2005-09-02 17:05:45

Sicherheit ist immer eine Frage des Aufwands

Computer sind zukunftsorientiert und haben noch immer ein gewisses Science Fiction Image. Prinzipiell ist mit diesen Maschinen alles möglich und die Machbarkeitsgrenzen sind noch lange nicht erreicht.

Mathias Hein

Druckversion

Dagegen verlangen die Grundsätze einer sorgfältigen Unternehmensführung ein sicheres und berechenbares Fundament. Somit müssen die Möglichkeiten der Computertechnik auf die für den Betrieb notwendige Funktionen reduziert werden. Spätestens durch die Öffnung der Computernetze hin zum Internet, waren die Unternehmen mit der Tatsache konfrontiert, dass durch die Möglichkeiten des Internets ein mehr oder weniger großes Sicherheitsloch entstand und damit ein unberechenbares Geschäftsrisiko einherging.

Prinzipiell ist jedes Netz angreifbar. In der Umkehrung bedeutet diese Aussage: Die einzig sichere Verbindung ist keine Verbindung! Das wirklich sichere Netz besitzt keine Verbindung nach Außen, hat keine Benutzer und ist stromlos! Nutzt ein Unternehmen die Funktionen des Internets, der Extranets und der Intranets, muss es sich darüber Gedanken machen, welche Möglichkeiten der Absicherung der Daten und Infrastruktur bestehen und welcher Grad der Öffnung für das Unternehmensnetz realisierbar ist. Voraussetzung ist eine detaillierte Kenntnis der möglichen Gefahren. Hier gilt immer noch das Motto: „Gefahr erkannt - Gefahr gebannt!“

Der Mittelstand versucht mit IT- und eBusiness-Projekten seine spezifischen Wettbewerbsvorteile auszuschöpfen. Diese Aktivitäten lassen sich jedoch nur mit den neuesten Kommunikationsmechanismen sinnvoll umsetzen. Hier werden auch die neuesten Technologien, wie beispielsweise Voice over IP (VOIP), Wireless LAN (WLAN) und Storage Area Networks (SAN) genutzt. Die Vorteile im Bereich der Betriebskosten, und nicht zu unterschätzen, die schnelle Akzeptanz dieser Techniken durch die Benutzer, verdeckt deren Mangel an Marktreife bzw. erfordert vom Betreiber die Implementation zusätzlicher Sicherheitsprodukte.

Viele Unternehmen aus dem Mittelstand, sind sich jedoch nicht der Gefahren und Abhängigkeiten bewusst. Oft handeln mittelständische Unternehmen erst, wenn schon ein Schaden eingetreten ist. Wenn der Server unter der Flut von Werbemails zusammenbricht oder ein Virenbefall Daten zerstört hat, werden Sicherheitslöcher mit der heißen Nadel geschlossen.

Der Mittelstand liegt vorne, zumindest bei der Zunahme der Sicherheitsverstöße. Rund zwei Drittel der mittelständischen IT-Verantwortlichen geben an, dass die Unregelmäßigkeiten in punkto Sicherheit zugenommen haben. Die in den gängigen Betriebssystemen eingesetzten Security-Funktionen sind unzureichend und schaffen nur scheinbare Sicherheit. Selbst der Microsoft-Gründer Bill Gates prognostizierte in einem Spiegel-Interview einen Nachholbedarf in Sachen Computersicherheit.

Wenn KMUs zusätzliche Sicherheitsmaßnahmen umsetzen, sind das höchstens Virenscanner und manchmal auch der Kauf von Firewall-Systemen. Die meisten kleineren Unternehmen wollen nur maximal 1.000 Euro zur Verbesserung ihrer Computer- und Internetsicherheit ausgeben Die Bedrohungen und Gefahren, sind ihrem Wesen nach, die gleichen wie bei großen Unternehmen. IT-Sicherheit muss gerade in kleinen und mittleren Unternehmen groß geschrieben werden. Viele KMUs sind wegen ihrer geringen finanziellen Reserven und personellen Ausstattung in Bezug auf IT-Sicherheit sogar noch verwundbarer als große Unternehmen

Dieser strukturelle Nachteil kann jedoch durch eine Reihe unterschiedlicher Maßnahmen kompensiert werden. Hierzu gehört eine klare Formulierung der Sicherheitspolitik des Unternehmens und die Erarbeitung eines strategischen Anforderungskatalogs (Schutzbedarf der Daten und Kommunikationsressourcen) in dem alle betrieblichen Belange und Aspekte berücksichtigt werden. Die Technik kommt erst hinzu, wenn alle Randbedingungen geklärt sind. Dadurch wird unabhängig von der verfügbaren Technik überprüft, welcher Sicherheitsbedarf notwendig ist und wie sich die Umsetzung am Geschicktesten, mit den angebotenen Produkten, realisieren lässt.

Technische Ressourcen wie ein Netzwerk sind in einem Unternehmen dazu da, die Arbeitsabläufe der Benutzer zu unterstützen und zu vereinfachen. Diese Unterstützung wird jedoch nicht durch die eingesetzte Infrastruktur, wie beispielsweise die Kabel, die Netzwerkkomponenten, die Protokolle, das Netzbetriebssystem oder die am Netzwerk angeschlossenen Rechner erbracht. Die auf dem Netz eingesetzten Applikationen und die Benutzer unterstützenden Dienste sind die eigentlichen Kriterien die erst einen Zugriff auf die gemeinsamen Datenbestände ermöglichen.

Aus den an die Applikationen und Services gestellten Anforderungen, definieren sich die Anforderungen an das Netzwerk und die Qualität und Quantität der erforderlichen Netzdienste und der Sicherheit.

Das Thema Sicherheit ist somit für Unternehmen nicht nur eine technische, sondern auch eine organisatorische Herausforderung. Eine Herausforderung, an der bei der Sicherheitsplanung alle betroffenen Unternehmensbereiche aktiv einbezogen werden müssen. Nur hier kennt man die Sensibilität der einzelnen Datenbestände, und nur gemeinsam lassen sich die Risiken im Unternehmensnetz richtig abschätzen. Weil jedes Sicherheitskonzept so individuell ist, wie das Unternehmen selbst, sollte der Sicherheitsgedanke von Anfang an in das Planungskonzept aufgenommen werden. Grundlage jeder vernünftigen Umsetzung der formulierten Sicherheitspolitik ist die genaue Kenntnis der im Unternehmen eingesetzten technischen Kommunikationsprodukte. Komplexe Netzstrukturen und die Notwendigkeit, Anwendungen dezentral und sogar über lokale Netzgrenzen hinaus zu betreiben, erfordern eine sorgfältige Analyse und eine anschließende, sachgerechte Abbildung auf den jeweiligen Produkten.

In der Regel orientieren sich die Ziele einer Sicherheitsstrategie an folgenden Fragestellungen:

maximal zugängliche Dienste und Services vs. maximaler Sicherheit.

Mit jedem, im Kommunikationsnetz, den Benutzern zur Verfügung gestellten Diensten und Services erhöht sich natürlich das Gefahrenpotential. Es muss der Nutzen gegenüber der potentiellen Gefahr abgewogen werden. In manchen Fällen wird sich herausstellen, dass die Kosten für die Sicherheit eines Dienstes den Nutzen erheblich übersteigen. Solche Dienste sollten im Kommunikationsnetz deaktiviert werden.

Benutzerfreundlichkeit vs. Sicherheit

Das benutzerfreundlichste System ermöglicht jeder Person einen freien Zugriff auf die Kommunikationsressourcen. Erst die Abfrage von Login-Namen und Passworten schafft eine erste Sicherheitshürde für die Kommunikationsressourcen. Diese Sicherheit geht jedoch zu Lasten der Benutzerfreundlichkeit. Natürlich erhöhen spezielle einmal für eine Verbindung vergebene Passworte die Sicherheit um ein Vielfaches - gehen jedoch zu Lasten der freien Benutzung der Ressourcen.

Kosten der Sicherheit vs. Risiko eines Totalverlustes

Die Kosten für die Sicherung der Systeme und deren Ressourcen subsumieren sich aus einer Vielzahl von Einzelkosten. Hier sind die Kosten für die Beschaffung der Sicherheits- Hard- und -Software einer Firewall oder des Passwortgenerators zu betrachten. Eine sichere Verschlüsselung der Daten schlägt sich in einer geringeren Durchsatzgeschwindigkeit nieder und hat eine Erhöhung der Leitungsgeschwindigkeit und eine höher performante Hard- und Software zur Folge. Diese Kosten müssen den spezifischen Risikofaktoren gegenüber gestellt werden. Hierzu gehört der Verlust der Privatsphäre (Mitlesen von privaten Informationen durch Dritte), Verlust von Daten (Veränderung oder Verlust von Informationen) und den Verlust bestimmter Ressourcen (Benutzung von Computer-Ressourcen durch Fremde, Verweigern von Zugriffen auf Kommunikationsressourcen).

Das beste und teuerste Produkt nützt wenig, wenn die Sicherheitskonzepte durch schlecht ausgebildetes Personal bzw. schlecht konfigurierte Produkte unterlaufen werden können. Beispiele hierfür sind die bekannten Sicherheitslöcher im WLAN. Dieses Broadcast-Verfahren auf Basis von Funkwellen macht leider nicht an Firmengrundstücken halt. Mit geringem Aufwand lassen sich die Daten legal mithören. Erst zusätzliche Sicherheitsmaßnahmen (Autorisierung, Verschlüsselung etc.) sorgen dafür, dass nur berechtigte Nutzer das WLAN auch nutzen und die übermittelten Informationen nicht im Klartext abgefangen werden können. Die Sicherheit im WLAN wird mit Hilfe von teilweise konkurrierenden Protokollen – und Mechanismen realisiert. Welche für die Umsetzung der jeweiligen Sicherheitspolitik richtigen Parameter aktiviert werden müssen, lässt sich nur auf einem soliden Produkt-Know-how entscheiden. Im Bereich der Benutzeridentifizierung unterstützen die meisten Produkte inzwischen die IEEE 802.1x-Mechanismen. Jeder Nutzer muss sich (User ID und Passwort) zuerst vollständig per Radius identifizieren bevor der jeweilige Port (WLAN und/oder Netzport) für ihn frei geschaltet wird. Alternativ sind auch anstatt der Benutzer-ID und dem Passwort, Smartcard oder die Auswertung biometrischer Merkmale vorstellbar. Da inzwischen die Kommunikationsprodukte individuelle Zugangslisten unterstützen, erhält der für den Benutzer frei geschalteten Port auch gleichzeitig die notwendigen Zugangs- und Rechnerrechte. Somit lässt sich elegant der Zugang von Fremdfirmen auf das Netzwerk und die daran angeschlossenen Ressourcen reglementieren bzw. vollständig ausschließen.

In den vergangenen Monaten attackierten immer wieder Computerviren und Würmer PCs mit dem Windows-Betriebssystem rund um den Globus. Außerdem beklagen sich PC-Anwender immer häufiger über unerwünschte Werbe-Mails (Spams) und Spähangriffe auf persönliche Daten durch so genannte Spyware- und Phishing-Attacken. Hier hilft nur eine rigorose Aufklärung der Benutzer als präventive Maßnahme und die richtige Kombination von hoffentlich ordnungsgemäß installierten Sicherheitsbarrieren. Vertrauliche Informationen (Vorstand zu Vorstand oder interner Verkehr in der Personalabteilung) müssen gesondert geschützt werden (beispielsweise durch eine Verschlüsselung) und dürfen auf keinen Fall frei im internen übertragen und schon gar nicht in externe Netze weitergeleitet werden. Ähnliches gilt für die Sprachkommunikation. Wer kennt nicht den Fall, dass „zufällig“ ein Telefonat mitgehört wurde und die darin besprochenen Inhalte zum falschen Zeitpunkt ans Licht der Öffentlichkeit gelangten. Voice over IP enthält bereits sein Anbeginn der Standardisierung den Sicherheitsgedanken. Über individuelle Profile lassen sich die Sprachströme in Abhängigkeit des Kommunikationspartners verschlüsseln bzw. unverschlüsselt übertragen. Zusätzliche teure Kryptoboxen oder umständlich zu bedienende Zusatz-Software sind nicht notwendig. Der IT-Administrator nutzt dabei nur die vorhandenen Fähigkeiten der Systeme und kombiniert diese mit den individuellen Anforderungen (VoIP-Profilen).

Natürlich steigen die Anforderungen in Sachen „Sicherheit“ kontinuierlich an und die Sicherheitsszenarien werden immer komplexer. Die Zeiten in denen es genügte eine einfache Firewall (möglichst noch Freeware) und einen Virus-Checker zu installieren gehören der Vergangenheit an. Heute gewährleisten eine Vielzahl genau aufeinander abgestimmter Komponenten die geforderten Sicherheitsfunktionen. Die meisten in den Unternehmen vorhandenen technischen Sicherheitskomponenten wurden im Laufe der Jahre immer komplexer und bieten heute dem Administrator eine Vielzahl von Funktionsmechanismen um seine individuellen Sicherheitsrichtlinien in die Praxis umzusetzen. Hierbei sind jedoch die meisten Administratoren von ihrem Ausbildungsstand her überfordert. Die Hersteller dieser Produkte ignorieren diese Realität und setzen den Kunden teilweise mit unbrauchbaren bzw. ohne ein tiefes Wissen um die technischen Details nicht nutzbarer Produkte aus. Hier hilft nur ein „Wissens-Upgrade“ auf Seiten der Administratoren. Eine fundierte Ausbildung und ein solides Wissen beugen der „Entmündigung“ durch die Hersteller vor, sorgen für den echten Durchblick bei der Sicherheit und spart langfristig unnötige Kosten ein.