Zehn Tipps für Sicherheit im E-Business

Geschäftsziele mit Sicherheitsaspekten zusammenführen

Düsseldorf (pts048/04.09.2000/17:12)

Die IBM Tochter Tivoli Systems, Düsseldorf, hat jetzt zehn Empfehlungen zur Sicherheit im E-Business herausgegeben. Unternehmen erhalten damit Instrumente, um E-Business-Sicherheit mit Geschäftszielen und -Praktiken in Einklang zu bringen. Die Tivoli-Experten wollen mit diesen "Best Practice"- Empfehlungen helfen, den größer werdenden Graben zwischen der generellen IT-Sicherheitsspolitik und den Geschäftszielen an der Schwelle zum E-Business zu schließen.

Sicherheit muss nicht zu starren oder komplexen Geschäftsprozessen führen. Im Gegenteil: Letztlich trägt sie zum Geschäftserfolg des Unternehmens bei. Denn Sicherheitsmanagement und -controlling bedeutet, auf oberster Ebene getroffene Entscheidungen im Unternehmens konsistent und ganzheitlich umzusetzen. In diesem Zusammenhang empfiehlt Tivoli:

Die zehn Empfehlungen für sicheres E-Business
1. Ein hochrangiger, leitender Mitarbeiter sollte zum Chief Information Security Officer oder Leiter IT-Sicherheit berufen werden. Er sollte die unternehmensweite Verantwortung für die Erstellung und konsistente Durchsetzung von Regeln der Sicherheitspolitik tragen.

2. Es sollte gewährleistet sein, dass diese Sicherheitsregeln aus ganzheitlicher Sicht definiert und ebenso ganzheitlich in allen Geschäftsprozessen durchgesetzt werden. Dies fängt bei Applikationen und Netzwerken an und geht über die Server bis hin zur Laptop-Sicherung.

3. Alle betroffenden Fachabteilungen müssen in die Strategien und Investitions-Vorhaben für E-Business-Sicherheit eingebunden sein, damit sie die Themen voll mit tragen und unterstützen. Die leitenden Mitarbeiter dieser Bereiche treffen die meisten für das E-Business relevanten Entscheidungen. Sind sie mit der allgemeinen Strategie nicht vertraut, wirkt sich dies negativ auf die Amortisation der in E-Business-Sicherheit getätigten Investitionen aus: Die Abteilungen "erfinden" eigene Sicherheitspraktiken. Diese passen dann nicht in das Gesamtkonzept und führen zu Inkonsistenzen.

4. Mindestens ein halbes Jahr sollte im Voraus geplant sein, bevor die Fachabteilungen die zur Umsetzung von E-Business-Sicherheit benötigten Werkzeuge an die Hand bekommen. Ohne eine vorgeformte Infrastruktur für E-Business-Sicherheit wird sich in wenigen Monaten eine parallele, lediglich auf Web-Sicherheit gerichtete Legacy-Struktur entwickeln. Wenn die Benutzeransprüche mit steigender Web-Nutzung wachsen, ist diese Struktur nicht mehr in bestehende Applikationen integrierbar.

5. Der Zusammenhang zwischen E-Business-Sicherheit und Kundenzufriedenheit sollte beachtet werden. Im E-Business sind Schutz der Privatsphäre des Kunden und seine Zufriedenheit oberstes Gebot. Im E-Business mag, trotz ihrer Vorteile, eine komplexe Sicherheitsinfrastruktur die Kundenzufriedenheit zunächst schmälern. Passwort-Verfahren etwa im Single-Sign-On verringern die Komplexität wiederum so weit, dass die Sicherheit der Kundenzufriedenheit nicht abträglich ist.

6. Für die Sicherheits-Teams der IT und der Fachabteilungen im Unternehmen, sowie mit Partnern, Lieferanten und Kunden sollte ein effektives Arbeitsumfeld geschaffen werden. Dafür wird applikationsorientiertes Policy-Management für die Sicherheitspolitik empfohlen.

7. Diese Organisation der Sicherheits-Teams sollte durchgängig über eine zentrale Policy kontrolliert werden. Dabei sollte jedoch so viel Flexibilität gewahrt werden, um administrative Sicherheitsaufgaben - unter Berücksichtigung der Bedürfnisse eines wachsenden Geschäftes - an die Fachabteilungen und an die Partner delegieren zu können.

8. Es sollten offene Standards eingesetzt werden. Dabei sollte bei der Wahl Wert auf die Beachtung offener Standards - etwa der Open Group-Standards Authorization-API - in den Produkten und durch deren Lieferanten gelegt werden. Dann können Unternehmensverantwortliche nicht nur heute, sondern auch in Zukunft auf Flexibilität und Interoperabilität vertrauen.

9. Ein gesundes Misstrauen gegenüber dem Anbieterversprechen, eine komplette Sicherheitslösung sei nur mit seinem Portfolio zu erreichen, hilft. Klug gewählte Partnerschaften sind entscheidend für das durchgängige Sicherheitsmanagement.

10. Bei der Sicherheitspolitik muss unbedingt auf den Schutz der Persönlichkeitsrechte im E-Business geachtet werden. Dafür sollte die Verantwortung für dessen Durchsetzung dem Leiter IT-Sicherheit - oder einem Chief Privacy Officer übertragen werden. Der Schutz personenbezogener Daten ist sehr wichtig für die Anerkennung rechtlich korrekten Handelns, gleich ob in Übereinstimmung mit bestehender oder erst im Entstehen begriffener Rechtsprechung.

Tivoli Systems auf der Orbit / Comdex Europe: Stand B 60, Halle 1

Hotline für Kunden- und Produktanfragen:
Tivoli Systems Information Center, Tel: 0800-181 5300, Fax 0800-181 5303, tivoli@sitel.com

Informationen zu Tivoli Systems
Tivoli Software managt das Fundament moderner E-Business Unternehmen und eröffnet Firmen die Möglichkeit ihr Netzwerk- und Systemmanagement durchgängig zu organisieren, vom Rechenzentrum bis ins Internet, vom Desktop bis zu intelligenten Endgeräten. Führende Unternehmen in der ganzen Welt nutzen Tivoli Software, "Tivoli Ready"-Produkte und Dienstleistungen von Partnerfirmen, um heterogene IT-Infrastrukturen wirtschaftlich zu managen. Das Tivoli-Produktportfolio reicht von Lösungen für Sicherheits- und Speichermanagement bis hin zum Management mobiler Geräte. Diese helfen Organisationen bei der Schaffung und dem Betrieb technologischer Infrastrukturen, die moderne Geschäftsprozesse effizient unterstützen.

Gegründet 1989 ist Tivoli Systems seit 1996 ein hundertprozentiges Tochterunternehmen der IBM. Tivoli beschäftigt heute über 5.000 Mitarbeiter, bei einem, ausschließlich im Systemmanagement erwirtschafteten, Umsatz von mehr als 1,8 Milliarden Dollar in 1999. (Ende)