Sicherheit im Netz/Eine Bestandsaufnahme aus Sicht von Betroffenen

Der Netzadministrator als Schwachstelle

20.09.2002
Überlastet durch eine Flut alltäglicher Routineaufgaben, bleibt Administratoren oft wenig Zeit für strategische Aufgaben wie den Schutz des Netzes. Werden den Verantwortlichen zudem Fortbildungen vorenthalten und fehlt ihnen Unterstützung im Management, muss das Kind meist erst in den Brunnen fallen, bevor Änderungen umgesetzt werden. Welche Lösungsansätze gibt es? Von Detlef Schumann und Ulrich Falke*

Netzadministratoren müssten klonbar sein, denn bei der Bewältigung ihres täglichen Arbeitspensums scheint es für sie regelmäßig eng zu werden. Diesen Eindruck gewinnt man jedenfalls, wenn man sich mit ihnen über die Erfahrungen in ihren Betrieben oder Organisationen unterhält. Eingespannt von alltäglichen Aufgaben und Pflichten bleiben strategische Überlegungen und Fragen zum Schutz des Netzes leicht auf der Strecke.

"Die meiste Zeit geht für den Support und das Einrichten von Notebooks drauf", erklärt etwa Detlef Henke: "Da haben Aspekte der Sicherheit kaum noch eine Chance." Mehrere Jahre hatte der Informatiker das Netzwerk bei einem führenden Internet-Provider betreut, bevor er zu seinem derzeitigen Arbeitgeber, einem Consulting-Unternehmen, wechselte. An seinem früheren Job bemängelt er zudem, dass dort keine Zeit für Weiterbildung und Schulungen blieb: "In den meisten IT-Budgets sind die Kosten für diese Qualifizierungen nicht vorgesehen." Neben der Zeit für die fachgerechte Pflege und regelmäßige Kontrolle fehlt es ihnen somit nicht selten auch am erforderlichen Wissen. "Da wird oft am falschen Ende gespart", resümiert Henke.

Diese Einschätzung teilt auch Dietmar Breitkreuz. Er war mehrere Jahre Systemadministrator bei einem mittelständischen Beratungshaus, bevor er sich selbständig machte. "Erst nach einem Schadensfall werden notwendige Budgets bereitgestellt", klagt er: "Vorherige Warnungen oder Hinweise auf Anschaffungen in Bereichen der Sicherheit durch den Administrator werden mit Blick auf die Kosten meist verschoben."

Sicherheit aus Zeitnot vernachlässigt

Dabei kann Sicherheit im Netz nur als eine Verkettung mehrerer Faktoren verstanden werden. Und wie jede Kette ist sie so stark wie ihr schwächstes Glied. Als anfälligste Bruchstelle gilt dabei der Mensch. Neben den Benutzern, denen es nicht selten an der nötigen Sensibilität für Sicherheitsfragen fehlt, sind es die Administratoren, die, meist aus Zeitgründen, die Sicherheit ihrer IT-Landschaften vernachlässigen.

Für sie gilt daher nicht nur ihre eigene Einstellung zu überprüfen, sondern auch dafür zu sorgen, dass bei der Geschäftsführung die nötige Sensibilität für das Thema Sicherheit entsteht. Ziel sollte sein, Sicherheit und Schutz von oben vorzuleben. Gefordert ist ein Sicherheits-Management, das alle Etagen und Bereiche der Unternehmen und Organisationen erfasst. Das bedeutet zugleich, IT-Sicherheit nicht weiter als ein singuläres Produkt zu betrachten, sondern als einen Prozess. Denn die Meinung, dass Sicherheitsmaßnahmen mit der Einstellung eines Systemadministrators, der Anschaffung einer Firewall oder eines Virenscanners erschöpft sind, ist im Management heute noch immer weit verbreitet.

Der Administrator: ein Mädchen für alles

Die Praxis zeigt zudem, dass Sicherheitslücken dadurch unentdeckt bleiben oder erst entstehen, weil das Aufgabengebiet des Administrators nicht eindeutig definiert ist. Oft fungiert er als Mädchen für alles, das auch für Aufgaben eingespannt wird, die sich anderen Berufsgruppen nicht ohne weiteres zuordnen lassen.

Nun zur Klärung der Frage, welche Wege aus dieser Schieflage herausführen können. Die einfachste Lösung wäre, mehr Personal einzustellen oder zusätzlich externe Ressourcen einzubeziehen, wodurch der Administrator vor allem von seinen routinemäßigen Arbeiten entlastet würde. Das allerdings scheitert oft schon an der Auftragslage des Betriebes und dem verfügbaren Budget. In keinem Fall aber darf an Mitteln für die Aus- und Weiterbildung im Bereich IT-Sicherheit gespart werden.

Ständig werden neue Sicherheitsbugs gefunden. Viele Administratoren sehen sich deshalb einer kaum zu bewältigenden Flut von E-Mails ausgesetzt. Jede Woche mehrere Dutzend Benachrichtigungen über mögliche Sicherheitsrisiken durch neue Viren, Würmer und Hacker-Angriffe oder auch Hinweise auf die fehlerhafte Programmierung des Anbieters sind keine Seltenheit.

Flut von Warnungen in den Griff bekommen

Als Lösung bietet sich den Betreuern der Netzwerkelemente und der angeschlossenen Peripherie an, bei den Sicherheitsforen der Hersteller, am CERT oder vergleichbaren Gruppen teilzunehmen, wie sie unter anderem der Bundesverband Informationswirtschaft (Bitkom) eingerichtet haben, um sich auf dem Laufenden zu halten. Und sie müssen sich die aktuellen Updates, Patches und Service-Packs besorgen und einpflegen. Zudem sollten sie Strategien entwickeln, durch die sie die wichtigen von unwichtigen Nachrichten unterscheiden können und mit denen sich die Flut von vermeintlichen und echten Warnungen eindämmen lässt. Hier bieten einige Internet-Seiten wertvolle Hilfe. Sie widmen sich aktuellen Fragestellungen der Rechner- und Netzsicherheit. Erfasst sind alle bekannten, veröffentlichten Sicherheitslücken, zum Teil auch mit so genannten Exploits. Das sind Beispielprogramme, die nicht zuletzt auch potenziellen Angreifern aufzeigen, wo Lücken ausgenutzt werden könnten.

Eine weitere Lösungsstrategie besteht darin, die Architektur des Netzes und der Host-Umgebung so einfach und homogen wie möglich zu gestalten. Das bedeutet aber zugleich eine Begrenzung auf möglichst wenige Anbieter. Damit steigt wiederum die Abhängigkeit vom Hersteller. Vor- und Nachteile dieses möglichen Ansatzes müssen somit gegeneinander genauestens abgewogen werden.

Wichtig ist in jedem Fall, dass das Management in Fragen der IT-Sicherheit weitgehend eingebunden wird. Durch die System- oder Netzadministratoren im Unternehmen sind den Entscheidern verstärkt sicherheitsrelevante Probleme darzustellen, um das mangelnde Sicherheitsbewusstsein weiter abzubauen.

Richtlinien festlegen

Je mehr sich die Unternehmensleitung der Gefahren der Nutzung von IT-Technik ohne vorhandene Sicherheitsstrategie bewusst ist, desto leichter wird es den Fachkräften fallen durchzusetzen, dass ihnen die notwendigen Security-Budgets bereitgestellt werden.

Schließlich muss, um ein System oder Netz möglichst sicher zu gestalten, frühzeitig eine Policy festgelegt werden, welche die Sicherheitsrichtlinien festschreibt. In diesem Regelwerk ist dann genau definiert, welche Benutzer bestimmte Rechte haben dürfen, wer in dem Unternehmen privilegierten Zugang erhält und wie die Absicherung bestehender Installationen erfolgt. Es wird auch festgelegt, wer Updates durchführt oder wann und wie Sicherheitskopien bestehender Daten angefertigt werden. Obwohl solche Richtlinien zum Standard von IT-Sicherheitskonzepten gehören, existieren sie in vielen Unternehmen immer noch nicht. Doch auch wo den Auftraggebern die wichtigsten sicherheitsrelevanten Themen bereits bekannt sind, werden selten die Konsequenzen daraus gezogen. Auch dort muss vielfach das Kind bereits in den Brunnen gefallen sein, bevor gehandelt wird. Zu hoffen ist dann, dass der Schaden nicht allzu groß ist, aus dem letztlich alle klug werden. (sra)

* Detlef Schumann und Ulrich Falke sind Mitarbeiter der C_sar AG, einem Tochterunternehmen der Systematics AG, die im vergangenen Jahr mehrheitlich von der EDS übernommen wurde.

Abb: Festgestellte System- und Netzschwächen pro Jahr

Kein Grund zur Entwarnung, im Gegenteil: Die Zahl der System- und Netzwerkschwächen nimmt kontinuierlich zu. Quelle: Security Forces