Aber: Sicherheit kostet sehr viel Geld. Oft wird deshalb der scheinbar billigere Weg ueber punktuelle Massnahmen gewaehlt. Ein uebergreifendes Gesamtkonzept beginnt bei der Risikoanalyse und endet bei der Auswahl und Realisierung der Massnahmen.

Die Risikoanalyse untersucht die schuetzenswerten Informationen, deren Bedrohungen, die Auswirkungen im moeglichen Schadensfall sowie die Eintrittswahrscheinlichkeit. Drei wesentliche Fragen helfen bei der Entwicklung eines Sicherheitskonzeptes: Was muss ich wovor und wie schuetzen?

Als schuetzenswerte Informationen und Informationssysteme kommen alle Daten, Programme, Systeme und ihre Vernetzung in Betracht, die fuer das Unternehmen beziehungsweise die Behoerde wichtig sind, also zum Beispiel Entwicklungsdaten, Produktionssysteme, personenbezogene Daten und Informationsnetzwerke.

Vielfaeltige Praeventivmassnahmen

Die Bedrohungen reichen von unbeabsichtigten Eingabefehlern bis zu vorsaetzlichem Missbrauch von Berechtigungen, zu Passwort-"Grabbing", unbefugten Modifikationen, Ausspähen und Zerstoeren von Daten; von Impersonisation (Maskieren) im Netzwerk bis zum Leugnen einer Kommunikationsbeziehung; von kompromittierender Abstrahlung bis zu physikalischen Bedrohungen wie Feuer, Wasser oder Ueberspannung.

Je nach Unternehmen sind die einzelnen Bedrohungen mehr oder weniger relevant;

So wird in einem Produktionsbetrieb im wesentlichen wichtig sein, dass die erforderlichen Daten verfuegbar sind.

Hohe Verfuegbarkeit kann zum Beispiel durch den Einsatz fehlertoleranter Systeme erreicht werden. Sie zeichnen sich dadurch aus, dass bei Ausfall einer Komponente durch entsprechende Hardware- und Software-Einrichtungen eine andere ihre Funktion sofort uebernimmt. Im Idealfall sind bei einem fehlertoleranten System tatsaechlich alle Komponenten dupliziert; Das Konzept der Hardware-orientierten Fehlertoleranz hat den Vorteil, das die Software-Entwicklung auf einem normalen System durchfuehrbar wird.

Hohe Verfuegbarkeit garantieren aber auch Cluster-Systeme, deren Datenbestaende gespiegelt werden koennen; diese sind nun auch per FDDI ueber Standorte hinweg koppelbar (Multi Data Facility); das bedeutet im Notfall eine sofortige Uebernahmemoeglichkeit durch das zweite Clustersystem am anderen Standort.

Nicht nur die Hardware selbst, auch die Umgebung ist wichtig. Es empfiehlt sich, vorhandene Rechenzentren unter Einbeziehung ihrer Umgebungsbedingungen zu ueberpruefen und gegebenenfalls Verbesserungsvorschlaege zu formulieren.

Bei neuen Rechenzentren koennen geeignete Sicherheitsmassnahmen bereits in der Planung beruecksichtigt werden.

Ergaenzend koennen ueber Service-Konzeptehohe Verfuegbarkeiten erreicht werden (etwa Rund-um -die-Uhr-Service, permanente Systemueberwachung und dadurch Frueherkennung potentieller Fehler).

Eine Bank wird schwerpunktmaessig die Integritaet der Daten anstreben - eine Ueberweisung von 100 DM darf nicht ploetzlich zu einer Ueberweisung von 1000 DM werden. Und Behoerden- und Verteidigungsbereich muss gemeinhin die Vertraulichkeit der Daten gewaehrleistet sein.

Wichtig ist hier der Einsatz sicherer Betriebssysteme und Netzwerke, die entsprechende Sicherheitsmechanismen enthalten (zum Beispiel Vergabemoeglichkeiten von lokalen und netzwerkweiten Zugriffrestriktionen, Gewaehrleistung der Authentizitaet von lokalen und Netzwerkteilnehmern). Fuer erweiterte Ansprueche an Systeme, wie sie zum Beispiel bei derVerarbeitung von Verschlusssachen auftreten, muessen in der Regel Betriebssysteme entsprechend der Orange-Book-Klasse "B1" eingesetzt werden, falls erforderlich auf Hardware, die Abstrahlsicherheit garantiert.

Natuerlich koennen die Bedrohungen der Verfuegbarkeit, Integrietaet und der Vertraulichkeit in der Praxis nicht sauber getrennt werden, es finden sich hier in der Regel Ueberschneidungen und Wechselwirkungen.

Um die Bedrohungen abzuwehren, koennen also Praeventivmassnahmen ergriffen werden. Diese sind so vielfaeltig, wie die Bedrohungsquellen selbst - vom sicheren Passwort oder biometrischen Identifikationsverfahren, zum Einsatz von Verschluesselung bis hin zu Brandschutzeinrichtungen und abstrahlsicherer Hardware.

Sinnvollerweise ergaenzen sich hier logische, organisatorische und physikalische-materielle Massnahmen in ihrer Wirksamkeit (vgl. Abbildung 1).

Praeventivmassnahmen sind auf dem Weg zur Sicherheit jedoch nur die halbe Miete. Da kein System jemals total sicher sein kann, ohne gleichzeitig unbrauchbar und unbenutzbar zu werden, muessen die Anforderungen an das System in bezug auf Sicherheit und Funktionalitaet sorgfaeltig ausbalanciert werden, muss die Entscheidung moeglicherweise eine spezielle Praeventivmassnahme fuer das Geschaeftsziel fallen ("Standalone-Security" versus "Business-Protection").

Fuer diese Abwaegung unerlaesslich sind spezielle Detektionsmechanismen. Nach der NCC-Umfrage haben 14 Prozent aller Organisationen mit expliziten Erkennungsmassnahmen und nur drei Prozent der Organisationen ohne diese Hacking erkannt; bewusster Missbrauch durch das Personal wurde von 48 Prozent aller Organisationen mit expliziten Erkennungsmassnahmen, aber nur von 10 Prozent der Organisationen ohne diese aufgedeckt.

Je nach den Anforderungen bieten sich sowohl einzelne manuelle Sicherheitsueberpruefungen als auch permanente, automatische Kontrollen unter Verwendung von Sicherheitswerkzeugen an.

Ein Konzept fuer den Notfall, falls tatsaechlich ein Schaden auftritt, ist fuer kritische Anwendungen dringend anzuraten (Notfall - und Wiederanlaufplan); Dort sind Zustaendigkeiten und Aktionen fuer den Katastrophenfall vermerkt, so dass durch einen schnellen reibungslosen Wiederanlauf der eingetretene Schaden auf ein Minimum reduziert werden kann. Das beinhaltet unter anderem die Inanspruchnahme von Leistungen zur schnellstmoeglichen Wiederherstellung der Betriebsbereitschaft von Computersystemen nach einem Schaden, Nutzung von Ausweichrechenzentren oder aehnlichem.

Die Massnahmeauswahl erfolgt aufgrund einer Kosten-Nutzen-Analyse; dabei ist zu beachten, das die drei Kriterien sicher, funktionell, billig nicht alle gleichzeitig in hohem Masse erfuellt sein koennen; man wird sich im allgemeinen mit einem Kompromiss begnuegen muessen (vgl. Abbildung 2).

Moeglichkeiten, Sicherheit zu erreichen, gibt es viele (vgl. Abbildung 3 und 4). In ihrer Kombination liegt die Staerke, Synergieeffekte fuer sich zu nutzen.

Mit der Implementierung der Massnahmen ist zwar das Konzept, nicht aber das Sicherheitsthema insgesamt abgeschlossen - Sicherheit ist nicht statisch, sondern ein dynamischer Prozess, der den sich staendig aendernden Anforderungen regelmaessig angepasst werden muss.

Fallbeispiel: Sichere Systeme im Netzwerk

Was wollen und muessen wir fuer die Sicherheit tun? Vor dieser Frage stand Digital Equipment - als Betreiber des groessten privaten Netzwerkes mit inzwischen mehr als 75 000 weltweit angeschlossenen Systemen - selbst natuerlich auch.

Aufgrund von Vorfaellen im eigenen Netz hat Digital bereits Anfang der 80er Jahre begonnen, sich dem Thema zu stellen. Die steigende Abhaengigkeit von den vernetzten Applikationen, der Trend weg von technischen Bastelsystemen hin zu Produktionssystemen mit kommerzieller Nutzung ging nicht mehr Hand in Hand mit den urspruenglich geschaffenen Sicherheitsvorschriften; eine entsprechende Sicherheitsorganisation war nicht hinreichend implementiert, und die vorhandenen Tools, zum Beispiel fuer Penetrationstests, waren in Funktionalitaet und Design nicht ausreichend.

Trotz der Verwendung der eigenen Betriebssysteme war der Sicherheitsstatus aller Systeme im Netzwerk nicht so hoch wie erwartet, da die Sicherheitsmechanismen je nach Kenntnisstand und Auslastung der Systemverwalter sehr individuell, damit inkonsistent und oft zu schwach eingestellt waren.

Die Zielsetzung war also, zunaechst einen konsistenten Sicherheitsstandard zu schaffen, der dokumentiert und weltweit gueltig sein sollte, und ein Sicherheits-Management einzufuehren, das im wesentlichen automatisiert ablaeuft, das heisst regelmaessige Sicherheitsueberpruefungen aller Systeme durchfuehrt und die Ergebnisse ueber die Hierarchiestufen an die Zentrale weiterleitet.

Zu diesem Zweck wurde das interne Projekt "Baseline Security Management" in Angriff genommen. Es reichte von der Risikoanalyse, Ermittlung der tatsaechlichen Anforderungen und Erstellung eines Sicherheitskonzeptes bis zur Entwicklung von Software-Tools. Ziel war die weltweite Implementierung zu allen DEC-Betrieben.

Digital hat gelernt, dass ohne klare Zustaendigkeiten nichts erreicht werden kann; eine Sicherheitsorganisation ist aufgebaut, die ueber die notwendige Unterstuetzung durch das Management verfuegt. Das interne Projekt fuer das weltweite Netzwerk istnun im wesentlichen abgeschlossen. Die Kenntnisse und Erfahrungen, die Digital hier gewonnen hat, gibt das Unternehmen nun in Form von Beratung und Produkten weiter. Die Softwarewerkzeuge sind als Standardprodukte bereits verfuegbar fuer VMS, Ultrix und Sunos. Neben der Erweiterung auf neue Plattformen wurden auch die Funktionalitaeten vermehrt, so dass nicht nur die Einhaltung der Sicherheitsvorschriften ueberprueft und das Ergebnis ueber eine Berichtsstruktur weitergegeben werden kann, sondern auch Intrusionserkennung und Schadensbegrenzung in Echtzeit moeglich ist.

Eine komplexe, inkonsistente, zeitintensive Sicherheitsverwaltung ist einem gesamtheitlichen, durchgaengigen Sicherheits-Management gewichen, fuer das der Administrationsaufwand durch die Automatisierung mit Hilfe von Softwarewerkzeugen deutlich gesenkt werden konnte.

*Andrea Arnold-Neumark ist IT-Sicherheitsberaterin bei der Digital Equipment GmbH, Muenchen.

(1) NCC Survey of Security Breaches 1991

(2) KES Enquete, Zeitschrift fuer Kommunikations- und EDV-Sicherheit, Juli 1992

Abb. 1: Praeventivmassnahmen sind so vielfaeltig, wie die Gefahren, vor denen sie schuetzen sollten.

Abb. 2: Zwischen Sicherheit, Funktionalitaet und Kostendaempfung muss ein Kompromiss

gefunden werden.

Abb. 3: Je nach den speziellen Anforderungen empfehlen sich die VMS-Sicherheitsmechanismen ...

Abb. 4: ... oder das Ultrix-Paket fuer den unternehmensweiten Datenschutz.