CW: Herr Dr. Elgamal, wie sollte eine Organisation vorgehen, um vollständige Sicherheit zu erreichen?
Elgamal: Warum sollte man das anstreben? Ich halte das für albern.
CW: Albern? Seine Vermögenswerte zu sichern, um das Beste daraus zu machen, kann man doch kaum als albern bezeichnen.
Foto: Axway
Elgamal: Wenn Sie das Beste aus Ihren Vermögenswerten machen wollen, müssen Sie Ihr Geschäft richtig managen. Genau so müssen Sie auch an das Thema Sicherheit herangehen. Es ist ein Teil der Managementaufgabe. Es geht eben nicht nur darum, einige Technologien zusammenzustellen oder Leute anzuwerben. Es geht darum, welchen Teil des Betriebes Sie in die Hand nehmen wollen, um sicherzustellen, dass das Thema Sicherheit richtig umgesetzt wird.
CW: Das hört sich ziemlich ausweichend an.
Elgamal: Ich kann es auch philosophisch formulieren: Die Reise ist das Ziel. Ganz gleich, wie Sie es nennen, im Endeffekt muss jedem klar sein, dass es für Sicherheit keine Endstation gibt. Viele Leute meinen, sie können sich mit Sicherheit auseinandersetzen und dann einen Abschluss finden. Aber so funktioniert das eben nicht.
CW: Sie sagen also, dass Unternehmen mehr für das Sicherheitsbewusstsein tun müssen?
Elgamal: Was ich sage ist, dass Unternehmen lernen müssen, welche Risiken sie eingehen wollen, anstatt die falschen Fragen zu stellen. Die Absenz jedweden Risikos führt mit Sicherheit zum Scheitern. Alles läuft auf die Frage hinaus, welche Risiken man eingehen will, weil der daraus resultierende Nutzen interessant ist. Hinzukommt natürlich wie viel man investieren will, um einen Schaden zu verhindern.
CW: Aber gibt es nicht schon heute zu viele Benutzer, die bei weitem zu viele Risiken eingehen?
Elgamal: Zweifellos. Andererseits: Wie lange predigen Sicherheitsberater diesen Benutzern schon, dass sie vorsichtiger und wachsamer gegenüber offensichtlichen Risiken sein sollen? Trotzdem machen sie, was sie schon immer getan haben.
CW: Dann verraten Sie uns doch, warum Benutzer nicht auf Sicherheitsberater hören!
Elgamal: Die meisten Sicherheitsleute sind wie Linkshänder, die Rechtshändern das Schreiben beibringen wollen. Sie betrachten die Dinge aus einer vollkommen anderen Perspektive.
CW: Was heißt das?
Elgamal: Es bedeutet, dass wir uns zuerst mit den Prioritäten befassen müssen, bevor wir Lösungen oder Richtlinien entwickeln. Übrigens konnten sehr viele Lösungen aus diesem Grund keine wirkliche Sicherheit schaffen. Nehmen Sie E-Mail zum Beispiel: Mit Content Filtering oder Volumenbeschränkungen konnte man dafür sorgen, dass einige E-Mails nicht die Grenzen der eigenen Organisation verließen. Den Inhalt hat das aber nicht von der Reise abgehalten, denn die Benutzer fanden alternative Wege. Sie kopierten dann einfach sensible Daten auf USB-Sticks oder CDs und verschickten diese mit der Briefpost - in den meisten Fällen unverschlüsselt, damit der Empfänger auch keine Probleme beim Lesen der Daten hatte.
Technologie alleine ist keine Antwort
CW: Heißt das, dass Technologie das Problem doch nicht lösen kann?
Elgamal: Technologie alleine ist jedenfalls keine Antwort. Erst seit Kurzem haben Unternehmen damit angefangen, Risk-Manager-Positionen zu schaffen, die sich mit potenziellen Gefährdungen für ihr Unternehmen auseinandersetzen. Natürlich hat ein Teil ihres Alltagsgeschäfts auch mit Technologie zu tun, das Meiste jedoch nicht: Sie bewerten das Geschäft und entscheiden dann, wohin die Mittel gehen.
CW: Auf gut deutsch: Sicherheit hat ihren Preis?
Elgamal: Nein, das Risiko bestimmt die Sicherheit. Nehmen Sie Hacker-Angriffe: Das Ziel kann hier lauten, nicht alle Hacks zu verhindern, sondern nur die, die dem Geschäft schaden können.
CW: Aber damit kommen wir doch wieder zur Technologie zurück. Wir drehen uns im Kreis!
Elgamal: Nein, wir sind auf dem Weg. Sie erinnern sich? Und wir treffen Vorkehrungen für eine sichere Reise. Aber der Zug, mit dem wir fahren, benötigt mehr als nur solide Gleise und zuverlässige Bremsen. Wir brauchen auch das richtige Personal, das auch bei hohen Geschwindigkeiten gute Entscheidungen treffen kann. Es kann auch darauf ankommen, Reiniger parat zu haben, damit die Windschutzscheibe immer sauber ist und der Schaffner immer gut sehen kann, was vor sich geht. Das Wichtigste ist jedoch das Teamwork. Denken Sie nur an all die nassen Blätter, die auf den Gleisen liegen. Sie stellen eine große Gefahr für unseren Zug dar, die ihn zum Entgleisen bringen kann. Also brauchen wir Unterstützung, die sich darum kümmert. Und natürlich müssen wir immer das größere Ganze sehen, damit wir unsere Ressourcen richtig verteilen und die Prioritäten entsprechend anpassen.
CW: Aber woher soll man wissen, wo man anfangen und wo man aufhören muss?
Elgamal: Es ist so, wie ich bereits gesagt habe: Für Sicherheit gibt es keine Endstation. Man muss bedenken, was man erreichen will. Mit anderen Worten: Was ist das eigene Geschäftsziel? Außerdem muss man sich im Klaren sein, dass es mehrere Sicherheitsschichten gibt: Wenn unsere wertvollsten Vermögenswerte sehr nahe am Internet sind, ist ein Angriff fast zwangsläufig erfolgreich. Wenn sie sich aber hinter mehreren Schichten befinden, haben wir eine deutlich größere Chance, sie zu schützen. Wir können dann vielleicht sogar sehen, wenn jemand einen Angriffsversuch unternimmt, entdecken welche Technologien versagen und welche Nutzer betroffen sind. Sicherheit hat sehr viel mit taktischer Kriegsführung zu tun.
Sicherheit bedeutet taktieren
CW: Kriegsführung?
Elgamal: Natürlich hat man seine Wachen im Einsatz, aber die können nur einen Teil der Aufgabe erledigen. Bestenfalls schlagen sie Alarm, wenn die Armee des Feindes auftaucht, doch man sollte stets auf den Ernstfall vorbereitet sein. Vielleicht wird die gegnerische Armee dann sogar abziehen, weil sie einen Angriff für zu gefährlich erachtet. Genauso gilt natürlich, dass man niemals an zu vielen Fronten gleichzeitig kämpfen sollte. Wenn man merkt, dass einige der eigenen Rechner etwas Eigenartiges tun, muss man verhindern, dass sich das im Netzwerk ausbreitet. Es macht einen beträchtlichen Unterschied, ob man einen einzelnen Rechner hat, der von Malware befallen ist oder ein komplettes Netzwerk.
CW: Wie würden Sie denn vorgehen, wenn Sie in das Netzwerk eines Unternehmens eindringen sollten?
Elgamal: Ganz einfach. Ich würde den oder die Assistentin des CEO anrufen und sagen, dass der CEO in einem Meeting mit einem hochrangigen Manager sitzt. Und weil er für das Gespräch Zugriff auf das eigene Netzwerk braucht, soll ich ihm nun seinen Benutzernamen und sein Kennwort besorgen.
CW: Das soll funktionieren?
Elgamal: Es ist der am meisten verwendete Hack.
CW: Das muss für einen Sicherheitsexperten wie Sie doch sehr frustrierend sein.
Elgamal: Nein, es ist nur ein Fakt, den ich über die Jahre gelernt habe. Aus diesem Grund sage ich auch, dass wir uns nicht nur auf Technologien verlassen können. Menschen werden sie umgehen, also müssen wir auch den sozialen Faktor berücksichtigen.
CW: Mal ehrlich, glauben Sie, dass überhaupt ein Fortschritt in Sachen Sicherheit erkennbar ist?
Elgamal: Definitiv. Sicherheit hat sich zu einer Branche entwickelt. Als ich vor über 30 Jahren mit Kryptografie begonnen habe, sah das noch ganz anders aus. Die einzigen, die sich damals dafür interessierten waren Nachrichtendienste. Erst das Auftauchen des Internets machte es möglich, dass Sicherheit sich als Branche etablieren konnte. An der ersten RSA-Konferenz 1990 nahmen 50 Besucher teil, bei der letzen waren es über 15.0000. Wir waren es, die diese Branche aufgebaut haben. Doch letztendlich konnte das nur gelingen, weil mit dem Internet ein Risiko für Anwender entstand, das man in den Griff kriegen musste. Bisweilen ist es nötig, sich in Geduld zu üben. Denken Sie nur daran, wie lange es bei den Automobilherstellern gedauert hat, bis sie Basisausstattungen wie Sicherheitsgurte implementiert haben.
CW: Also ist es schlussendlich dennoch Technologie, die Sie antreibt.
Elgamal: Technologie, die einen Zweck verfolgt - und das ist natürlich etwas ganz Anderes als Technologie um der Technologie willen. Man möchte vielleicht das eine verhindern oder das andere ermöglichen, doch es muss stets ein Grund für uns vorhanden sein, das zu tun. Vielleicht spart es Geld, schützt das Individuum oder ermöglicht die Interaktion zwischen Ländern. Dann wird Technologie interessant.
CW: Herr Dr. Elgamal, vielen Dank für dieses Gespräch! (ph)