Hochkonjunktur für die IT-Sicherheit

Von der International Data Corp (IDC), einem Geschäftsbereich der in Framingham, Massachusetts, beheimateten International Data Group (IDG), stammt der Bericht Big Picture: IT Security Products and Services Forecast and Analysis, 2002-2006. Dieses 16-seitige Dokument der Beratungsfirma (Preis: 2.500 US Dollar) basiert vor allem auf einer Prognose des Wachstums im Markts für Internet-Sicherheit. So wird hier ein Anstieg der Ausgaben von 17 Mrd. US Dollar 2001 auf 45 Mrd. US Dollar 2006 erwartet, wobei die größten Zuwachsraten im Bereich sicherheitsrelevanter Hardware liegen dürften.

Aus einem anderen IDC-Bericht geht hervor, dass Unternehmen des asiatisch-pazifischen Raums durchschnittlich 8 – 14 % ihrer IT-Etats für Sicherheitsanwendungen ausgeben, wobei diese Ausgaben 2003 auf 9 – 17 % ansteigen könnten. Die Bedrohung durch Viren wird zunehmend ernst genommen, weshalb viele Unternehmen voraussichtlich über den Einsatz von Firewalls und Antiviren-Programmen hinaus vermehrt auf VPNs setzen werden.

Wer noch immer der alten Debatte um die Frage anhängt, welche Software-Systeme denn nun sicherer seien, proprietäre (wie z. B. Microsoft) oder Open Source-Konzepte, dürfte sich für die Arbeiten von Ross Anderson interessieren, dem Sicherheitsleiter der University of Cambridge Computer Library. Anderson zufolge besteht zwischen der Sicherheit offener und proprietärer Software kaum ein Unterschied. Er ist der Ansicht, dass es bei der Software-Sicherheit vor allem darauf ankomme, wie schnell neue Schwachstellen entdeckt und in der Praxis behoben werden.

Andersons Folgerung, dass ein Open Source-System auch nicht sicherer sei, basiert auf der Tatsache, dass es die Angreifer grundsätzlich einfacher als die Abwehr haben, da sie nur eine einzige Lücke finden müssen, während zur Abwehr stets das gesamte System geschützt werden muss. Aus dieser Feststellung ergibt sich, dass bei einer Open Source-Software Probleme vielleicht einfacher zu lokalisieren und zu lösen sein mögen, jedoch gleichzeitig die Angreifer auch einfacher deren Schwachstellen finden können.

Dies bedeute nicht, dass die Open Source-Systeme extrem anfällig sind, so Anderson. Dennoch stellt diese Schlussfolgerung die beiden System-Ansätze insofern auf eine Stufe, als dass kein objektiver Grund vorliege, sich aus Sicherheitsgründen für ein Open Source-Produkt statt für ein proprietäres Angebot zu entscheiden. Andersons Folgerung stellt einfach nur eine kritische Analyse verschiedener relevanter Faktoren dar.

Wer nicht mit Andersons Thesen übereinstimmt, sollte zunächst seine vollständige statistische Analyse Security in Open versus Closed Systems — The Dance of Boltzmann, Coase and Moore lesen. Außerdem bietet die Website von Anderson interessante Informationen zu den wirtschaftlichen Aspekten der Sicherheit.

Fazit
Alles deutet darauf hin, dass in den nächsten Jahren enorm steigende Anforderungen auf die Sicherheitsexperten zukommen werden. Egal, mit welcher Software diese derzeit arbeiten, die für sie wohl wichtigste in diesem Artikel enthaltene Information dürfte in der IDC-Studie liegen, die für die nächsten fünf Jahre ein jährliches Wachstum um 25 % des Markts für Internet-Sicherheitshardware voraussieht. Schließlich wird irgendjemand diese Hardware auswählen, installieren und verwalten müssen.

IT-Experten, die über ein fundiertes und professionelles Know-how zu Sicherheitsfragen verfügen, werden in der Lage sein, sich in der Vielzahl von Systemen und Plattformen zurechtzufinden, die den Unternehmen von Seiten all der Anbieter präsentiert werden, die sich ihren Anteil am Sicherheitsmarkt sichern wollen. Die Tage des Mangels an Webdesignern mögen vielleicht gezählt sein, doch könnte die Glanzzeit für Sicherheitsfachleute erst angebrochen sein.