Rechtstipp: Wer verantwortet Löcher in Firewalls?

IT-Leiter müssen mit dem Risiko umgehen

11.07.2003
Dass sich IT-Verantwortliche aus beruflicher Professionalität um ihre Systeme sorgen, leuchtet in den meisten Fällen ein. Doch sie müssen auch ein persönliches Interesse daran haben, dass Rechner und Netze störungsfrei laufen - weil sie mit ihrem Vermögen haften können, wenn sie einen Fehler zulassen. Von Alexander Behnke und Markus Schäffter*

In den USA sind Unternehmen traditionell offenherziger in der Bekanntgabe statistischer Daten als andernorts. In einer Umfrage des Computer Security Institute (www.gocsi.com) und der Bundespolizei FBI kam heraus, dass 98 Prozent der US-amerikanischen Firmen über eine eigene Internet-Präsenz verfügen und etwa die Hälfte aktiv E-Business betreibt. Die CSI-Studie offenbarte aber auch gravierende Mängel bei der IT-Sicherheit in den USA - bereits zum siebten Mal in Folge.

Zwar verfügen mittlerweile 89 Prozent der Unternehmen über Firewall-Systeme, und eben so viele praktizieren einen aktiven Virenschutz. Dennoch oder gerade deswegen häufen sich die Schadensmeldungen: Knapp 40 Prozent der Unternehmen erkennen mittlerweile Angriffe aus dem Internet auf ihre Web-Server - ein direktes Verdienst der sich durchsetzenden systematischen Logdatenauswertung und des Einsatzes von Intrusion-Detection-Systemen (IDS). Immerhin 85 Prozent aller Befragten hatten direkte Erfahrungen mit schadensstiftender Software wie Viren und Würmern gemacht.

Der Stand der Technik

In Mitteleuropa dürften die Zahlen vergleichbar sein, denn die eingesetzte Hard- und Software unterscheidet sich international nicht gravierend. Für Anwender also Grund genug, das eigene Firewall-System genauer unter die Lupe zu nehmen: Entspricht die Architektur noch dem aktuellen Stand der Technik, reagieren Firewall-Administration und Sicherheits-Management zeitnah auf neue Bedrohungen, und ist das Regelwerk überhaupt restriktiv genug ausgelegt?

Gründe, die IT-Sicherheit im eigenen Hause auf den Prüfstand zu stellen, gibt es viele. Eine wichtige Motivation, tätig zu werden, ergibt sich aber auch schon aus der Haftung im deutschen Rechtsraum. Wird ein Straftatbestand im Aufgabenkreis eines IT-Leiters festgestellt, so wird dieser als Vertreter des Unternehmens stellvertretend als Straftäter behandelt (Paragraf 93 Aktiengesetz, Paragraf 43 GmbH-Gesetz).

An die Tätigkeit leitender Angestellter wird prinzipiell ein erhöhter Sorgfaltsmaßstab angelegt, gemessen an der für eine leitende Position unterstellten erforderlichen Qualifikation und Ausbildung. Dies erhöht auch bei gefahrgeneigter Arbeit das Risiko eines IT-Entscheiders, für Fehler persönlich verantwortlich gemacht zu werden und für etwaige Schäden mit dem eigenen Vermögen zu haften.

Konkrete Beispiele aus der Rechtsprechung für fahrlässige Versäumnisse sind etwa eine lückenhafte Datensicherung oder das Fehlen einer funktionsfähigen unterbrechungsfreien Stromversorgung (USV) in einem Rechenzentrum. Fahrlässig ist jedoch auch eine unzureichende Kontrolle delegierter Verantwortung, insbesondere beim Outsourcing von IT-Dienstleistungen. Wer darüber hinaus eine lückenhafte IT-Sicherheitsorganisation etwa beim Firewall-Management oder dem Virenschutz toleriert oder schlicht übersieht, schwächt seine Rechtsposition.

Wer hat die Verantwortung?

Generell stehen folgende Aspekte eines konsequenten IT-Sicherheits-Managements im Vordergrund: Erst einmal muss eine klare Regelung der Verantwortung zwischen Geschäftsleitung und IT-Entscheidern getroffen und ein Sicherheitsniveau festgelegt werden, das es zu erreichen gilt. Danach müssen IT-spezifische Risiken systematisch erfasst und eingedämmt werden. Schließlich werden die organisatorischen und technischen Schutzmaßnahmen dokumentiert sowie alle Mitarbeiter und Administratoren im Unternehmen geschult und sensibilisiert. Ein fortlaufender IT-Sicherheitsprozess rundet die Maßnahmen ab. Ziel ist es, eine funktionsfähige Sicherheitsorganisation in die bestehende Aufbau- und Ablauforganisation zu integrieren.

KontraG und Basel II

In Zukunft wird die Bewertung der operativen IT-Risiken noch an Bedeutung gewinnen. Durch das Gesetz zur Kontrolle und Transparenz (KontraG) sowie das Rating von Kreditrisiken im Sinne von Basel II ab Ende 2006 werden Unternehmen spätestens dann an ihrem Umgang mit den internen IT-Risiken gemessen. Eine lückenhafte Dokumentation der Sicherheitsorganisation schlägt folglich negativ zu Buche. Das Sicherheits-Management steht somit mehr denn je vor der Herausforderung, die mit dem IT-Betrieb verbundenen Risiken rechtzeitig zu erkennen und auf ein erträgliches, das heißt für die Geschäftsleitung tragbares Maß zu reduzieren.

Anhand einer Internet-Firewall als konkretem Beispiel wird das persönliche Restrisiko der IT-Entscheider deutlich. Die erwähnte CSI-FBI-Studie zeigt, dass trotz des Einsatzes von Firewall- und anderen Sicherungsmaßnahmen das Risiko eines Angriffs von außen nicht auf null gesenkt werden kann. Immerhin lassen sich derartige Angriffe aber schneller erkennen. Als Konsequenz kann sich ein IT-Sicherheits-Management nicht mehr auf die Tatsache berufen, den technischen Grundschutz umgesetzt zu haben, denn in der aktuellen Gefährdungslage genügt dies den Ansprüchen nicht mehr. Auf bessere technische Lösungen zu warten hat ebenfalls wenig Aussicht auf Erfolg, da ein solches Verhalten im Zweifelsfall als fahrlässig angesehen werden kann.

Was ist also zu tun? Zunächst einmal muss festgehalten werden, dass die Anbindung an das Internet erhebliche Risiken birgt. Diese müssen gegen die zweifellos vorhandenen Chancen abgewogen werden - individuell für das jeweilige Unternehmen. Entscheidend ist dies bei den aus Richtung des Internets besonders gefährdeten E-Business-Applikationen mit ihren Verbindungen bis hinein in die internen Backoffice-Systeme.

Das Risiko kann durch technische und organisatorische Maßnahmen erheblich reduziert werden. Zunächst einmal ist der Einsatz eines ausreichend dimensionierten Firewall-Systems absolute Pflicht. Beim Zugriff externer Nutzer auf die internen Backof-fice-Systeme hat sich eine zweistufige Firewall durchgesetzt. Dabei werden zwei Systeme, nach Möglichkeit von unterschiedlichen Herstellern, hintereinander geschaltet, um zu verhindern, dass auch bei Bekanntwerden einer Sicherheitslücke ein Durchgriff nach innen möglich wird.

Die Flut der Logdaten

Um auf Angriffe schnell genug reagieren zu können, ist zudem eine Auswertung der Logdaten aller beteiligten Systeme notwendig. Dies schließt Firewalls, Web- sowie Applikations-Server ein und kann bei Bedarf um die Sensorik eines IDS-Programms ergänzt werden. In großen E-Business-Applikationen können alleine die relevanten System- und Eventlogs fünf Millionen Zeilen pro Tag ausmachen - zu viel für eine manuelle Sichtung. Hierzu sind spezielle Systeme zur Datenkonzentration, -korrelation, -auswertung und -visualisierung notwendig.

Dabei kommt insbesondere der Datenkorrelation eine wichtige Bedeutung zu. Neben den klassischen Logdaten, gegebenenfalls ergänzt um IDS-Sensoren, ist es sinnvoll, eigene, an die jeweilige Applikationslogik angepasste Datensammler zu integrieren. Für eine E-Business-Anwendung könnte so etwa sichergestellt werden, dass ein Zugriff auf Kundendatensätze im Backoffice-System nur mit einer vorangehenden Authentisierung des entsprechenden Kunden am Applikations-Server möglich ist.

Die dafür erforderlichen, applikationsbezogenen Sensoren können relativ einfach erstellt werden und ermöglichen es, qualifizierte Angriffe auf Anwendungen effektiv zu erkennen. So lässt sich die Anzahl der Fehlalarme in einem Maß reduzieren, welches es erlaubt, bei Bedarf auch automatische Schutzmaßnahmen wie das Unterbrechen der entsprechenden Internet-Anbindung einzuleiten.

Dazu muss das klassische Firewall-Management um ein Incident-Response-Team ergänzt werden, welches mit Hilfe geeigneter Werkzeuge qualifizierte Angriffe erkennt und im Falle eines Angriffs organisatorisch und technisch in der Lage ist, umgehend zu reagieren. Dabei ist die Reaktion auf Angriffe mit allen Fachabteilungen im Vorfeld abzustimmen, um den Betrieb durch die Sicherungsmaßnahmen so wenig wie möglich zu beeinträchtigen. (ajf)

*Die Autoren sind IT-Sicherheitsberater bei der Secaron AG (www.secaron.de) in Hallbergmoos bei München.

Abb: IT-Sicherheitsstandards

Die unterschiedlichen IT-Sicherheitsstandards weichen in ihrer Zielrichtung voneinander ab. Während Itsec und Fips 140 die Sicherheit von abgeschlossenen Einzelsystemen bewerten, betrachtet die 7799-Familie und der US-amerikanische Cobit eher die IT-Architektur als Ganzes. Das deutsche IT-Grundschutzhandbuch geht einen Mittelweg, bewertet die IT-Organisation und gibt konkrete Hinweise zur Absicherung von Standardkomponenten wie Web-Servern und die Härtung von Betriebssystemen, beschränkt sich dabei jedoch auf den IT-Grundschutz. Quelle: Secaron