Viele Mainframe-Umgebungen sind recht sicher. Häufig hat das oberste Management frühzeitig Abteilungen eingerichtet, die für den ungestörten, sicheren und vor Ausfällen geschützten Betrieb der DV verantwortlich sind, denn auf den Großrechnern laufen meistens unternehmenskritische Applikationen. Doch mit dem Trend zu verteilten heterogenen Umgebungen, vernetzten Installationen und vor allem den Internet-Anbindungen haben sich solche althergebrachten Sicherheitsstrategien verwässert.

Weil kein zentrales Daten-Center die gesamte IT-Installation im Zugriff hat, gibt es auch keinen eindeutigen Ansprechpartner für Schutzmaßnahmen mehr. Nur selten leisten sich Unternehmen einen Sicherheitsbeauftragten für Unix- und Netzwerkumgebungen. Da die Zuständigkeiten nicht geklärt sind, werden vorsichtige Versuche, Schutzmechanismen einzurichten, gebremst. "Die Sicherheitsverantwortlichen sind unbeliebt", nennt Christian Byrnes, Vice-President Services and System Management Strategies bei der Meta Group, einen weiteren Grund, der die Implementierung zuverlässig arbeitender IT-Umgebungen behindert. Neben diesen organisatorischen Hemmnissen hat die Meta Group ein Informationsdefizit in den Unternehmen ausgemacht. Das Wissen um Security-Schlupflöcher, Mängel bei der Verfügbarkeit der IT und um erforderliche Gegenmaßnahmen ist schlichtweg nicht vorhanden. In vielen Unternehmen mit dezentralen Systemen fehle es am Sicherheitsbewußtsein.

Auf dem Weg zu einer gegen Ausfälle und Attacken weitgehend abgeschotteten Infrastruktur sollte das Thema Sicherheit übergreifend in die Geschäftsprozesse eingewoben werden und nicht in der Verantwortung nur eines Geschäftsbereiches liegen. Die Brücke zwischen organisatorischen Unzulänglichkeiten und Lücken in der IT-Installation schlägt Byrne am Beispiel R/3.

Aus Sicht eines Sicherheitsexperten sei das SAP-Paket oftmals bedenklich, vor allem wegen der Nutzungsrechte der Anwendungsentwicklungs-Umgebung "Advanced Business Application Programming" (Abap).

"Abap kann alles", geißelt der Experte das Tool, das durch unkontrollierte Zugriffsrechte für die Anwendungsentwickler der Konsistenz der SAP-Umgebung den Garaus machen kann.

Doch auch mit den Betriebssystemen geht der Meta-Group-Analyst hart ins Gericht: "Die Sicherheit in Unix-Umgebungen ist ein Scherz." Nur durch Zusatzprodukte ließen sich Lücken stopfen. Anbieter wie Hewlett-Packard, IBM und Sun versprechen zwar Abhilfe, doch erst in drei Jahren, so vermutet Byrnes, werden die Unix-Derivate Sicherheits-Features enthalten, die im Kernel der Betriebssysteme verankert sind.

Der kommenden Windows-NT-Version stellt Byrnes bessere Noten aus als der aktuellen Ausführung. Die Integration von Verzeichnisdiensten in Windows NT 5.0 wertet die Meta Group als wichtigen Schritt in Richtung Sicherheit, denn damit ließe sich die Umgebung besser kontrollieren. Außerdem verwendet Microsoft den vom Massachusetts Institute of Technology (MIT) entwickelten "Kerberos"-Algorithmus, bei dem anstelle der Paßwörter sogenannte Tickets, also kurzlebige Ersatzformen der Zugangsschlüssel, durch das Netz geschickt werden.

Doch Microsoft wäre nicht Microsoft, hätten die Entwickler in Redmond nicht an diesem Verfahren geschraubt. "Ich habe den Verdacht", äußert Byrnes aufgrund seiner ersten Erfahrungen mit der Microsoft-Variante, "daß unter NT eingeloggte Anwender durch die abgeänderte Kerberos-Version beim Zugriff auf DCE-Systeme diese zum Absturz bringen."

Insgesamt traut der Experte keinem Hersteller zu, eine komplette Lösung anzubieten. Fehlende Standards verhindern zudem, Produkte verschiedener Hersteller zu einem Gesamtpaket zu verschmelzen. Dennoch ermutigt Byrnes die Unternehmen, vor dem unübersichtlichen Thema Sicherheit nicht zu kapitulieren.

In sechs Schritten lasse sich ein Unternehmen mit offenen IT-Toren zu einer informationstechnischen Trutzburg ausbauen. Den ersten Schritt faßt Byrnes unter dem Schlagwort "Vorbereitung" zusammen. Zunächst sollte eine von der IT-Abteilung unabhängige Sicherheits-Organisation so eingerichtet werden, daß sie außerhalb der normalen Unternehmenshierarchie arbeiten kann und somit von sachfremden Einflüssen weitgehend isoliert ist. Ansprechpartner für diese Task-Force ist das oberste Management. Die erste Aufgabe der Sicherheits-Arbeitsgruppe, die nur eine kleine Mitarbeiterschar umfassen sollte, wird das Verfassen von Richtlinien sein.

Die vorhandenen IT-Ressourcen sind in Zusammenarbeit mit den Abteilungen zu evaluieren, die die Installationen benutzen. Aus der Summe der Entwürfe entsteht schließlich eine Charta, die die Nutzung beschreibt und die in der Folge als Arbeitsgrundlage der Security-Task-Force gelten wird. Um die Mitarbeiter für das bislang vernachlässigte Thema zu sensibilisieren, rät Byrnes, in der Vorbereitungsphase eine interne Marketing-Kampagne zu starten.

In der zweiten Projektphase gilt es dann, die bevorstehende Arbeit zu organisieren. Ressourcen müssen klassifiziert sowie Zuständigkeiten zugewiesen werden. Ein wichtiger Punkt ist zudem die Definition von Domains. Dafür gibt es allerdings keine allgemeingültige Vorgehensweise. Bei der Abbildung des Unternehmens auf eine IT-Infrastruktur sind Kriterien wie interne kulturelle Besonderheiten, geografische Verteilung und die Arbeitsorganisation zu berücksichtigen.

Die zentrale Frage des dritten Abschnitts lautet: "Wo stehen wir zur Zeit?" Die Sicherheitsabteilung muß herausfinden, welche der bereits implementierten Lösungen ausgebaut, umgebaut oder abgelöst werden sollen, um ein durchgehendes Konzept umzusetzen. Zu der Bestandsaufnahme zählt aber auch, Lücken aufzuspüren und Unsicherheiten in den Ressourcen zusammenzutragen.

Die absolute Sicherheit wird es nie geben

Ausgehend von diesen Ergebnissen kann die Arbeitsgruppe in einem vierten Schritt die Anforderungen formulieren. Sehr hilfreich ist dabei meistens der Dialog mit den IT- und Fachabteilungen, die mit den Systemen gearbeitet und deren Lücken teilweise bereits aufgedeckt haben. Bei der Katalogerstellung sind darüber hinaus Entwicklungsvorhaben auf Applikationsseite wie auch der Geschäftsplan der kommenden Jahre ins Kalkül zu ziehen.

Die gefundenen Lücken und die erforderlichen Techniken sind das Thema der fünften Projektphase. Schwachpunkte in den Systemen müssen analysiert werden, damit die Experten notwendige Sicherheitsverfahren aufspüren können. Aus der Gesamtheit der Analyseergebnisse und der ausgewählten Technologien, die die Sicherheit gewährleisten sollen, ergibt sich eine Strategie, die zum Ziel führen sollte.

Der letzte Schritt heißt schlicht und ergreifend: "Do it". Hinter dem kurzen Spruch verbirgt sich die Realisierung, die zeigen wird, wie gründlich die vorhergehenden Aufgaben erledigt wurden. "In zwölf bis 15 Monaten ist ein solches Projekt mit drei Mitarbeitern zu schaffen", glaubt Byrnes. Das Thema Sicherheit zu ignorieren kann für ein Unternehmen dagegen sehr viel teurer werden als die einmalige Investition in ein solches Vorhaben. Doch selbst mit den Byrnes-Ratschlägen kann es kein absolut sicheres Unternehmen geben.

Sechs Schritte zum sicheren Unternehmen

1. Vorbereitung: Sicherheitsabteilung einrichten, Richtlinien entwerfen, Marketing-Kampagne starten.

2. Organisation: Ressourcen definieren und klassifizieren, Domains definieren.

3. Bestandsaufnahme: Defizite aufspüren, vorhandene Sicherheitslösungen evaluieren.

4. Anforderungen: In Zusammenarbeit mit den IT- und Fachabteilungen Anforderungen ausarbeiten.

5. Defizit und Techniken: Sicherheitslücken analysieren und die entsprechenden Lösungen suchen.

6. Umsetzung: Realisierung auf Basis der vorhergehenden Arbeiten. Quelle: Byrnes, Meta Group