Archiv

IT-Sicherheit
Die Herausforderungen sind größer geworden

Nicht zuletzt durch die von Edward Snowden bekannt gemachten Dokumente hat sich das Aufgabenspektrum des klassischen IT-Sicherheitsbeauftragten massiv verbreitert. Er wird zunehmend zum Informationssicherheitsbeauftragten. Das ist auch verbunden mit der Forderung nach ganzheitlichen Sicherheitslösungen.

Von Peter Welchering |
    Ein Mann sitzt vor einem Computerbildschirm mit verschiedenen geöffneten Fenstern.
    Die Anforderungen an eine sichere IT werden immer komplexer. (imago/Xinhua)
    "Also, ich denke, Edward Snowden hat ja auf jeden Fall einen guten Beitrag dazu geleistet, dass Sicherheit jetzt nicht nur in der IT-Abteilung diskutiert wird, sondern sicherlich auch auf den höheren Managementebenen in den Unternehmen", so bewertet Florian Stahl, Chefberater beim Sicherheitsspezialisten MSG Sytems in Ismaning die Situation.
    Edward Snowden war nicht nur bei den Teilnehmern der Konferenzmesse Itsa15 in Nürnberg präsent. Er war auch am Donnerstag, am letzten Messetag, für eine kurze Keynote virtuell präsent - zugeschaltet aus Moskau. Gut zwei Jahre, nachdem der ehemalige NSA-Mitarbeiter publik gemacht hat, wie weit die Überwachung durch die technischen Geheimdienste geht, ist Snowden mit seiner Botschaft nicht nur beim EuGH angekommen, über dessen aktuelles Urteil wir gleich noch diskutieren werden, sondern auch bei den Sicherheitsbeauftragten in Deutschland. Warum hat das zwei Jahre gedauert, Peter Welchering? Wie ist das zu erklären?
    Es hat einfach zwei Jahre gedauert, ehe Snowden im Bewusstsein der Menschen hierzulande angekommen ist. Viele Systemadministratoren oder IT-Sicherheitsbeauftragte, mit denen ich auf der ITSA gesprochen habe, sagten mir, sie hätten sich zunächst von dem, was da in den Dokumenten zu lesen ist, die Snowden öffentlich gemacht hat, gar nicht so richtig betroffen gefühlt.
    Auch der Chef für Informationssicherheit eines großen Dax-Konzernes sah das Sicherheitsrisiko in Richtung China und hat zunächst gar nicht glauben wollen, dass ein amerikanischer oder britischer Geheimdienst an die Kronjuwelen seines Unternehmens will. Also, das hat eine Zeit gedauert. Und hinzu kommt, dass das Aufgabenspektrum des klassischen IT-Sicherheitsbeauftragten sich während der vergangenen 18 Monate massiv verbreitert hat. Wir sind da auf dem Weg vom IT-Sicherheitsbeauftragten zum Informationssicherheitsbeauftragten. Und der muss Risiken wahrnehmen, die der IT-Sicherheitsbeauftragte so nicht in den Blick bekommen hat. Das hat in vielen Fällen zu einer Neubewertung der Dokumente von Edward Snowden geführt.

    Die Entwicklung geht also vom IT-Sicherheitsbeauftragten zum Informationssicherheitsbeauftragten. Das ist auch verbunden mit der Forderung nach ganzheitlichen Sicherheitslösungen. Bisher hat der IT-Sicherheitsbeauftragte da die technischen Aspekte fast ausschließlich im Fokus gehabt. Das aber reicht nicht mehr.
    Einbruchmeldesysteme, Software für das maschinelle Lernen zur Gefahrenabwehr, Mustererkennung, um Schadsoftware unschädlich zu machen – die Entwicklungen in der Sicherheitstechnik waren während der vergangenen zwei Jahre rasant. Aber sie reichen nicht aus, um Unternehmen und Behörden wirkungsvoll vor Angriffen mit Schadsoftware und Hacker-Attacken zu schützen. Uwe Reipa von der Datev sagt, was fehlt. "Die Unternehmen brauchen eine Gesamtstrategie, eine IT-Strategie, die alle Komponenten enthält, also nicht nur die technischen Komponenten, die relativ einfach noch zu realisieren sind, sondern auch die menschlichen Komponenten, die notwendig sind."
    Social Engineering nimmt wieder zu - also der uralte Hacker-Trick, mit dem Mitarbeiter regelrecht nach wichtigen Systeminformationen ausgefragt werden. Die Zahl der Spear-Phishing-Attacken steigt rasant. Hier werden Mitarbeitern ganz gezielt Mails mit Schadsoftware zugeschickt. Und auch das sogenannte Waterholing hat Hochkonjunktur. Dabei werden Web-Seiten, die Mitarbeiter einer bestimmten Abteilung gern besuchen, extra nachgebaut und mit Computerviren bestückt.
    Allein mit technischen Maßnahmen sind solche Angriffe nicht abzuwehren, meint Sicherheitsspezialist Peter Häufel von der IBM. "Natürlich ist erst einmal eine Konzeption wichtig. Ich muss das Risiko meines Unternehmens bewerten. Ich muss ein Verständnis haben, wo die Unternehmenswerte liegen, wer darauf Zugriff hat. Ich muss ein Risiko-Management-System dort etabliert haben und eine klare Sichtweise darauf haben, was ist mir wichtig, wer hat darauf Zugriff, wann hat der darauf Zugriff und wie hoch ist das Risiko, dass ich den Zugriff erlaube. Also eher mal ein konzeptioneller Ansatz, den man zunächst durchführen muss, bevor man dann die Technik hinterher schiebt. Konzeptionell in Zusammenarbeit mit dem Mitarbeiter und dann auch die technische Lösung, um genau das durchzusetzen, und die Anforderungen, die ein Unternehmen an so etwas hat, auch technisch zu untermauern und nur das zuzulassen, was ich erlauben möchte."
    Und da zeigt sich, dass technische Sicherheitslösungen - etwa ein komplexes Rechtemanagement - die Gefahren nicht mehr ausreichend abwehren. So muss die Suche nach Verhaltensanomalie von Software und Nutzern hinzukommen. Das erfordert ganz neue Sicherheitskonzepte, die auch Datenschutzanforderungen und Mitarbeiterrechte ausreichend beachten. "Es gibt Lösungen, wo wir Dinge einfach pseudonymisieren können, das heißt, wir sind in der Lage, den Namen des Benutzers zu verstecken, die IP-Adresse zu verstecken. Und wenn wirklich etwas zu sehen ist, wo man sagt, hier muss man alarmieren, hier ist etwas Seltsames passiert, den Betriebsrat hinzuzieht und sagt: Hier gibt es eine wichtige IP-Adresse oder ein komisches Verhalten von einem Nutzer, ich schick Dir mal 'ne kryptische Zahlenfolge runter – notfalls bis auf den Namen runter. Wenn Wirtschaftsdaten oder Firmengeheimnisse verschickt werden über einen Account an Konkurrenzunternehmen, dann will man den Namen wissen, und dann ist es auch eine Straftat, und dann muss man sie auch ahnden können und sehen können."
    Organisatorische und technische Aspekte einer Sicherheitskonzeption müssen sorgfältig aufeinander abgestimmt sein. Dafür ist eine umfassende Risiko- und Bedrohungsanalyse Voraussetzung, meint Florian Stahl vom Sicherheitsspezialisten msg. "Das kann so weit gehen, dass man sagt, ich vermeide komplett ausländische IT-Dienstleister, wenn ich wirklich auf Nummer Sicher gehen möchte, dass keine Geheimdienste den Zugang bekommen. Das sind aber auch organisatorische Themen. Wenn jetzt ein Mitarbeiter ins Ausland reist, dass ich dem einen Laptop mitgebe, auf dem nur die notwendigen Daten sind oder den auch schule sozusagen. Ja, da müssen technische und organisatorische Lösungen Hand in Hand einhergehen."
    Die müssen auch bei der Softwareentwicklung Hand in Hand gehen. Doch in Sachen Sicherheit wird noch zu oft gesündigt. "Wenn man einfach mal auf Softwareentwicklung schaut. Häufig ist es ja dann doch irgendwie budgetgetrieben. Man hat einen sehr engen Projektzeitrahmen. Man muss die Software rechtzeitig fertigstellen. Und da kommt es dann schon mal vor, dass Sicherheit auf der Strecke bleibt. Man hat Sicherheit nicht von Anfang an bedacht oder nicht ausreichend im Budget. Es ist sicherlich auch eine Frage von weniger gut ausgebildeten Entwicklern, die einfach zum Security-Thema jetzt nicht so den Hintergrund haben und dann vielleicht einfach irgendwelche Bibliotheken verwenden, die unsicher sind oder eine Authentisierung selbst entwickeln, die einfach Sicherheit nicht gewährleisten kann."
    Um solche Fehlentwicklungen bereits im Vorfeld der Softwareentwicklung zu vermeiden, muss neben der IT-Abteilung und der Fachabteilung, die die Software später einsetzen wird, auch der Informationssicherheitsbeauftragte bei der Erstellung des Pflichtenheftes mitwirken. Doch davon sind viele Unternehmen noch weit entfernt.