Schritte zu einem pro-aktiven Security-Konzept führen in der ersten Instanz über eine selbstkritische Sicherheitsanalyse.

Seitens der System- und Betriebssystemhersteller gibt es unterschiedliche Betrachtungsweisen inpuncto Auslieferungssicherheit:

• völlig offen
• völlig geschlossen

Der Grund ist einfach: Für den Security-Status eines betriebenen IT-Systems ist der Betreiber verantwortlich – nicht der Systemhersteller; ebenso, wie nicht der Automobilhersteller dafür verantwortlich ist, ob Sie im alltäglichen Fahrbetrieb den Zustand Ihrer Reifen überprüfen, damit eine relativ hohe Sicherheit gegeben ist, den gewünschten Weg sicher zurücklegen zu können.

Ganz gleich wie nun dieser Hersteller-Ansatz auch lautet, betrachtet dieser Grundansatz nicht den Umstand, daß ein Rechnersystem für den kunden-individuellen Einsatz dem Customizing unterliegt. Beim Customizing im Kundenumfeld steht jedoch zunächst einmal die technische Realisierung um Vordergrund - und die Implementierungsanforderungen erfordern meist die Aufhebung selbst der rudimentärsten Sicherheitsmechanismen im Betriebssystem.

Ein System, daß nach dem Aufbau und der technischen Integration betriebs-technisch läuft, wird folglich mit hochgradiger Sicherheit keinerlei Security-Überprüfung standhalten und mit immensen bis katastrophalen Sicherheitslücken aufwarten.

Ohne die Frage nach dem 'Was?' läßt sich die Frage 'Wie?' nun einmal nicht klären, denn dem Maßnahmenkatalog muß der Richtlinien-Katalog vorausgehen - und der wird für eine Leberwurst-Fabrik sicher weitläufig anders aussehen, als einer für das Verteidigungsministerium …

Wir stehen Ihnen mit unserer langjährigen professionellen Erfahrung bei der Erarbeitung Ihres individuellen Security-Richtlinienkataloges gern zur Seite.