Firewalls sind heutzutage schon State-of-the-Art, und daß ein Virenschutz benötigt wird, steht außer Frage. Dennoch liegt in Sachen Sicherheit noch einiges im argen. Schutzmaßnahmen erweisen sich oftmals als punktuelle Einzellösungen, wenig zugeschnitten auf den tatsächlichen Schutzbedarf und unsicherer als angenommen. Welches Unternehmen hat schon eine festgeschriebene Sicherheitspolitik? Hier liegen die Aufgaben, die erledigt werden müssen, bevor Produkte implementiert werden. Die Technik ist nämlich nur ein Teil im Gesamtbild. Ebenso wichtig ist, daß die Sicherheitskultur gelebt wird.
Wie lax das Thema Sicherheit oft gehandhabt wird, zeigt sich schon beim Besuch von Unternehmen. Es ist keine Seltenheit, daß sich Gäste frei auf dem Firmengelände bewegen können. Auch beim Reinigungspersonal sind die Unternehmen oft nachlässig. Werden hier polizeiliche Führungszeugnisse verlangt, oder wird eine gegenseitige Kontrollinstanz geschaffen - besonders in kritischen Bereichen? Der Faktor Mensch darf nicht unterschätzt werden. Mitarbeiter realisieren die Sicherheit und tragen zum Schutz der Systeme bei. Deshalb muß eine Sicherheitskultur geschaffen werden, die bei ihnen das Bewußtsein für Gefahren schafft.
Konzeptionslose Einzelaktionen sind dafür nicht geeignet. Unternehmen benötigen eine festgeschriebene Security-Policy. Die Gefahrenpotentiale müssen bekannt sein. Ermitteln lassen sie sich über eine Risikoanalyse. Schritt für Schritt werden dabei der Wert der verschiedenen Daten ermittelt und die gefährdeten Bereiche herausgefiltert. Hilfestellung bieten hier Standardwerke wie das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI), unterstützt durch Werkzeuge wie "DDIS" (siehe Kasten "Grundschutz-Tools"). So lassen sich abgestufte Sicherheitsmaßnahmen einführen, die eine unnötige Behinderung der Mitarbeiter und dadurch eine geringe Akzeptanz verhindern.
Paßwort-Management und Schweigepflicht
Noch bevor das erste Stück Soft- oder Hardware implementiert ist, zeigt sich, daß Sicherheit nicht nur eine Frage der Technik ist, sondern auch die Organisation stark betrifft. Wichtig sind beispielsweise Verfahren, die beim Ausscheiden eines Mitarbeiters greifen müssen. Dazu zählt etwa der Umgang mit physikalischen, aber auch mit elektronischen Schlüsseln. Die Zugangsberechtigungen müssen gelöscht werden, es ist nachzuverfolgen, wo der Mitarbeiter seine Daten gespeichert und wer darauf Zugriff hat. Externe Zugänge, etwa über Modem, sind ebenfalls zu kappen. Auch sollte eine Belehrung in den Sicherheitsrichtlinien verankert werden, die ausscheidende Mitarbeiter - insbesondere aus der IT-Abteilung selbst - auf ihre Schweigepflicht bezüglich der internen Strukturen hinweist.
Paßwort-Management zählt auch zu den organisatorischen Sicherheitsaspekten und betrifft alle Mitarbeiter. Doch gerade damit wird oft recht nachlässig umgegangen. Mit Paßwörtern ist es heute ähnlich wie mit den Scheckkarten: Jeder Mitarbeiter hat mehrere davon. Und das dürfte auch so bleiben, nachdem Single-Sign-on (SSO), also das einmalige Login für sämtliche Accounts, zwar ein interessanter, aber nur schwer realisierbarer Ansatz ist. Der Verlust jedes einzelnen Paßworts ist eine Gefahr für die Sicherheit.
Die IT-Abteilung muß deshalb die nötigen Strukturen schaffen. Geeignet ist ein Änderungsverfahren, aufbauend auf einer zeitlichen Befristung der Gültigkeitsdauer von Paßwörtern. So wird sichergestellt, daß ein Paßwort auf jeden Fall nur eine bestimmte Zeit nützlich ist. Anwender müssen für die Gefahren sensibilisiert werden. Bekanntlich resultiert ein Großteil der Angriffe auf IT-Systeme aus ungenügend gesicherten Paßwörtern. "Post-it"-Zettel am Monitor sind auch heute noch weit verbreitet. Für Hacker ist es der leichteste Weg, durch Ausfragen, fingierte E-Mail-Anfragen oder eben durch einen schnellen Blick auf den Schreibtisch ein Paßwort zu besorgen. Selten ist jedoch ein wasserdichtes Paßwort-Management im Unternehmen vorhanden. Solange hier noch Unsicherheiten bestehen, sollten übrigens auch Technologien wie Single-Sign-on nicht in Betracht gezogen werden.
Gerade im Sicherheitsbereich läßt sich eine Organisation schwer durchsetzen, wenn die nötige Bereitschaft dafür fehlt. Werden für die Auftragsbearbeitung die Abläufe geändert, so haben die Mitarbeiter in derartigen Prozeßketten nur wenig Chancen, davon abzuweichen. Auch Sicherheit besteht aus feststehenden Verhaltensweisen, doch sind diese nicht immer in feste Verfahren eingebunden und deshalb leichter auszuhebeln. Sicherheit darf zudem nicht behindern, sonst wird sie umgangen. Eine Sicherheitskultur läßt sich deshalb nur durch Aufklärung etablieren. Jeder Mitarbeiter muß die Zielsetzungen und die Problematik verstehen.
Vielen ist oft nicht bewußt, welchen Schaden beispielsweise der Diebstahl eines Computers verursachen kann. Sie denken nur an die heutzutage kostengünstige Hardware und vergessen, daß auch die Daten in fremde Hände gelangen. Wurden im Rahmen der Risikoanalyse die Informationen bewertet, läßt sich aber ein Schaden leicht plakativ und mit entsprechenden Zahlen untermauert darstellen. Für den Mitarbeiter werden so etwa die Auswirkungen eines leichtsinnigen Umgangs mit Paßwörtern faßbarer.
Alle diese Maßnahmen kosten jedoch Zeit. Und damit sieht es meist schlecht aus. Die Marktanalysten der Meta Group haben in einer Studie ermittelt, daß 22 Prozent aller Unternehmen mit über 1000 Mitarbeitern nur eine Person für die Administration abstellen. Wie soll diese gleichzeitig Netzwerkaktivitäten überwachen, Log-Files auswerten, sich über neue Sicherheitslücken schlau machen, Produkte testen und Sicherheitschecks durchführen? IT-Abteilungen klagen über knappe Ressourcen und fehlendes Know-how. Ständig werden neuen Technologien eingeführt, neue Anwendungen und Dienste implementiert. Die Sicherheit hinkt dieser Marktentwicklung hinterher. Risikovorsorge kann so nur auf niedrigem Niveau funktionieren und wird folglich auch in den Fachabteilungen kaum wahrgenommen. IT-Sicherheit findet quasi unter Ausschluß der Öffentlichkeit, sprich der Mitarbeiter außerhalb des IT-Bereichs, statt.
Zuviel Personaleinsatz ist oft unerwünscht
Konzepte wie Remote-Management von Firewalls zur pausenlosen Überwachung kritischer Bereiche oder Ausbildung der Mitarbeiter zu Security-Spezialisten werden zwar als wichtig erkannt, doch fehlen die Mittel zur Realisierung. Weiterbildung zum Ausgleich des leergefegten Arbeitsmarkts setzt Freiräume und damit eine entsprechende Personaldecke voraus. Gefordert ist hier in erster Linie das Management. Mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG, siehe CW 24/99, Seite 71) werden die Verantwortlichen zu höherer Aufmerksamkeit verpflichtet. Dies könnte ein Schritt in die richtige Richtung sein. Darüber hinaus sollte die Position eines IT-Sicherheitsbeauftragten geschaffen werden. Bundesweit sind bereits Bestrebungen im Gange, die Position gesetzlich ebenso fest zu verankern wie den Datenschutzbeauftragten. Sie soll als unabhängige Stabsstelle definiert sein, möglicherweise angesiedelt in der Revision, und nur an den Vorstand oder den Geschäftsführer berichten. Primäre Aufgabe eines IT-Sicherheitsbeauftragten wird es sein, das Sicherheitsbewußtsein zu schärfen und die Sicherheitskultur lebendig zu halten.
Grundschutz-Tools
Das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich als gültiges Vorgehensmodell zur Ermittlung des Schutzbedarfs und zur Implementierung eines IT-Grundschutzes etabliert. Alle in der aktuellen Version des Grundschutzhandbuchs abgebildeten Systeme können mit geeigneten Tools wie der DDIS-Software (Datensicherheits- und Datenschutz-Informations-System) einer rechnergestützten Sicherheitsanalyse unterzogen werden. Dazu zählen beispielsweise Unix-Systeme, Windows- und DOS-PCs, Netware- und NT-Netzwerke sowie Datenübertragungseinrichtungen, Firewalls, TK-Anlagen oder Standardsoftware.
Vorhandene Schwachstellen lassen sich so analysieren. Zu ihrer Beseitigung werden technische und organisatorische Maßnahmen vorgeschlagen, etwa der Einsatz von Viren-Scannern oder Diagnose-PCs. Dadurch verkürzt sich die Zeit, die ein manuelles Vorgehen kosten würde, beträchtlich. Die Software soll auch Einsteigern eine umfassende Sicherheitsanalyse ermöglichen. Schritt für Schritt wird der Benutzer durch komplexe Fragelisten geleitet. Ein Protokoll dokumentiert die Ergebnisse. Jedes zu untersuchende System wird dabei als Objekt definiert, dem dann jeweils die Gefährdungen und Maßnahmen zugeordnet sind. Details und Preise unter www.articon.de/ deutsch/produkte/ddis.html.
Weitere Tools gibt es von CSC Ploenzke (www. gstool.de/) oder nur für Bundesbehörden direkt beim BSI (www.bsi.bund.de).
Lackmustest
Mit einem einfachen Szenario läßt sich testen, wie bewußt den eigenen Mitarbeitern Sicherheitsrisiken sind: Eine E-Mail an einen beliebigen oder mehrere Mitarbeiter schicken, sich als Administrator ausgeben und um Änderung des alten Paßworts und Mitteilung des neuen bitten. Ein sensibler Mitarbeiter darf darauf nicht reagieren. Probieren Sie es aus - das Ergebnis wird mit hoher Wahrscheinlichkeit erschreckend sein. Gegen Angriffe dieser Art hilft die beste Technik nicht. Nicht umsonst zählt Social Engineering zu den leichtesten Methoden, unberechtigt an Informationen zu gelangen.
Angeklickt
Sicherheit scheitert oft an mangelndem Problembewußtsein und fehlender Konsequenz. Risikoanalyse, Security-Policy und Schutzmaßnahmen sollten daher durch eine Sicherheitskultur ergänzt werden, die alle Mitarbeiter sensibilisiert, ohne sie zu behindern. Treibende Kraft muß die Geschäftsführung sein. Ein IT-Sicherheitsbeauftragter kann diese entlasten.
*Andreas Lamm ist Leiter Business Development bei der Articon Information Systems AG in Ismaning. Franz Lang leitet dort die Beratungsabteilung.