Mit dem nebenstehenden prägnanten Vergleich aus dem Bereich der Medizin rückt Dirk Stelzer der vom Bundesamt für Sicherheit der Informationstechnik (BSI) vorgegebenen Definition von "Sicherheit in der Informationstechnik" zu Leibe: Gesundheit (Sicherheit), so der Wissenschaftler, ist mehr als die Anwendung von Therapien (technischen Maßnahmen).
Keine Sicherheit ohne Strategie
Das "Bifoa", Köln, hat eine "Generelle Strategie für die Informationssicherheit" (ISi) entwickelt. Die schwersten Hindernisse für Informationssicherheit liegen nach Erkenntnis der Bifoa-Wissenschaftler beim Top-Management.
Ein kurzes Gleichnis
Drei Ärzte erkennen, daß sie zwar (fast) alles über Krankheiten, Untersuchungsmethoden und Therapien wissen, aber das Ziel, um das es geht, nur ungenau beschreiben können: Gesundheit.
Ein Assistenzarzt skizziert seine Vorstellung von Gesundheit so: "Ich stelle mir einen Standardsatz von Therapie-Elementen vor. Jede Person bekommt die wichtigsten Impfungen, ein Mindestmaß an Antibiotika, Mittel zur Herz-Kreislaufstärkung; ich führe als Arzt verschiedene Maßnahmen zur Krebsvorsorge durch ... etc. Halbjährlich ist ein Zahnarzt aufzusuchen, Rauchen wird untersagt. Wenn alle diese Dinge korrekt ausgeführt werden, dann ist und bleibt ein Mensch gesund."
Ein älterer, unter den Kollegen als fähiger Praktiker bekannter Oberarzt, hat eine etwas andere Vorstellung von Gesundheit: "Du machst es Dir zu einfach. Das bloße Durchführen von Behandlungen kann doch wohl noch nicht als Gesundheit gelten. Für mich ist ein Mensch dann gesund, wenn kein Herzinfarkt vorliegt, kein Verdacht auf eine Krebserkrankung besteht, die Bandscheiben okay sind, kein ..."
Der dritte, ein philosophisch interessierter Chefarzt, formuliert: "Ich verstehe unter Gesundheit den Zustand des vollständigen körperlichen, geistigen und sozialen Wohlbefindens und nicht nur das Freisein von Krankheit und Gebrechen."
Wir wollen hier einige Parallelen zwischen der fiktiven Unterhaltung der Ärzte und den tatsächlich vorhandenen Auffassungen über den Sicherheitsbegriff in der Informationsverarbeitung ziehen. Zu diesem Zweck kehren wir noch einmal kurz zum Gesundheitsbegriff zurück. Stellen wir uns vor, jemand möchte den Gesundheitszustand eines Menschen erkunden, zum Beispiel für eine Einstellungsuntersuchung. Welchen Ansatz soll er wählen, um zu bestimmen, ob die betreffende Person gesund ist? Den Ansatz des jungen Assistenten? Dann müßte nur überprüft werden, ob die aufgezählten Maßnahmen durchgeführt wurden. Aber führt dieser einfach zu beschreitende Weg zum Ziel? Natürlich würde kein vernünftiger Arzt auf die Idee kommen, so vorzugehen; jeder würde zunächst untersuchen, welche Medikamente nötig und welche Behandlungen erforderlich sind. Gesundheit ist mehr als die Anwendung von Therapien!
Um so erstaunlicher ist es, daß ein vergleichbarer Ansatz im Sicherheitsbereich von staatlichen Institutionen vertreten wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert den Begriff "Sicherheit" nicht explizit, es wird aber deutlich, daß hierunter das Vorhandensein bestimmter Maßnahmen, verstanden wird. In den IT-Sicherheitskriterien werden acht Sicherungsbereiche ("Grundfunktionen sicherer Systeme") so detailliert beschrieben, daß leicht der Eindruck entstehen kann, Sicherheit der Informationsverarbeitung lasse sich durch Anwendung der vom BSI aufgezählten Maßnahmen
erreichen.
Es wird zwar darauf hingewiesen, daß vor der Anwendung von Sicherungsmaßnahmen eine Analyse der relevanten Gefahren nötig ist und daß sich diese nur in der konkreten Einsatzumgebung analysieren lassen. Die Betrachtung potentieller Gefahren gerät jedoch sehr oberflächlich.
Das hinter dem Ansatz des BSI stehende Sicherheitsverständnis ist bestechend einfach: Sicherheit ist gegeben, wenn die vorgeschlagenen Maßnahmen ergriffen worden sind. Aber ist diese Sichtweise nicht etwas zu einfach?
Die "Grundfunktionen sicherer Systeme" können die Sicherheit der Informationsverarbeitung nur dann gewährleisten, wenn diese Maßnahmen geeignet sind, allen potentiellen Gefahren zu begegnen. Um dies sicherzustellen, hätte für jedes IT-System, auf das die Maßnahmen angewendet werden sollen, eine Gefahrenanalyse durchgeführt werden müssen.
Gefahrf durch unbefugte Handlungen
Das konnte vom BSI natürlich nicht geleistet werden und war auch nie beabsichtigt. Das BSI hat lediglich vom Einzelfall losgelöste Gefahren analysiert; offenbar sind aber auch bei dieser Analyse einige Fehler gemacht worden.
Die in den IT-Sicherheitskriterien "Grundbedrohungen" genannten Gefahren werden mit den Worten "unbefugter Informationsgewinn", "unbefugte Modifikation von Informationen" und "unbefugte Beeinträchtigung der Funktionalität" beschrieben. Diese kurze Aufzählung ist in zweierlei Hinsicht irreführend: Erstens ist die Sicherheit der Informationsverarbeitung nicht nur durch unbefugte Handlungen gefährdet, sondern auch durch zufällige Ereignisse, wie zum Beispiel höhere Gewalt.
Zweitens sind nicht nur Informationen, sondern auch Programme, Hardware oder Prozesse Gefahren ausgesetzt. Es dürfte allerdings leicht fallen, diese definitorischen Ungenauigkeiten zu verbessern. Problematischer sind zwei andere, tiefgreifendere Kritikpunkte:
Erstens untersucht das BSI Funktionalität und Qualität lediglich der technischen Maßnahmen im System selbst. Nach allgemeiner Überzeugung läßt sich Sicherheit der Informationsverarbeitung aber nur durch eine Kombination technischer mit organisatorischen, personellen, rechtlichen und wirtschaftlichen Maßnahmen erreichen. Die einseitige Ausrichtung des BSI ist mit einem Arzt zu vergleichen, der, unabhängig von der Krankheit des Patienten, ausschließlich Operationen als Therapieform einsetzt.
Zweitens werden nicht komplette Systeme unter realistischen Bedingungen, sondern lediglich Elemente von Informationssystemen, zum Beispiel Betriebssysteme oder Anwendungsprogramme, unter Laborbedingungen getestet. Dies kann bedeuten, daß das vom BSI getestete Systemteil zwar den Sicherheitsanforderungen genügt.
Sobald das betreffende Element aber in der Praxis zusammen mit anderen Programmen eingesetzt wird, können sich durch das Zusammenspiel der verschiedenen Systemteile Schwachstellen ergeben, die unter Laborbedingungen nicht erkennbar waren. Ein klassisches Beispiel wird von Clifford Stoll in seinem Buch "Kuckucksei" beschrieben: Der verfolgte Hacker fand Zugang zu sicherheitsrelevanten Betriebssystemdateien, weil ein in vielen Rechnern zusätzlich installierter Editor gravierende Sicherheitsmängel aufwies.
Welche Probleme können entstehen, wenn Anwender den Ansatz des BSI zum Ausgangspunkt ihrer Sicherheitskonzepte für die Informationsverarbeitung machen? Durch die einseitige Ausrichtung des BSI auf die "Grundfunktionen sicherer Systeme" wird der Eindruck vermittelt, ein System, in dem diese Sicherungsmaßnahmen realisiert sind, sei notwendigerweise ein sicheres System. Dies gilt aber nur, falls das vom BSI implizit zugrunde gelegte Risikoszenario für die konkrete Situation passend ist. Die Verantwortung für diese Überprüfung liegt beim Anwender selbst. Angesichts der detailliert erörterten "Grundfunktionen sicherer Systeme" besteht die Gefahr, die Risikoanalyse zu übergehen und sich zu schnell und zu früh auf die vom BSI vorgegebenen technischen Sicherungsmaßnahmen zu konzentrieren. Dem Anwender könnte dadurch eine ausreichende Sicherheit vorgetäuscht werden, die ihn dazu verleitet, einem in Wirklichkeit unsicheren System zu vertrauen.
Sicherheit als Abwesenheit von Gefährdungen
Ein völlig anderer Sicherheitsbegriff ist mit dem Gesundheitsbegriff des Oberarztes vergleichbar. Verschiedene Autoren bezeichnen Sicherheit als Abwesenheit von Gefährdungen oder Beeinträchtigungen sicherheitsrelevanter Objekte. Dieser Ansatz ist für einen verantwortlichen Umgang mit der Sicherheit der Informationsverarbeitung bereits deutlich besser geeignet. Er bewahrt die Anwender vor der trügerischen Hoffnung, mit der Durchführung eines standardisierten Satzes von Sicherungsmaßnahmen lasse sich umfassende Sicherheit erzielen. Statt dessen wird die Notwendigkeit betont, sich vor der Durchführung von Maßnahmen mit den jeweiligen Risikofaktoren zu beschäftigen. Problematisch ist dieser Sicherheitsbegriff lediglich dann, wenn mit ihm bestimmte Standardgefahren verbunden werden. Häufig stehen zum Beispiel Bedrohungen durch "Hacker" und technisches Versagen im Vordergrund der Diskussion. Es besteht dann die Gefahr, daß diese vorformulierten Risiken überbewertet und ungeprüft übernommen, Nachlässigkeiten oder Fehler eigener Mitarbeiter jedoch übersehen werden. Bei Vorgabe einer Reihe von Standardgefahren ist ferner nicht auszuschließen, daß neue Gefahren, die sich aus der Weiterentwicklung der Informationstechnologie ergeben, systematisch ausgeblendet werden.
Eine dritte Definition formuliert den Begriff "Sicherheit" weder als Liste zu erfüllender Sicherungsmaßnahmen noch als Abwesenheit von Gefahren. Statt dessen werden, ähnlich wie im Gesundheitsverständnis des Chefarztes, verschiedene positive Eigenschaften genannt, die in der folgenden Definition zusammengefaßt sind:
"Sicherheit der Informationsverarbeitung ist der Zustand der vollständigen Integrität, Verfügbarkeit und Vertraulichkeit aller Elemente der Informationsverarbeitung. Elemente der Informationsverarbeitung sind Informationen, Hard- und Software, Prozesse und die mit diesen Elementen verbundenen Rechte."
Ein umfassender Sicherheitsbegriff
Diese Definition ist sehr allgemein gehalten, und es lassen sich daraus nicht unmittelbar Handlungsempfehlungen für Sicherungsmaßnahmen ableiten. Zudem dürfte für die meisten informationsverarbeitenden Systeme der unter realistischen Einsatzbedingungen
gelten, daß eine derart rigide formulierte Sicherheit nur für sehr wenige Systeme zu verwirklichen ist. Genau hierin liegt jedoch der Vorteil einer solchen Definition: Sie erweckt den Eindruck der "anfänglichen Unmöglichkeit" und wird die Verantwortlichen nicht in trügerischer "Sicherheit wiegen". Von einer solchen Definition ausgehend, müssen alle Vorschläge für Sicherungsmaßnahmen als Möglichkeiten für teilweise Verbesserungen eines prinzipiell unsicheren Zustands verstanden werden.
Anwender, die diesem Sicherheitsverständnis folgen wollen, müssen die Definition zwangsläufig für die eigene Situation umformulieren. Sie müssen die jeweiligen Bedingungen der Informationsverarbeitung untersuchen, eine Analyse der relevanten Gefahren durchführen, daraus Anforderungen an Sicherungsmöglichkeiten ableiten und diese schließlich unter den gegebenen Umständen verwirklichen. Und genau dieser Analyseprozeß, in dem sowohl potentielle Gefahren als auch angemessene Sicherungsmaßnahmen umfassend erörtert werden, ist in vielen Fällen der einzig gangbare Weg, Sicherheit zu erzielen. Die vom BSI erwähnten "Grundfunktionen sicherer Systeme" können dabei als nützliche Hinweise aufgegriffen werden, sollten aber nicht die umfassende Analyse ersetzen.
Die "IT-Sicherheitskriterien" und das "IT-Evaluationshandbuch" sind bisher vorwiegend von Sicherheitsfachleuten zur Kenntnis genommen worden. Man darf unterstellen, daß diese Spezialisten die oben erörterten Schwächen erkennen und angemessen damit umgehen. In Kürze wird das BSI aber ein "IT-Sicherheitshandbuch" veröffentlichen, das Anwendern helfen soll, angemessene Sicherheitskonzepte zu entwickeln und zu realisieren. Wenn dieses Handbuch - wie geplant - ein Standardwerk der IT-Sicherheit wird, so könnte der Sicherheitsbegriff des BSI zum Allgemeingut werden, ohne daß die Anwender die darin enthaltenen Schwächen erkennen und angemessen damit umgehen. Deshalb sollte das BSI bei der Erarbeitung des "IT-Sicherheitshandbuchs" folgende Aspekte berücksichtigen:
- Das BSI sollte das eigene Sicherheitsverständnis definieren und veröffentlichen. "Sicherheit" im Sinne der "IT-Sicherheitskriterien" ist die Zusicherung der Existenz technischer Mechanismen.
- Für die Anwender sollte eine angemessenere Definition mit einem umfassenderen Sicherheitsbegriff entwickelt werden.
- Das BSI sollte vor dem Trugschluß warnen, die Anwendung der "Grundfunktionen sicherer Systeme" garantiere die Sicherheit eines Systems.
- Es sollte deutlicher herausgestellt werden, daß die vom BSI geprüfte "Sicherheit" lediglich technische Sicherungsmaßnahmen im System selbst umfaßt. Sicherheit der Informationsverarbeitung besteht aber darüber hinaus auch aus organisatorischen, personellen, wirtschaftlichen und rechtlichen Aspekten.