Eine erste Analyse finden Sie im SecTank.
Intel kündigt Übernahme von McAfee an – warum?
August 19th, 2010Wann haben Sie zuletzt Ihre Security Policies überprüft?
July 13th, 2010Security Policies sind ein wichtiges Instrument, um Informationssicherheit im Unternehmen zu steuern und zu verwalten. Umso wichtiger ist es, sie regelmäßig auf den neuesten Stand zu bringen. Dies hängt zum einen mit den sich ständig wandelnden Bedrohungsszenarien zusammen. Gleichzeitig verändern sich die technischen Möglichkeiten, um Risiken zu reduzieren. Außerdem müssen die Policies an neue Arbeitswerkzeuge und –modelle angepasst werden, ebenso wie an strategische Veränderungen im Unternehmen, wie sie etwa durch Fusionen und Akquisitionen auftreten können.
Für die meisten Unternehmen praktikabel sind Review-Intervalle von ein bis zwei Jahren. Um den Aufwand für Aktualisierungen und Ergänzungen in Grenzen zu halten, sollte ein Unternehmen einen sauberen und modularen Ansatz für das Regelwerk wählen:
- Eine Unternehmens-Policy für Informationssicherheit (IS), die die generelle Intention von IS beschreibt und einen allgemeinen organisatorischen und technischen Rahmen vorgibt. Diese Policy ist in der Regel keinen häufigen Veränderungen unterworfen.
- Standards oder Spezifikationen für die Umsetzung der Unternehmens-Policy in einzelnen Bereichen wie Mobility, dem Schutz vor Schadcode oder für die Entwicklung und Wartung sicherer Anwendungen. Diese können sich mit der Bedrohungslage, dem technologischem Fortschritt oder organisatorischen Änderungen etwas häufiger ändern.
Produktspezifische Richtlinien haben in den Policies und Spezifikationen nichts verloren, da sie stetem Wandel unterliegen. Sie sollten vielmehr getrennt als Richtlinien erfasst werden.
Wer sich mit einem Policy-Review beschäftigt, wird schnell feststellen, wo noch Lücken sind, etwa bei Organisation und Rollen, bei Risikomanagement und bei Datenklassifizierung. Eine Herausforderung ist oftmals die Kommunikation und Umsetzung der Security Policies und Spezifikationen. Speziell bei den Nutzerrichtlinien sind lokale rechtliche Gegebenheiten zu berücksichtigen. Organisationsanweisungen und Betriebsvereinbarungen sollten in Abstimmung mit dem Betriebsrat festgelegt werden.
Top-5 news of the week
July 8th, 2010- 01 July 2010: media transfer AG launches mtG-eID, an electronic identity server that will be used for the new German identity card (to be issued shortly).
- 01 July 2010: Attachmate announces Luminet, an enterprise fraud management solution.
- 01 July 2010: IBM to acquire BigFix to advance smarter data centers.
- 01 July 2010: Cloud7 GmbH acquires Defense AG, a security service provider based in Ismaning/Munich.
- 07 July 2010: Sourcefire is delivering cloud-based Intrusion Prevention services, based on its open source Snort technology and available through Amazon Web Services.
Please note: These news are relevant for the German IT security market. However, they do not necessarily correspond to my personal opinion.
Top-5 security news of the week
June 13th, 2010- Trend Micro Acquires humyo for Premium Consumer and Small Business Next-Generation Online Storage.
- Check Point Acquires Data Security Startup Liquid Machines.
- IBM Launches New Security Solutions, Extends Secure by Design Initiative
- Rumours about vulnerabilities in the recently launched Apple iPad
- eco Internet Award 2010: eleven Managed E-Mail Security Services are winner in the „Cloud Computing“ category
Please note: These news are relevant for the German IT security market. However, they do not necessarily correspond to my personal opinion.
Gelbe Karte für Vodafone in Sachen Datenschutzbewusstsein
June 13th, 2010Die deutsche Sicherheitsbranche ebenso wie verschiedene Behörden bemühen sich regelmäßig, bei den Bürgern ein hohes Bewusstsein in Fragen des Datenschutzes und der Informationssicherheit herzustellen.
Vodafone in Deutschland führt diese Bestrebungen aktuell ad absurdum. Da bekommt der Kunde einen Anruf von einem Menschen, der sich als Vodafone-Mitarbeiter ausgibt. Weil man so ein loyaler Mobilfunkkunde sei, würde man nun ein „Upgrade“ auf eine volle Flat Rate erhalten – ohne jeglichen Preisaufschlag. Damit er als Vodafone-Mitarbeiter den neuen Tarif aktivieren könne, müsse der Kunde ihm am Telefon nur kurz sein Kundenkennwort sagen. Damit er sichergehen könne, dass der Kunde auch tatsächlich derjenige sei, für den er sich ausgebe. Wohlgemerkt: hier hat Vodafone den Kunden angerufen und nicht umgekehrt.
Beim Kunden schrillen nun alle Glocken. Handelt es sich hier um einen Betrugsversuch eines Dritten, oder versucht Vodafone beim Kunden Leistungen mit minimalem „Rücktrittsrecht“ zu platzieren? Der Kunde hat nachgeforscht und kann nun den Betrugsversuch eines Dritten weitestgehend ausschließen.
Nun kann man ja mit Fug und Recht annehmen, dass ein Telekommunikations-Netzbetreiber eine besondere gesellschaftliche Verantwortung trägt. Das gilt für die Bekämpfung von Spam ebenso wie für den Schutz personengebundener Daten. Warum setzt Vodafone in seiner Vertriebskampagne aber auf Methoden, deren sich in erster Linie Kriminelle im Rahmen von „Social Engineering“ bedienen? Wie sollen Privatkunden nun Betrugsversuche von Vertriebskampagnen unterscheiden? Gibt es bald kriminelle Trittbrettfahrer, die sich fremder Kundenkennwörter bemächtigen wollen?
Das ist wirklich kontraproduktives Verhalten in Sachen öffentlichen Datenschutzbewusstseins. Mein Tipp: zu solchen Aktionen einfach nein sagen.
Top-5 news of the week
June 5th, 2010- As of 1st of June, 2010, Henning Ogberg assumes the position of the Sales Director Central & Eastern Europe at Clearswift. Before, he worked for eleven, SurfControl, Messagelabs, amongst others: http://www.clearswift.de/news/press-releases/clearswift-besetzt-schlusselposition-in-deutschland-neu
- Symantec Announces May 2010 MessageLabs Intelligence Report: http://www.symantec.com/about/news/release/article.jsp?prid=20100526_01
- Astaro RED intends to simplify Branch Office Security: http://www.astaro.com/en-uk/news-events/press-releases/astaro-red-simplifies-branch-office-security
- Sentrigo, vendor of database protection and monitoring solutions, has signed a reseller agreement with security service provider Integralis: http://www.sentrigo.com/de/sentrigo-besiegelt-reseller-partnerschaft-mit-integralis
- This week, there were rumours about Google planning to migrate away from Microsoft products because of security concerns. Interesting comment by Symantec at http://bit.ly/axJh0W.
Please note: These news are relevant for the German IT security market. However, they do not necessarily correspond to my personal opinion.
Web Security: ein Blick in die Werkzeugkiste
May 25th, 2010Web Security ist ein breit gefasster Begriff für alle Maßnahmen, die Web-Anwendungen und deren Nutzung sicher machen. Technische Lösungen für Web-Sicherheit konzentrieren sich auf zwei Bereiche: Web-Anwendungen und Web Services auf der einen Seite sowie deren Nutzer (Endpunkte) auf der anderen Seite. Es geht aber nicht nur um Sicherheitslösungen, die dieses Ziel erreichen helfen. Web-Sicherheit muss bereits in der Organisation und den Prozessen für Informationssicherheit berücksichtigt werden.
Lesen Sie mehr zu den organisatorischen Aspekten und den technischen Lösungen im „IT Security Advisor“ von www.all-about-security.de…
Ad-hoc comment on: Symantec to Acquire VeriSign’s Security Business
May 19th, 2010Symantec to Acquire VeriSign’s Security Business – what’s next? This is an indication that Symantec wants to further enter the identity and access management space. Expect more announcements to come in growing IAM segments, such as Web SSO, which is driven by requirements for cloud security. – Regarding Germany, we have to observe the way Symantec will deal with TC TrustCenter (recently acquired as part of PGP). There is an overlap between Verisign’s and TC TrustCenter’s services – but Verisign has got a stronger global presence. On the other hand, TC TrustCenter is stronger in specific vertical and functional areas such as mobile code signing – but is Symantec really interested in niche markets?
Symantec übernimmt PGP Corporation und GuardianEdge – ein später, aber guter Schritt
April 30th, 2010Mit der Übernahme von PGP und GuardianEdge schließt Symantec eine Lücke im Portfolio für Endpunkt-Sicherheit und Nachrichten-Verschlüsselung. Dieser Schritt war schon lange überfällig. Direkte Mitbewerber wie McAfee, Sophos und Trend Micro haben schon früher begonnen, Lösungen für Verschlüsselung am Endpunkt oder bei E-Mail aktiv zu vermarkten.
Mit GuardianEdge war Symantec bereits seit geraumer Zeit über einen OEM-Vertrag verbunden. Für die mittelfristige Entwicklung in Deutschland relevant ist aber primär die Übernahme von PGP. Deutschland dürfte im weltweiten Vergleich je nach Berichtszeitraum PGPs zweit- oder drittstärkster Markt nach Umsatz sein. Die Übernahme von PGP ermöglicht Symantec nun in Deutschland den Zugang zu interessanten Kunden, die prinzipiell mit dem gesamten Symantec-Portfolio adressiert werden können. Außerdem geht mit PGP auch die deutsche TC TrustCenter GmbH in den Besitz von Symantec über. Dies ist mit Blick auf E-Mail- und Endgeräteverschlüsselung besonders interessant, denn die Hamburger Firma übernimmt die Ausstellung und Verwaltung digitaler Zertifikate sowie „On Demand PKI“.
So vielversprechend das Potenzial von Symantec+PGP auch erscheinen mag – eine Erfolgsgarantie für diese strategische Partnerschaft gibt es nicht. Die Erfahrungen zeigen, dass die Integration akquirierter Drittlösungen in das Symantec-Portfolio eine gewisse Zeit dauern kann, und ebenso das Zusammenspiel der Vertriebs- und Marketingaktivitäten. Die Mitbewerber werden versuchen diese Zeit zu nutzen, um Ex-PGP Marktanteile abzunehmen.
Symantec hat nach der Veritas-Übernahme die aktive Vermarktung seines Security-Portfolios im Unternehmensumfeld vernachlässigt. Symantec muss sicherstellen, dass das neue Symantec-PGP-GuardianEdge-Portfolio bei den Partnern und Kunden kommuniziert und aktiv platziert wird.
Kunden von Symantec und PGP, die in der Beschaffung von Security-Lösungen eine Plattformstrategie fahren und möglichst viele Funktionen aus einer Hand wünschen, werden langfristig von der Akquisition profitieren. Ein besonderer Pluspunkt ist die potenzielle Integration mit Altiris, der Systemmanagement-Lösung von Symantec. GuardianEdge bietet bereits heute einen Konnektor für Altiris.
Wer eher auf Punktlösungen setzt, sollte PGP weiterhin in die “Long List” einbeziehen. Allerdings muss genau beobachtet werden, ob PGP innerhalb von Symantec langfristig seine Agilität und Innovationskraft beibehalten kann. Trotz der Übernahme von PGP und GuardianEdge wird der Markt bei Endpunktsicherheit keineswegs überschaubarer – in den vergangenen 18 Monaten haben sich einige kleinere Anbieter im deutschen Markt aufgestellt.
Aus dem Blickwinkel der Anbieter: Account-Based Management
April 16th, 2010Kundenbindung ist en vogue – besonders in wirtschaftlich schwierigen Zeiten. Einen illoyalen Kunden zurückzugewinnen ist in der Regel wesentlich aufwändiger als ihn zu halten. Oder positiv ausgedrückt: Wer als Produktanbieter oder Dienstleister bei einem Kunden gute Arbeit geleistet hat und über dessen Organisation gut informiert ist, hat es oftmals leicht, dieselben oder auch andere Leistungen in der Organisation des Kunden zu platzieren.
Kleine und mittelständische Anbieter agieren zuweilen sehr erfolgreich, indem sie erfahrene Account-Manager-Persönlichkeiten auf die wichtigsten Schlüsselkunden ansetzen. Größere Anbieter und solche mit einem breiten Portfolio, darunter auch Dienstleister, müssen einen strukturierten Ansatz wählen. Hier müssen verschiedene Funktionen im Unternehmen koordiniert ineinandergreifen, zum Beispiel Account Manager, Channel Partner Manager, Produkt-Manager, „Overlay Sales“ und technischer Presales, Business Development und manchmal auch höhere Management-Funktionen. Zielsetzung ist, das Maximum an Geschäftspotenzial aus dem Kunden herauszuholen.
„Account-Based Management“ (ABM) ist ein Ansatz, der dieses Ziel erreichen helfen soll. Aber ist ABM in der Realität überhaupt umsetzbar? Zum einen gilt es ja, die ersten Schritte in Richtung ABM verdaulich zu gestalten. Zweitens muss aus einem ersten Pilotprojekt ein Prozess entstehen, der in Zukunft von den intern Beteiligten gelebt und umgesetzt wird.
Etablierte Anbieter von Sicherheits-Produkten und –Dienstleistungen sollten mit Blick auf ihre Kunden zunächst ein Pilotprojekt aufsetzen und dabei in folgenden Schritten vorgehen.
- Segmentierung und Priorisierung der für ABM in Frage kommenden Kunden – und Partner.
- ABM-Team für einen attraktiven / strategischen Account definieren.
- Analyse des Status Quo: was ist bisher gut gelaufen, was nicht?
- Zielsetzungen für eine Kampagne definieren, z.B.: Cross-Selling, Imageaufbau, Analyse und Förderung der Kundenloyalität.
- Kampagnenthemen und -inhalte (als Teaser) skizzieren und jeweilige Zielgruppen im Account festlegen.
- Erfolgsmetriken für die ABM-Kampagne definieren.
- Anreizsystem für die Mitglieder des ABM-Teams aufsetzen.
- ABM-Pilotprojekt durchführen, den Erfolg analysieren und dann die Prozesse entsprechend optimieren und intern standardisieren.
Wichtig ist es, die Erfolgsfaktoren im Blick zu halten. So muss der organisatorische und zeitliche Aufwand für ABM-Maßnahmen in einem gesunden Verhältnis zum Erfolg stehen. Die Beteiligten, insbesondere die vertriebsnahen Positionen, sollen einen finanziellen Anreiz haben, hier mit den anderen Team-Mitgliedern an einem Strang zu ziehen.