Die COMPUTERWOCHE-Schwesterpublikation NetworkWorld hat sieben Experten mit zehn Thesen zur Sicherheit in der IT konfrontiert. Die Antworten waren teilweise überraschend.
1. Je komplexer die Software, desto sicherer
David Lacey, Forscher und Gründer des Jericho Forum: "Das stimmt. Ein Angreifer kann nicht alles über ein komplexes System wissen. Diese Unsicherheit verhindert einen Großteil von IT-Attacken."
Nick Selby, Analyst bei der 451 Group: "Das ist mir zu einfach. Stellen Sie sich vor, Sie leben in einer Gegend mit hoher Einbruchsrate. Sie statten Ihre Haustür mit Stahlschlössern aus und fühlen sich sicher. Den Schlüssel legen Sie aber immer unter den Gartenzwerg…"
Bruce Schneier, Kryptografieexperte und Security-Manager der British Telecom: "Jede Sicherheitslösung braucht Geheimnisse wie beispielsweise einen kryptografischen Schlüssel. Gute IT-Security kommt aber mit möglichst wenigen Unbekannten aus. Je mehr Teile Ihres Systems Sie öffentlich machen können, desto weniger müssen Sie sich auf Geheimniskrämerei und Komplexität verlassen - desto sicherer sind Sie."
Peter Johnson, Global Information Security Architect bei Lily UK: "Das macht die bösen Buben vielleicht langsamer, letztlich hacken sie das System aber doch. Wie wenn Sie Ihre Haustür zuziehen und hoffen, dass niemand versuchen wird, sie wieder zu öffnen."
John Pescatore, Analyst bei Gartner: "Die Aussage stimmt nur, wenn Sie Ihr System selbst noch verstehen. Ihr Passwort unter Verschluss zu halten hilft auch nur, wenn Sie es selbst kennen. Weltfremde Software, die in dem Irrglauben 'Komplex ist automatisch sicher' entwickelt wird, ist zumeist untauglich."
Richard Stiennon, freier Analyst: "Mir fällt dazu ein Beispiel aus der Praxis ein: Es gibt 70 Millionen Top-Level-Domain-Websites, aber bisher wurden nur einige Tausend Web-Application-Firewalls verkauft. Mehr als 99 Prozent der Sites werden nach dem Motto 'Komplex gleich sicher' geschützt - mehr oder minder."
Andrew Yeomans, Mitglied des Jericho Forum und Security-Vorstand in einer Investment-Bank: "Komplexität verschafft Ihnen Zeit, hält aber nicht ewig. Sie baut eine zusätzliche Hürde vor Ihr System und wehrt schlecht vorbereitete Angriffe ab. Gute Angreifer kommen trotzdem durch, und das mit immer preisgünstigeren Mitteln. Die Konsequenz: Wenn die Komplexität erst einmal mit wenig finanziellem Aufwand ausgehebelt werden kann, sind Sie Ihre Sicherheit dauerhaft los."
2. Open Source ist sicherer als proprietäre Software
Yeomans: "Wenn Ihre offene Software den Geist aufgibt, dürfen Sie die Einzelteile wenigstens behalten und selbst zusammenflicken. Einige offene Programme sind gut auf ihre Sicherheitsaspekte hin geprüft, andere dagegen sind vollkommen unsicher. Vom Security-Standpunkt aus gibt es da kaum Unterschiede zu kommerziellen Applikationen. Der große Vorteil von Open Source ist, dass Sie den Quellcode selbst prüfen oder jemanden beauftragen können, das für Sie zu tun. Probleme lassen sich auf dem kleinen Dienstweg lösen, ohne dass Sie auf den Hersteller angewiesen sind."
Lacey: "Open Source weist andere Risiken auf als proprietäre Software. Keine von beiden ist sicherer als die andere."
Schneier: "Jede sichere Software wurde schon in ihrer Entwicklungsphase von Experten analysiert. Dafür haben Sie zwei Möglichkeiten: Entweder Sie bezahlen für die Analyse, oder Sie machen den Code öffentlich in der Hoffnung, dass die Leute sie kostenlos vollziehen. Open Source hat das Potenzial, sicherer zu sein als die proprietäre Konkurrenz. Aber allein dadurch, dass Sie den Code veröffentlichen, wird das nicht erreicht."
Johnson: "Bei Open Source kaufen Sie wenigstens nicht die Katze im Sack. Der Support offener Programme, gerade in regulierten Wirtschaftsbereichen, erfordert jedoch andere Herangehensweisen."
Pescatore: "Stimmt nicht ganz. Die sicherste Software ist die, deren Entwickler ein Höchstmaß an Aufmerksamkeit in die Sicherheit stecken. Bei den meisten Open-Source-Projekten ist das nicht der Fall. Ich glaube aber, dass Programme, die in dem Wissen entwickelt werden, dass ihr Quellcode veröffentlicht wird, sicherer sind als komplexe proprietäre Applikationen. Entwickler arbeiten nicht so gerne an Easter eggs, Hintertüren im Code und anderen hackerfreundlichen Debugging-Funktionen, wenn sie wissen, dass später jeder Interessent Einblick in ihre Errungenschaften erhält."
3. Compliance-Vorgaben helfen, Sicherheit zu messen
Lacey: "Das stimmt. Ich stelle immer wieder einen direkten Zusammenhang zwischen der Zahl der vorgeschriebenen Audits und dem Sicherheitsniveau fest."
Stiennon: "Offensichtlich nicht. Ein Unternehmen kann extrem sicher sein, aber trotzdem nicht compliant. Umgekehrt gilt das ebenso."
Yeomans: "Compliance-Vorgaben helfen nicht immer. Sie schaffen eine vernünftige Basis für Sicherheit und vereinfachen die Rechtfertigung des Security-Budgets. Aber manchmal führt gerade die Nichteinhaltung der Vorschriften zu mehr Sicherheit. Oft ist es auch teurer als nötig, die Regelungen zu befolgen."
Johnson: "Es gibt für gewöhnlich viele Möglichkeiten, die geltenden Standards zu erfüllen - nach meinen Erfahrungen sind nicht alle gleichermaßen sicher. Die Regulierungsbehörden versuchen zunehmend, spezifische Anforderungen festzulegen. Das wird insofern schwierig, als sie oft keine Ahnung von Security haben."
Pescatore: "Völlig daneben. Schauen Sie sich den Sarbanes-Oxley Act an. Wir sagen unseren Kunden immer: Schützt euer Business, schützt eure Kunden und kümmert euch erst dann um die Compliance."
4. Der RoI von Security-Ausgaben lässt sich nicht bestimmen
Lacey: "Viele Leistungen können Sie mit Hilfe von Erfahrungswerten und Statistiken einschätzen, aber nicht alle sind messbar. Für noch ausstehende Leistungen haben Sie keine Garantie."
Schneier: "Es gibt viele Wege, den Return on Investment (RoI) Ihrer Sicherheitsaufwendungen zu messen. Leider sind alle unvollständig oder fehlerhaft. Das bedeutet aber nicht, dass wir es nicht wenigstens versuchen sollten."
Yeomans: "Der RoI ist in erster Linie für den Verkäufer wichtig, nicht für den Käufer. Die Vermeidung eines möglichen Lecks kann nicht als Gewinn verbucht werden; ansonsten wäre ich schon steinreich, wenn ich nie Lotto spiele! Andere Investitionen wiederum erzielen einen messbaren Profit wie den Anstieg von Kundenzahlen oder niedrigere Ausgaben. Dass wir mittlerweile feststellen können, wie sicher eine Online-Banking- oder eine Online-Shopping-Site ist, hat einen positiven Effekt auf diese Angebote. Ihr Einsatz durch die Kunden nimmt zu, die Anbieter freuen sich. Im Gegenzug haben sie höhere Ausgaben, weil es gewisse Sicherheitsstandards einzuhalten gilt, damit die Kunden nicht abwandern."
Pescatore: "Es gibt viele Wege, den Sicherheits-RoI zu ermitteln, in den seltensten Fällen hat das jedoch wirtschaftlich Sinn. Haben Sie schon einmal einen CEO gesehen, der sich nach dem RoI der Türschlösser oder des Daches Ihrer Unternehmenszentrale erkundigt? Es geht darum, das Thema Security in die Geschäftsanforderungen einzubinden - das bestimmt den ROI."
5. Antiviren-Software ist lebenswichtig
Yeomans: "Stimmt nur auf bestimmten Plattformen und bei bestimmten Anwendern. Einige ziehen die Malware förmlich an. Desktop-Systeme trifft es deutlich leichter als Server, weit verbreitete Plattformen wie Windows XP häufiger als Unix oder Vista. Die vielen Varianten der Viren und Würmer machen signaturbasierenden Antivirus-Programmen das Leben schwer. White-Listing-Verfahren und Sandbox-Technologien starten deshalb durch."
Johnson: "Antiviren-Programme filtern nur vor, um die besonders gefährlichen Eindringlinge kümmern Sie sich besser selbst. AV-Scanner sind noch ein Muss, besonders auf Windows-Rechnern. Sie befinden sich aber auf dem absteigenden Ast. Den großen Malware-Attacken sind sie bereits jetzt nicht mehr gewachsen."
Pescatore: "Auf dem Desktop ist die Antiviren-Software ein Löschwerkzeug und kein Tool zur Vorbeugung. Für E-Mail-Anwendungen und sichere Internet-Zugänge ist dezidierte Anti-Malware ein Muss."
Stiennon: "Antivirus ist lebenswichtig. Konfigurations-Management und verhaltensbezogene Programme schützen nicht vor Malware."
6. Sicherheit auszulagern ist riskant
Lacey: "Stimmt. Sie verlieren den Überblick und die Kontrolle."
Schneier: "Menschen sind risikofreudig - egal, ob sie von Ihnen oder vom Outsourcer bezahlt werden. Konzentrieren Sie sich lieber darauf, wie die Externen ausgesucht, ausgebildet und überwacht werden - nicht darauf, wer sie letztlich bezahlt. Dienstleister haben häufig wesentlich mehr Sicherheitskennzahlen in petto als Sie."
Johnson: "Im operativen Geschäft macht es einen kleinen Unterschied. Der Schlüssel liegt darin, die Anforderungen zu verstehen, die Erwartungen zu schüren und die Compliance zu überwachen."
Foto:
Pescatore: "Für den 24/7-Support suchen Sie sich einen soliden Security-Service-Dienstleister und überlassen ihm die richtigen Arbeiten. Drei von vier Unternehmen fahren damit sehr gut."
Stiennon: "Falsch. Wegen ihrer Spezialisierung können Outsourcer qualifiziertere Leute einstellen."
Yeamons: "Ihre Haftungspflichten können sie nicht abgeben. Aber Spezialisten sind möglicherweise besser als Ihr eigenes Team aus Generalisten. Eine gut ausgebildete Inhouse-Mannschaft arbeitet dagegen bestimmt besser als jeder externe Dienstleister, kann aber oft keinen 24-Stunden-Service bieten."
7. Biometrie ist die beste Methode zur Authentifizierung
Pescatore: "Nur im Film."
Yeomans: "Die Erkennungsrate ist noch sehr fehleranfällig. Biometrie löst längst nicht alle Probleme."
Lacey: "Das kommt auf die Definition von 'beste' an."
Foto:
Johnson: "Biometrie muss erst einmal richtig implementiert werden können."
Schneier: "Sie ist kein Allheilmittel. Es gibt Anwendungsbereiche, in denen sehr gute Authentifizierungssysteme auf biometrischer Basis funktionieren. Woanders hat sie keinerlei Sinn."
Selby: "Standen Sie schon einmal am Haupteingang Ihrer Firma und mussten wie verrückt mit den Fingern schnippen, um die Tür zu öffnen? Und dann stellen Sie sich noch vor, dass hinter Ihnen eine Schlange aus über 60.000 Kolleginnen und Kollegen nur darauf wartet, dass sie endlich den Weg frei machen."
8. Angestellte lassen sich zur Sicherheit erziehen
Pescatore: "Erst wenn die Spielcasinos pleitegehen, weil die Kunden erkannt haben, dass sie nicht gewinnen können."
Yeomans: "Abraham Lincoln hat gesagt: 'Du kannst jeden hinters Licht führen, wenn du den richtigen Zeitpunkt erwischt.' Ausbildung und Training helfen, das Sicherheitsbewusstsein der Mitarbeiter zu schärfen, hoffnungslose Fälle gibt es aber überall."
Foto:
Selby: "Schauen Sie sich nur an, wie viel Pornografie auf Unternehmens-Notebooks gespeichert ist."
Schneier: "Wir sind nur Menschen. Die Gefahr durch Social Engineering besteht, weil wir menschlich denken und arbeiten. Sie können Ihre Leute zwar zu mehr Sensibilität erziehen, zu Maschinen können Sie sie aber nicht machen."
Johnson: "Sie können ein Pferd zum Wasser führen, trinken muss es aber schon selbst. Sicherheitsvorfälle nehmen durch regelmäßige praktische Trainings zwar ab, das Ziel muss es aber sein, das Sicherheitsbewusstsein im Hirn der Menschen zu verankern."
9. Je länger der Schlüssel, desto stärker die Verschlüsselung
Yeomans: "Und desto größer die Chance, dass die Schwachstelle woanders liegt. Sie müssen auch Ihren Schlüssel irgendwo sicher aufbewahren. Das machen aber nur wenige. Wenn Sie Ihren Key lediglich mit einem Acht-Zeichen-Passwort schützen, ist es egal, ob Ihre Verschlüsselung 64 oder 256 Bit stark ist."
Schneier: "Ein guter Schlüssel ist nötig, reicht aber nicht aus. Es gibt einige Möglichkeiten, in verschlüsselte Systeme einzudringen, ohne dass der Key dabei irgendeine Relevanz besitzt."
Foto:
Johnson: "Stimmt - wenn Algorithmus, Implementierung und alle anhängenden Prozesse gleichermaßen gut funktionieren."
Pescatore: "Es ist schwieriger, mit gängigen Brute-Force-Attacken Erfolg zu haben, wenn der Schlüssel lang ist. Ab einer bestimmten Länge ist es jedoch unerheblich, ob Sie Ihren Schlüssel noch verlängern, weil Angreifer dann auf andere Methoden umsteigen."
10. Cyber-Kriminelle - Staat und Behörden werden's schon richten
Selby: "Natürlich, sie kümmern sich ja auch um die Wirtschaft."
Lacey: "Wie sollten die Geheimdienste sonst arbeiten können?"
Yeomans: "Sollten Sie nicht in einer Branche arbeiten, die die Weltwirtschaft maßgeblich beeinflusst, verlassen Sie sich auf niemanden."
Foto:
Schneier: "Tun sie das? Davon merke ich nichts."
Johnson: "Ja, falls jeder Privatanwender ein Cyber-Krimineller ist."
Pescatore: "Die größten Gefahren gehen von privaten Netzwerken aus, nicht von den Regierungen und Behörden anderer Länder. Deshalb bemüht sich die Wirtschaft auch stärker um die IT-Sicherheit als die Politik. Hundertprozentigen Schutz hat aber nach wie vor nur, wer seine Leitung in die Welt vollständig kappt."