Weltweit soll es auf Firmen jährlich rund 60 Millionen Sicherheitsattacken geben. Somit sei es "grob fahrlässig, wenn Firmen den Sicherheitsanforderungen keine ausreichende Bedeutung beimessen", schreiben die Macher der Initiative Security for Business oder abgekürzt S4B. Diese Aussage von S4B ist jedoch nicht ganz uneigennützig, immerhin bietet die Organisation aufgrund dieser Zertifikate Sicherheitsanalysen an.
Hinter der Initiative steckt ein Mann namens Erich Zimmermann, geschäftsführender Gesellschafter der Firma Zimmermann MVCS. Zu den Gründungspartnern gehört auch T-Systems, mit anderen möglichen Gefährten werden derzeit Gespräche geführt.
Die international akkreditierte Zertifizierungsstelle der T-Systems stellt denn auch die Sicherheitszertifikate aus, womit die Ergebnisse zum Beispiel auch in der Schweiz anerkannt sind. Speziell die Schweiz setzt Zimmermann viel Hoffung: "Wir erwarten gerade von den exportorientierten und sicherheitsbewussten Unternehmen in der Schweiz eine gewisse Vorreiterrolle."
An Firmen mit einem genügend hohen Sicherheitsstandard soll das sogenannte S4B-Label erteilt werden. Dieses Zertifikat soll sich zu einem internationalen Sicherheitsstandard für Unternehmen mausern.
Um das Label zu erhalten, müssen Firmen Sicherheitsanalysen sowie Tests und Untersuchungen über sich ergehen lassen. Dabei sollen mögliche Bedrohungen und Schwachstellen des Unternehmens herausgefiltert werden. Zudem werden gesetzliche und vertragliche Verpflichtungen unter die Lupe genommen sowie organisatorische Abläufe und technologische Standards durchleuchtet.
Einen Anhaltspunkt, welche Bereiche bei einem solchen Check analysiert werden, erhält man durch den Online-Security-Check, den man auf der Site durchführen kann.
Ist diese Testphase einmal abgeschlossen, sollen Firmen nach dem Willen von S4B entsprechende Massnahmen zur Beseitigung der Schwachstellen treffen. Danach soll die Zertifizierung stattfinden.
Der Nutzen eines solchen Sicherheitsnachweises wird vor allem in Hinsicht auf die Risikobewertung eines Unternehmens interessant, die Einfluss auf die Konditionen beispielsweise bei Krediten haben kann. Auch für die Abwehr von Regressansprüchen könne ein Sicherheitsnachweis helfen, schreiben die S4B-Macher.
Ein Sicherheitslabel zu erteilen ist die eine Seite, die Gültigkeit desselben zu erhalten jedoch eine völlig andere. Bereits nach dem Aufspielen eines Patches beispielsweise können die schönsten Sicherheitsvorkehrungen und somit auch das Label dahinsein.
S4B bietet seine Dienste aus diesem Grund im Aboverfahren an und überprüft beispielsweise das Vorhandensein eines Maintenance-Prozesses, zu dem auch das Einspielen von Patches gehört. Sollte im Rahmen von Sicherheits-Audits vor Ort festgestellt werden, dass diese Maintenance-Verfahren nicht angewendet und deshalb ein Patch nicht eingespielt wird, behält man sich auch vor, die Zertifizierung wieder zu entziehen. Weiter will man die Kunden auch mit Infos über Lecks sowie Updates versorgen.
Das grösste Problem, mit dem S4B zu kämpfen hat, ist die Verbreitung des Labels. Voraussetzung dafür ist, dass ein Zertifikat ein gewisses Gewicht erhält. Die Strategie, mit der S4B dieses Ziel verfolgt, klingt vorerst noch nicht sehr vielversprechend. Zimmermann: "Wir werden mit Fachbeiträgen informieren - unter anderem mit Studien zur Sicherheitsthematik in der Zusammenarbeit der Unternehmen, der eine immer grössere Bedeutung zukommt."
Weiter sollen regionale Veranstaltungen zusammen mit Partnern, Verbänden, Banken und Versicherungen ab dem 2. Quartal S4B bekannt machen. Zu guter Letzt führt Zimmermann das S4B-Portal an, das Infos zu Security-Themen bieten soll. Ob diese Massnahmen reichen werden, um das S4B-Label zum ultimativen Sicherheitsausweis für Unternehmen zu machen? Die Zeit wird es zeigen - Zweifel sind berechtigt.
Ganz billig ist der Spass überdies auch nicht: Die Preise für die Schweiz beginnen bei 1600 Franken im Jahr für die Basissicherheit (Checkliste und Coaching). Standardsicherheit (Basissicherheit plus Offsite-Penentrationstests und Audit, Siegelvergabe) gibt's für 16'000, professionelle Sicherheit (Basissicherheit, Standardsicherheit plus Anwendungsanalyse, Onsite-Penetrationstest, detailliertes Audit, Zertifizierung von Organisation und Technik) für 67'000 Franken im ersten Jahr
sowie rund 24'000 Franken in den Folgejahren. Und dabei dachte man immer, Sicherheit müsse ohnehin professionell sein.
