aller in diesem Jahr verkauften Server werden virtualisiert.
Virtualisierung ist inzwischen zum Massenphänomen geworden. Allerdings haben wir in einer jüngsten Symantec-Studie festgestellt, dass die Ziele von Virtualisierungsprojekten in Unternehmen und die tatsächlichen Ergebnisse oft signifikant voneinander entfernt liegen. So verfügen die 200 in der Studie befragten deutschen Unternehmen im Bereich Servervirtualisierung zwar über viel Erfahrung. Allerdings waren die Unternehmen ernüchtert über die Ergebnisse, die sie bei Skalierbarkeit sowie reduzierten Betriebs- und Investitionskosten erzielten. Mehr als 56 Prozent aller Befragten, die ihre Server bereits virtualisiert haben, gaben zu, dass ihre Kosten für Speicher leicht bis erheblich angestiegen sind. Dies ist wenig überraschend, wenn man weiß, dass durch die Einführung von Virtualisierung die Datenmenge auf den Servern um das bis zu Achtfache zunimmt.
Addiert man alle diese Wachstumstreiber, ist es durchaus plausibel, wenn IDC davon spricht, dass die Informationsmenge weltweit jährlich um die ungeheuerliche Menge von 800.000 Petabyte zunimmt. Zum Vergleich: Alle Texte in allen Sprachen dieser Welt, seit Einführung der Schrift, machen etwa 5.000 Petabyte aus.
Diese Informationen sind einem größeren Risiko von innen und außen ausgeliefert. Sie sind auf mehr unterschiedlichste Systeme, Betriebssysteme und Plattformen als jemals zuvor verteilt, während zur gleichen Zeit die juristischen Vorgaben in puncto Archivierung und Datenschutz immer strenger werden.
Informationsinfrastruktur bildet alle Geräte und Systeme ab
Mit dem Modell von Symantec, sich auf die Information selbst zu konzentrieren, können Firmen diese dynamischen Entwicklungen in den Griff kriegen und den Druck von ihrem Netz nehmen. Die Basis des Modells, die Informationsinfrastruktur, bilden alle Geräte und Systeme, auf denen Informationen liegen. Dies können virtuelle oder physische Server, Cloud-Strukturen oder mobile Geräte sein.
An all diesen möglichen Orten müssen die Informationen ihrer "Funktion" entsprechend behandelt werden. So sind sie vor Bedrohungen zu schützen oder zu verschlüsseln. Sie müssen klassifiziert werden oder bestimmten Speicher- und Suchkriterien entsprechen. Die darüberliegende und oberste Ebene beschreibt die "Information Governance", also verschiedene Regel-Frameworks, die den Umgang mit den Daten und Informationen festlegen, wie beispielsweise Richtlinien, Reportings oder Authentifizierungsvorgaben.
Um dieses Modell umzusetzen, hat Symantec Lösungen neu- oder weiterentwickelt, bei denen die Information und ihre Eigenschaften im Fokus stehen. Mit Data-Loss-Prevention (DLP)-Lösungen beispielsweise können Informationen nach ihrer Relevanz für das Unternehmen und ihrer Vertraulichkeit klassifiziert und dementsprechend geschützt werden. Die Frage "Wem gehört die Information?" ist hier zentral, denn durch sie werden die Bedingungen festgelegt, wie mit einer Information verfahren werden darf: Wem ist der Zugriff erlaubt, wie muss sie gesichert werden, und darf sie beispielsweise auf einen externen Datenträger kopiert werden?
Mit der anhaltenden Attraktivität mobiler Rechner wie Notebooks, Laptops und Tablet-PCs gilt vor allem die Festplattenverschlüsselung auch in Zukunft als zentrales Sicherheitsthema. Zu den obligatorischen Maßnahmen gehören darüber hinaus Authentifizierungsmechanismen. Und für den Fall der Fälle äußerst hilfreich: eine Remote-Wipe-Funktion und eine Anti-Theft-Strategie zur Absicherung gegen Diebstahl. Damit sind IT-Verantwortliche in der Lage, Daten von Mobiltelefonen per Fernzugriff zu löschen oder Geräte komplett zu deaktivieren. Zum Teil lassen sich Sicherheitsrichtlinien heute je nach Bedarf sogar über das GSM-Netz an die jeweiligen Smartphones übermitteln.
Bei allen Anstrengungen für die plattformunabhängige Sicherheit von Geräten dürfen die klassischen Vorkehrungen jedoch nicht in den Hintergrund geraten. Neben der Verwendung von Firewalls, VPN und Sicherheits-Updates für Software gehört selbstverständlich ein aktueller Schutz vor Malware zum Gesamtpaket.
Anonymisierte Nutzungsmuster
Um die Plattformen gegen modernen Schadcode zu schützen, hat Symantec die reputationsbasierte Sicherheitstechnologie Insight entwickelt. Die neue Technik erfasst ein anonymisiertes Nutzungsmuster darüber, welche Software bei seinen Nutzern weltweit auf rund 175 Millionen PCs eingesetzt wird. Das Muster spiegelt nicht nur den Inhalt des Programms, sondern auch seinen Kontext wider. Woher kommt die Datei, wie alt ist sie und wie wird sie innerhalb der Symantec-Nutzergemeinschaft verwendet? Inzwischen sind die Muster von mehr als 2,5 Milliarden individuellen Anwendungen erfasst. Damit pflegt Symantec die weltweit größte Datenbank in diesem Bereich. Rund 22 Millionen neuer Einträge kommen jede Woche hinzu. Mithilfe dieser Muster können sowohl Infrastruktur als auch Informationen gegen rapide mutierende Cyber-Gefahren und raffinierte Attacken geschützt werden, bei denen traditionelle Sicherheitsverfahren unzureichend sind.
Ich bin fest davon überzeugt, dass wir mit unserem informationszentrischen Modell und den neuen Entwicklungen beste Antworten besitzen auf die globalen Trends Mobile, Cloud und Virtualisierung. Mein Rat an die IT-Strategen lautet: Wir müssen uns von der bisherigen System- und Geräte-Denke emanzipieren. Unser Weg ist es, Identitäten und Informationen zu schützen, unabhängig von der Infrastruktur, seien es physische oder virtuelle Server, mobile Geräte oder die Cloud.
Ich freue mich auf Ihre Gegenwette!
Weitere Wetten finden Sie auf unserer Seite Wetten auf die nächste Dekade.
Übrigens: Das CIO-Jahrbuch 2012 können Sie bereits jetzt im CIO-Shop bestellen.