IT-Sicherheit durch stetige Veränderung

Always change a running system

01.08.2016
Von  und Jan Graßhoff
Sven Malte Sopha ist Senior Consultant bei Cassini Consulting am Standort Berlin. Er berät vorwiegend zu den Schwerpunkten Management- und Organisationberatung im Public Sector. Für den nach IPMA zertifizierten Projektmanager zählt die Programm- und Projektsteuerung von (IT-)Projekten ebenso zum täglichen Geschäft wie auch der Datenschutz und die Informationssicherheit. Zentrale Aspekte im Bereich der Sicherheit sind der Aufbau von Managementsystemen nach ISO 27001 wie auch die Umsetzung des IT-Grundschutzes.
Ihre IT-Systeme schützen Sie schon seit Jahren ohne Veränderung zuverlässig? Dann hatten Sie bisher vielleicht einfach nur Glück.

Computersysteme haben längst Einzug in alle Lebensbereiche gehalten. Durch den Einsatz dieser Technologien wurde und wird unser Leben zweifelsohne einfacher. Ob es sich um die Fahrzeugsteuerung in einem PKW oder um die digitale Zutrittssteuerung im Büro handelt - in vielen Fällen sind wir von diesen Systemen abhängig und müssen uns auf eine ordnungsgemäße Funktion verlassen. Die Eigenschaften von IT-Systemen werden maßgeblich durch ihre Software festgelegt. Dies reicht von integrierten Steuerungsanlagen bis hin zu Anwendungssoftware auf PC oder Notebook.

So unterschiedlich verschiedene Softwareprodukte sein können, eines haben sie jedoch gemeinsam: Alle enthalten Fehler, die zu Sicherheitslücken führen können. Wer diesem Problem sinnvoll begegnen will, muss sich von dem alten Grundsatz "Never change a running system" verabschieden. Wer seine IT-Systeme wirklich schützen will, muss IT-Sicherheit als kontinuierlichen Prozess verstehen - und in der Organisation entsprechend verankern.

Gefahr durch bekannte Sicherheitslücken

Der Ursprung von Fehlern und damit Sicherheitslücken in IT-Systemen kann vielfältig sein. So fand beispielsweise ein Hacker im Jahr 2008 heraus, dass eine unzureichende Spezifizierung in den Kassensystemen des Discounters Lidl zu deren Absturz führen konnte. Die im April 2014 bekannt gewordene Schwachstelle in der Verschlüsselungsbibliothek OpenSSL mit dem Namen "Heartbleed" resultierte hingegen aus einem Implementierungsfehler. Unabhängig von Ursache und Auswirkung stellen Hersteller in der Regel Software-Updates bereit, welche bekannt gewordene Fehler beheben sollen. Gleichzeitig werden im Internet aber Informationen und Werkzeuge zur Ausnutzung dieser Sicherheitslücken gehandelt, mit denen nicht nur technisch versierte Nutzer großen Schaden anrichten können. Da eine Schwachstelle zum Zeitpunkt der Bereitstellung einer Fehlerbehebung (oder kurz danach) meist öffentlich bekannt ist, kann sie durch Angreifer aktiv ausgenutzt werden.

Die Betreiber von IT-Systemen sind daher gut beraten, Aktualisierungen zeitnah einzuspielen. Dies ist im Fall von regulärer Anwendungssoftware auf einem PC vergleichsweise einfach - kann im Fall von dezentralen und nicht vernetzen Systemen jedoch einen erheblichen Aufwand bedeuten. Ein aktuelles Beispiel dafür ist die Rückrufaktion von VW, bei der wegen des Abgasskandals allein in Deutschland hunderttausende Fahrzeuge zum Softwareupdate in die Werkstatt müssen.