An Sicherheit im Umfeld der Internet-Nutzung glauben wohl nur wenige. Lieber sammeln Firmen mit Intranets nur im eigenen Haus Erfahrungen, als sich die Potentiale des Internet zu erschließen: firmen- und organisationsübergreifende Informations- und Abwicklungssysteme. Gerade dort liegen die interessanten Potentiale. Einsparungen bei den Kosten und eine neue Dimension der Zusammenarbeit sind möglich, wenn Transaktionen über Firmen hinweg durchgängig elektronisch erledigt werden.

Die bisherige langsame und fehleranfällige Kommunikation via Fax, Brief und Telefon entfällt. Zeit- und personalintensive Aktivitäten wie eine manuelle Eingabe der Daten, das Ablesen der Ausgaben vom Bildschirm und die telefonische Übermittlung dessen, was der Computer ausgespuckt hat, lassen sich durch selbstbediente Abfragen und Transaktionen via Internet ersetzen - ganz gleich, wo die Abfrage stattfindet und zu welcher Firma das Zielsystem gehört.

Auf der einen Seite heißt es, Electronic Commerce werde sich erst dann durchsetzen, wenn die erforderliche Sicherheit gewährleistet werden kann. Experten aus Industrie und Politik fordern Trust-Center, elektronische Unterschriften und Verschlüsselungssysteme mit maximaler Schlüssellänge. Auf der anderen Seite schauen viele Unternehmen seelenruhig dabei zu, wie immer mehr ihrer E-Mails und Dateien ohne jeden Schutz und ohne jede Kontrolle über das relativ leicht "abhörbare" Internet verschickt werden.

Die erforderliche Technik, um die Internet-Nutzung sicherer zu machen, ist verfügbar. Während viel über sichere Übertragungen und Transaktionen im Internet, besonders im Umfeld von Electronic Commerce diskutiert wird, haben einige Anbieter im Inter- net bereits Vorkehrungen zur sicheren sprich verschlüsselten Übertragung von Kundendaten in ihren Internet-Auftritt eingebaut.

Ein Beispiel dafür ist die Lufthansa. Will man dort nicht nur die aktuellen Flugpläne einsehen, die uncodiert über die Leitung gehen, sondern sich individuelle Flugreiseangebote machen lassen, dann geschieht das unter Einsatz von Verschlüsselungsverfahren. Wer beispielsweise den Netscape-Browser benutzt, erkennt dies sofort an dem Schlüsselsymbol unten links im Browser-Fenster. Bei unverschlüsselten Übertragungen ist dieser Schlüssel zerbrochen dargestellt; sobald eine Verschlüsselung eingesetzt wird, erscheint der zusammengefügte Schlüssel.

Solche und ähnliche Verschlüsselungen können vom Internet-Anbieter aus initiiert werden. Die gängigen Browser auf den PCs unterstützen diese Verfahren allesamt, der Nutzer muß keine Software-Erweiterung installieren. Die Verschlüsselungen finden auf der Protokollebene (dem Secure Socket Layer, SSL) oder auf der Zugriffsebene (Secure-HTTP) statt.

Trust-Center: Zertifizierte Sicherheit

Auch die immer wieder diskutierten Trust-Center lassen sich bereits mit vorhandener Technik nutzen. Dabei legitimieren sich die beiden an einer Internet-Ses- sion beteiligten Parteien bei einer Instanz ihres Vertrauens mit Hilfe eines gesicherten Protokolls. Heutige Browser unterstützen dies. Die dritte Instanz kann etwa ein getrennter Server sein, der unter anderem die Zugriffsberechtigung prüft.

Softwarehäuser in den USA, die beispielsweise externen Entwicklern via Internet Zugriff auf ihre Rechner bieten, machen dies täglich. Solche Trust-Center-Verfahren werden in Deutschland derzeit nicht neu erfunden, sondern nur auf einem hohen Sicherheitsniveau gesetzlich geregelt.

Ein Betreiber von Trust-Centern kann sich zertifizieren lassen. Die deutsche Gesetzgebung hat festgelegt, wie dies zu geschehen hat, wie zum Beispiel die Anmeldung erfolgt, wie ein Dienstleister die Sicherheit seines Trust-Services sicherstellen und nachweisen muß. Noch in diesem Jahr wollen die ersten zertifizierten Center ihre Dienste anbieten.

Damit entsteht in Deutschland eine hervorragende Plattform für sehr sichere Geschäftsabwicklung und elektronische Unterschriften. Ob sich solche Angebote schnell durchsetzen werden, bleibt allerdings zu bezweifeln.

Telebanking im Internet ist selbstverständlich geworden. Interessanterweise gibt es Banken, die im klassischen T-Online (dem früheren BTX) inzwischen Transaktionen vorsichtiger behandeln als im Internet selbst. Das mehrstufige Sicherheitskonzept mit der Vergabe von Kundennummern, Paßwörtern und Transaktionsnummern und die Verschlüsselung mit Java-Applets macht den Internet-Zugriff zwar reichlich langsam, aber relativ sicher.

Eine 100prozentige Sicherheit gibt es nicht und wird es nie geben. Eine Codierung mit 40 oder 56 Bit, wie sie zum Teil noch den zuvor genannten Anwendungen in Verbindung mit älteren Browsern zugrunde liegt, läßt sich durch Einsatz von viel Rechenkapazität entschlüsseln.

Der PC als ein Endpunkt der Abwicklungen gilt als chronische Schwachstelle. Dort beginnt die Verschlüsselung, dort können Tastatureingaben abgehört werden. Mancher Anbieter von Sicherheit behauptet, daß am PC deutliche Veränderungen (zum Beispiel Chipkarten oder hardwarebasierte Verschlüsselungen im PC selbst) vorgenommen werden müßten, um einen höheren Grad an Sicherheit zu erreichen.

Nicht die Technik, sondern der gesamte Aufwand für Sicherheit wird die eigentliche Grenze darstellen. Kaum ein Anwender wird in der Lage sein, die Zeit, die Organisation und die Kosten zu übernehmen, die nötig wären, um eine nahezu 100prozentige Sicherheit zu erzielen. Schon jetzt sind die meisten öffentlichen und kommerziellen Organisationen damit überfordert, diesem Thema die nötige Aufmerksamkeit zu widmen.

Viele Unternehmen scheinen sich der Gefahr auch gar nicht bewußt zu sein. Da werden Umsatzdaten oder Preiskalkulationen zwischen internationalen Niederlassungen ausgetauscht, ausführliche Angebote und Projektbeschreibungen an Kunden oder den Außendienst geschickt, ja sogar Programmcode an entfernte Entwicklungsabteilungen versandt.

Mehr Sicherheit heißt weniger Nutzungsfreiheit

Das Sicherheitsrisiko von E-Mails und Datenübertragung im Internet rührt daher, daß die Informationen über einen Netzwerkverbund laufen, der aus vielen Leitungen und Rechnern unterschiedlicher Infrastrukturanbieter besteht. Auf einem dieser vielen Knotenrechner kann jemand ohne großen Aufwand "Schnüffelsoftware" installieren und so den Web-Traffic und die Nachrichten, die über diesen Knotenrechner laufen und nicht codiert sind, abhören.

Sicherheit im Internet erfordert deshalb Einschränkungen in der Nutzungsfreiheit. Prozeduren und Richtlinien müssen festgelegt und eingehalten werden. Es läßt sich bestimmen, welche Typen von Daten oder Inhalten gar nicht oder zumindest nicht unverschlüsselt übertragen werden dürfen.

Auch die Abwehr von Viren muß organisiert werden. Fremde Daten und Disketten müssen fachmännisch geprüft werden, bevor sie auf irgendeinen Firmenrechner geladen werden. Und es sollte unbedingt verboten sein, Paßwörter auf der Festplatte beziehungsweise in der Internet-Zugangssoftware direkt zu speichern.

Besonders schwierig wird es, wenn ein Unternehmen sicherstellen will, daß Firmendaten oder vertrauliche Informationen nicht nach außen gelangen. Der altgediente Werkschutz, der am Eingangstor darauf achtet, daß keine Datenträger nach draußen geschmuggelt werden, ist da überfordert. Wie sollte er kontrollieren, ob nicht Megabytes von Daten unautorisiert via Leitung das Haus verlassen? Will man, wie in den USA inzwischen üblich, den E-Mail-Verkehr abhören und es Mitarbeitern verbieten, Firmen-E-Mail privat zu nutzen?

Neben technischen Maßnahmen sind vor allem organisatorische Regeln erforderlich. Firmen haben bisher organisatorisch zuwenig unternommen, um Risiken einzugrenzen. Risiken entstehen durch Unwissenheit. Wie soll ein Mitarbeiter, der kein IT-Freak ist, wissen, daß sich lokal gespeicherte Paßwörter aus der Ferne absaugen lassen? Wer versteht, daß sogenannte Trojanische Pferde, als scheinbar harmloses Programm aus dem Internet geladen, den Rechner und das Firmennetz ausspähen können? Information und Ausbildung sind nötig.

Ebenso wichtig sind rigide Kontrollen und Vorgaben: Zugriffe von außen, sogenannte remote Zugänge für Außendienst, mobile Mitarbeiter, Telearbeiter und Geschäftspartner, dürfen nicht beliebig und unkontrolliert gestattet werden. Wo es möglich ist, muß ein Rückruf auf eine zuvor gespeicherte Telefonnummer, ein sogenanntes Call-back genutzt werden, um ausschließlich autorisierte Verbindungen zu erlauben. Paßwörter müssen laufend erneuert, nicht mehr aktuelle Nutzer deaktiviert, Zugriffsberechtigungen überprüft werden.

Sicherheitsangriffe aus dem Internet werden über Firewall-Software abgewehrt. Im Prinzip sind das Filter, die nur bestimmte Anwendungen, Verfahren und Protokolle erlauben, abhängig davon, welche Rechner oder welche Zugriffsrechte einbezogen sind.

Auch hier ist Organisation wichtig: Angriffe von außen finden statt, indem ein Angreifer über längere Zeit versucht, mit immer wieder anderen Paßwörtern oder IP-Adressen in Syste- me hinter der Firewall einzubrechen.

Die Protokolle der Firewalls müssen daher in periodischen Abständen, eventuell täglich, geprüft werden. Bei Eindringversuchen müssen dann unter anderem Adressen oder Paßwörter umgestellt und bestimmte Dienste eine Zeitlang deaktiviert werden. Wie beim Backup ist es nicht damit getan, daß einmal ein Firewall-System installiert wird, sondern daß eine regelmäßige Kontrolle und Betreuung stattfindet.

Die Administration eines Firewall-Systems ist also personalintensiv. Weil Sicherheitsangriffe technische Schwachstellen in der Software vieler Rechner nutzen, muß die Firewall-Software immer wieder auf den neuesten Stand gebracht werden. Das Administrationspersonal sollte einschlägige Berufserfahrung haben und sich permanent auf dem laufenden halten, was die Entwicklung der Hacker-Technologie betrifft.

Aufwendiger als die Beschaffungskosten für Software und Hardware ist die Anpassung der Systeme an die firmenindividuellen Gegebenheiten. Die kontinuierliche Pflege der Berechtigungen auf allen Ebenen ist dabei nur ein Beispiel.

Sehr viele Unternehmen nutzen das Internet, weil darüber eine einfache Anbindung internationaler Niederlassungen oder Büros möglich ist. Wenn in den Firmenzentralen Sicherheitsmaßnahmen ergriffen werden, dann muß auch in einem fernen Land, beispielsweise bei einer kleinen Niederlassung mit weniger Know-how und weniger ausgebildeten Mitarbeitern, ein entsprechender Aufwand betrieben werden, weil das Internet alle miteinander verbindet.

Abgestufte Sicherheitskonzepte sind erforderlich: aufwendige Abwehrmaßnahmen gegen hohe Risiken, einfachere Absicherungen für leichter reparable Schäden. Wenn ein WWW-Server mit Werbeinformationen abstürzt oder mit manipulierten Seiten verändert wird, ist das zwar eventuell peinlich, aber nicht so gravierend wie ein Einbruch in den Server mit den neuesten Forschungsdaten.

Zum Konzept gehören daher auch Notfallpläne mit den entsprechenden Maßnahmen, zum Beispiel dem Aufteilen des Firmennetzes in bestimmte Bereiche oder dem Abkoppeln von kritischen Systemen. Eine solche Analyse, abhängig von den betroffenen Daten und Systemen, ist auch der Ausgangspunkt für ein Sicherheitskonzept, auf dessen Grundlage unter anderem die Berechtigungen in der Firewall-Software eingestellt werden.

Sicherheit wird zunehmend eine firmeninterne Aufgabe werden. Untersuchungen und Befragungen von Unternehmen zeigen immer wieder, daß die größte Bedrohung für die Sicherheit nicht von außen, sondern von innen, von den eigenen Mitarbeitern kommt. Daten für einen zukünftigen Arbeitgeber oder für eine gute Freundin zu besorgen, das funktioniert intern auch ohne Ausbildung zum Internet-Hacker. Auch gegen Sabotage und andere Racheakte müssen Vorkehrungen getroffen werden.

Technisch gesehen muß die Firma in Sicherheitszonen aufgeteilt werden. Eine Firewall um die ganze Firma herum zu bauen und intern ein großes homogenes Netz bereitzustellen genügt nicht. Ein Einbruch an einer schwachen Stelle von außen muß auf weitere Hindernisse intern treffen. Damit werden auch Barrieren für Angriffe von eigenen Mitarbeitern errichtet.

Es muß Bereiche mit unterschiedlichem Sicherheitsgrad geben, die durch Firewalls voneinander getrennt sind. Je nach Berechtigungslevel und Anwendung sind diese Trennwände unterschiedlich durchlässig. Die Verbindung nach außen kann in einem Schalenkonzept mit mehreren hintereinandergeschalteten Firewalls sicherer gemacht werden. Je weiter innen, um so mehr wird ausgefiltert und abgeprüft. Besonders kritische Systeme werden dabei partiell sogar als Insel betrieben.

Sicherheit im Internet ist Pflicht, nicht Kür. Sich dieser Aufgabe zu entziehen ist nicht möglich. Wettbewerbsmechanismen sorgen dafür, daß Firmen effizient kommunizieren und Electronic Commerce nutzen müssen. Andernfalls werden Marktpositionen in der Entstehungsphase der Konkurrenz überlassen.

Dazu gibt es in der jüngeren Wirtschaftsgeschichte ein analoges Beispiel. Die Banken, die auf Direktanlage und elektronische Kommunikation verzichten wollten, mußten zunächst Marktanteile an neue Wettbewerber abgeben und dann später doch mit eigenen Angeboten nachziehen. Es geht in vielen Fällen noch nicht darum, mit Electronic Commerce Geld zu verdienen; man muß vielmehr eine strategische Position besetzen. Damit wird die Internet-Nutzung ebenso wie die damit verbundene Sicherheit eine unternehmerische Aufgabe: Sie muß gezielt beschlossen und durchgesetzt werden.

Vielleicht mag der eine oder andere die Sicherheit im Internet ja auch als sportliche Herausforderung ansehen. Die Gegenseite jedenfalls tut dies. So gab es im letzten Jahr ein Hacker-Zeltlager in den Niederlanden, das mit 2000 Teilnehmern gut besucht war. Damit sich das dort ausgetauschte Wissen, etwa über die Angriffsmöglichkeiten bei Verschlüsselungssoftware oder die chronischen Schwachstellen der Browser, auch gleich testen ließ, waren zwischen den Zelten Glasfaserleitungen mit 100 Mbit/s verlegt. Mit diesem Beispiel für Technologie-Einsatz wird deutlich, wie hoch die Meßlatte für Sicherheit bereits liegt.

Angeklickt

Organisationen, die das Internet nutzen und gleichzeitig für Sicherheit sorgen wollen, erkennen langsam, was auf sie zukommt. Es ist aufwendig und teuer - und nicht damit getan, einmal eine Firewall-Software zu installieren. Es ist vielmehr eine Kombination aus organisatorischen und technischen Maßnahmen erforderlich, um Sicherheit langfristig und kontinuierlich zu gewährleisten. Neben einem Konzept sind regelmäßige Überprüfungen und Erneuerungen der Sicherheitsvorkehrungen Schlüsselfaktoren. Die Techniken für ein pragmatisches Maß an Sicherheit sind vorhanden. Es kommt jetzt darauf an, sie personell und organisatorisch umzusetzen.

Acht Thesen zu Sicherheit im Internet

Die erforderliche Technik, um die Internet-Nutzung sicherer zu machen, ist verfügbar.

Eine hundertprozentige Sicherheit gibt es nicht und wird es nie geben.

Viele Organisationen nehmen mit ihrem Verhalten im Internet Risiken in Kauf.

Sicherheit im Internet erfordert Einschränkungen in der Nutzungsfreiheit. Prozeduren und Richtlinien müssen festgelegt und eingehalten werden.

Neben technischen Maßnahmen sind vor allem organisatorische Regeln nötig.

Sicherheit ist teuer. Zeit- und Personalaufwand sind dabei noch viel kostenintensiver als die Technik.

Abgestufte Sicherheitskonzepte sind erforderlich, besonders für den Was-geschieht-wenn-Fall.

Sicherheit wird zunehmend eine firmeninterne Aufgabe werden.

*Dieter Sinn ist Unternehmensberater in München.