Im Alltag sind Normen und Zertifikate oft hilfreich - unabhängige oder staatliche Institutionen zeigen dem Käufer, dass gewisse Standards erfüllt sind. Sie schaffen Vertrauen und schützen vor Unsicherheit. Leider funktionieren entsprechende Mechanismen nur sehr eingeschränkt im Bereich Software und Hardware. Wenn man genau versteht, was wirklich zertifiziert wird, können entsprechende Verfahren durchaus sinnvoll sein, allerdings gibt es zwei Gründe, warum im IT-Bereich Zertifizierungen in der Praxis nur schwer umzusetzen sind.
Foto: Tatiana Popova - shutterstock.com
Grund Nummer 1: Es existiert praktisch kein einziges komplett zertifiziertes Produkt, das mehr als nur einige wenige Grundfunktionen anbietet. Die Zertifizierung ist unglaublich aufwendig und teuer. Die Mehrheit der Anbieter zertifiziert deshalb meistens nur eine Funktion oder eine Teilkomponente. Dies genügt, um ein Zertifikat vorweisen zu können, die Details werden dann meistens einfach nicht erwähnt. Das hat bei einem Router oder bei Hardware-Komponenten durchaus Sinn - bei einer Software weniger, denn böswillige Backdoors oder einfach ungewollte Schwachstellen können überall versteckt sein. Die meisten Zertifizierungen sind deshalb leider nur fürs Marketing gut.
Grund Nummer 2: Der zeitliche Aufwand ist nicht mit den heutigen Anforderungen an IT-Sicherheit vereinbar. Es ist nicht realistisch, eine Zertifizierung schneller als in einem Jahr zu bekommen, häufig dauert es zwei oder mehr Jahre. Bei einer Security-Software ist es absolut sinnfrei, denn in dieser Zeit sind ganz neue Bedrohungen aufgekommen und jede Security-Software muss permanent weiterentwickelt und mehrere Male pro Jahr upgedatet werden.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Bis eine Version eines Produktes fertig zertifiziert ist, gibt es bereits mehrere Weiterentwicklungen. 99 Prozent der Kunden greifen lieber auf eine neue Version ohne Zertifikat zurück, anstatt bei einer veralteten Version zu bleiben. Denn sonst können sie auch keine Patches einspielen, Bug Fixing ist auch nicht mehr möglich, denn bei jeder auch noch so kleinen Änderung wird die Zertifizierung zerstört. Deswegen gibt es viel zertifizierte Hardware und praktisch keine komplett zertifizierte Software. Und wenn, dann wird nur eine Teilkomponente zertifiziert und aus Marketinggründen vergisst man, es zu erwähnen.
Extreme Dynamik der Cyberbedrohungen
Die stetige Weiterentwicklung von Sicherheitslösungen ist absolut notwendig und Anwender sollten in keinem Fall bei alten Versionen bleiben, nur um gewisse Zertifizierungen zu erhalten. Die Angriffe mit Ransomware seit Oktober 2015 sind nur ein Beispiel für die veränderte Gefahrenlage. Bis zum Februar 2016 hat sich laut BSI die Anzahl der Angriffe mit Ransomware in Deutschland innerhalb von fünf Monaten verzehnfacht. Deutschland war in 2016 ein besonders beliebtes Ziel. Weltweit kam es ebenfalls zu einer Zunahme der Angriffe, diese war aber deutlich schwächer.
Durch eine versteifte Fokussierung auf Zertifizierungen verpassen Organisationen leicht die richtige Reaktion auf die echten Bedrohungen. Besorgniserregend ist unter anderem die zunehmend organisierte Cyberkriminalität. In seinem aktuellen Bericht zum Thema Cybercrime warnt das BKA, dass sich zunehmend kriminelle Gruppierungen bilden, die sich größtenteils oder ausschließlich auf Verbrechen in der digitalen Welt spezialisiert haben. Lag die Zahl der registrierten Gruppen 2013 noch bei sechs, wurden 2015 bereits 22 Organisationen registriert. Die Attacken, die Hintermänner und die eingesetzten Schädlinge zeugen von einer zunehmenden Professionalisierung von Angriffen in der Bundesrepublik.
Fazit
Es gibt entsprechende Sicherheitskonzepte, um sich bestmöglich vor jeglicher Art von Attacken zu schützen. Wichtig ist, dass man nicht in Panik verfällt und besonnen mit der Situation umgeht. Oft werden Zertifikate als Götzen verehrt, die den Nutzern ein falsches Sicherheitsgefühl vermitteln. In der Tat können Zertifikate als Argument für Sicherheit dienen, allerdings nur für bereits bekannte Bedrohungen, längere Zeit nach deren Entdeckung. Dies ist ungefähr so, wie der Verzehr von einem Jahr alter Milch: Sie war bestimmt einmal frisch und man kann vielleicht sogar noch bestimmen, wann die Milch genießbar war. Zum jetzigen Zeitpunkt ist sie aber nicht mehr brauchbar und sollte durch eine neue Version ersetzt werden.
Zertifikate garantieren keine absolute Sicherheit, sondern sind vor allem Marketingwerkzeuge. Anstatt blind auf Labels zu vertrauen, sollten Organisationen den Kontakt zu Sicherheitsunternehmen vor Ort suchen. Je näher am Kunden und am Markt ein Anbieter ist, desto besser kann er sich auf die Situation in einer Organisation einstellen. Standardlösungen passen oft nur unzureichend, besonders wenn sie aus dem Ausland kommen. Dann müssen zusätzliche deutsche Richtlinien und Industriestandards noch implementiert werden. (haf)