Um die Informationssicherheit in Unternehmen ist es schlechter bestellt als

bisher angenommen. Diese Erkenntnis brachte eine von der EG-Kommission initiierte Studie über Telekommunikation ans Licht. Als Ursachen machte die mit der Durchführung beauftragte Treuhand-Vereinigung AG* neben fehlendem Sicherheitsbewußtsein, keine eindeutige Aufteilung der Verantwortung sowie mangelhafte Kontrollmethoden ausfindig.

Seit rund 30 Jahren werden Computersysteme im kommerziellen Bereich eingesetzt. In dieser Zeit hat sich die Technologie der Informationsverarbeitung rasant entwickelt und auch für die 90er Jahre wird eine ähnliche Tendenz vorausgesagt. Markante Entwicklungsschritte sind heute nicht primär in der weiteren Miniaturisierung und Steigerung der Rechenleistung zu sehen, sondern in der rasch fortschreitenden Vernetzung von Computersystemen und der Tatsache, daß Informationstechnologie und Arbeitsprozesse

eng zusammenwachsen.

Der zunehmende elektronische Datenaustausch zwischen Unternehmen und deren Abhängigkeit von ihren eigenen und Dritt-Umgebungen verlangen die Entwicklung von sicheren und zuverlässigen DV-Systemen. Unternehmen, die Netzwerke benutzen, deren Gefahren aber nicht kennen und beherrschen, setzen ihre Existenz aufs Spiel. Mangelnde Sicherheitsmaßnahmen könnten somit die Entwicklung einheitlicher Netzwerke in Europa und deshalb das Wachstum wesentlicher Wirtschaftszweige in Europa hemmen.

In Anbetracht dieser Risiken hat die Generaldirektion XIII (zuständig für Telekommunikation, Informatik-lndustrien und Innovation) der Kommission der Europäischen Gemeinschaft eine Serie von Projekten zum Thema Informatik-Sicherheit (IT-Sicherheit) mit dem Ziel ausgeschrieben, die sicherheitsgefährdeten Bereiche bei der Anwendung der Informations- und Kommunikationstechnik zu untersuchen und Richtlinien für die Lösung der Probleme vorzuschlagen. Coopers & Lybrand (C&L), eine internationale Gesellschaft für Wirtschaftsprüfung und Beratung, deren deutscher Partner die Treuhand-Vereinigung AG ist, wurde mit der Durchführung beauftragt.

Neunzehn Unternehmen aus sieben europäischen Ländern, darunter drei deutsche, beteiligten sich an dem Projekt. Sie wurden so ausgewählt, daß führende Benutzer netzwerkbasierender Systeme aus den Wirtschaftszweigen Banken, Versicherungen, Industrie, Energie, Kommunikation, Transport und Dienstleistungen vertreten waren. Zusätzlich haben siebzehn Sponsoren aus der Informatik- und Telekommunikations-Branche die Studie unterstützt.

Im weitesten Sinne bedeutet Sicherheit den Schutz vor Schaden. Im Zusammenhang mit IT-Systemen kann eine Organisation in zweifacher Hinsicht betroffen sein, nämlich durch direkte Schäden und durch Folgeschäden. Um eine Organisation davor zu schützen, müssen die Informationen, die mit Hilfe von IT-Systemen aufbereitet oder verfügbar gemacht werden, geschützt sein. Ein Schaden tritt nämlich dann ein, wenn eine der drei folgenden Anforderungen an solche Informationen verletzt wird:

- Vertraulichkeit: Vertrauliche Informationen sollten nur berechtigten Stellen zu bestimmten Zeiten zugänglich sein.

- Integrität: Die Informationen sollen echt und nicht fiktiv sein.

- Verfügbarkeit: Wichtige Informationen sollten verfügbar sein, wenn sie benötigt werden.

Diese drei Anforderungen an Informationen stellen die Grundlage für die Bestimmung der IT-Sicherheit dar. Sie unterliegen keiner Priorität. Ihre Bedeutung hängt von den Anwendungen ab, die mit Hilfe von IT-Systemen betrieben werden. Die Vertraulichkeit zum Beispiel kann von größter Wichtigkeit für ein System zur Produktentwicklung sein. Die Integrität ist dagegen in einem System für Geldtransfer unabdingbar. Die Verfügbarkeit schließlich kann der wichtigste Faktor in einem Produktionssystem sein.

IT-Systeme sind kostspielige Gebilde, die in der Regel aus folgenden fünf Elementen bestehen und direkt Schaden nehmen können:

- Hardware: Prozessoren, Arbeitsstationen, Drucker, Massenspeicher und Kommunikationseinrichtungen

- Software: Betriebssysteme und Anwendungsprogramme für die zentralen und dezentralen Systeme

- Dokumentation: Spezifikationen, Benutzerhandbücher und Richtlinien für den Betrieb der Systeme

- Mitarbeiter: Bedienungspersonal, Techniker und Benutzer

- Infrastruktur: Gebäude und Räume für Computer- und Kommunikationseinrichtungen, Klimaanlagen, Stromversorgung und Sicherheitsanlagen

Die direkten Schäden machen laut Statistik zwar nur rund fünf Prozent der kumulierten Verluste, die im Zusammenhang mit einer Verletzung der IT-Sicherheit entstehen, aus, dennoch können die in IT-Systeme investierten Beträge beträchtlich sein. Es liegt deshalb auf der Hand, daß auch IT-Systeme selbst angemessen geschützt sein müssen.

Aus der beschriebenen Gefahr ergibt sich folgende Definition für IT-Sicherheit:

IT-Sicherheit ist der Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, die durch das Informationssystem bereitgestellt werden sowie der Schutz des Informationssystems selbst.

Die Studie sollte auch über das aktuelle Sicherheitsniveau von IT-Systemen großer Unternehmen in Europa Auskunft geben. Zu diesem Zweck wurden von den Forschern zur Beurteilung der IT-Sicherheit folgende elf Sicherheitsbereiche definiert.

- Physische Sicherheit - DV-Betrieb

- DV-Konfiguration - Netzwerk-Betrieb

- DV-Dokumentation - Service-Funktionen - Datensicherheit

- Sicherheits-Manag.

- Telekommunikation

- Notfallplanung

- Mikrocomputer

In jedem der 19 an der Studie beteiligten Unternehmen wurden die obigen elf Bereiche einem einheitlichen Standard untersucht und die Ergebnisse miteinander verglichen. Die Auswertung ergab, daß im Durchschnitt aller Branchen die Bereiche physische Sicherheit und DV-Betrieb am sichersten sind. Grund: Es handelt sich um Bereiche, für die Sicherheitsanforderungen bekannt und Lösungen seit längerer Zeit verfügbar sind. Für diese Bereiche ist in der Regel im Unternehmen auch eine Stelle zuständig.

Die Studie hat im weiteren ergeben, daß in den untersuchten Unternehmen der Sicherheitsgrad in den Bereichen DV-Konfiguration, Netzwerkbetrieb, Dokumentation und Service-Funktionen als ausreichend sicher bewertet werden kann. Ungenügend sicher sind hingegen die Bereiche Datensicherheit, Sicherheits-Management, Telekommunikation, Notfallplanung und Mikrocomputer.

Banken: Akzeptables Sicherheitsniveau

Ein Vergleich der Banken mit den übrigen Unternehmen brachte ans Licht, daß sie durchweg einen höheren Sicherheitsstandard aufweisen. Im Durchschnitt erreichen die Geldinstitute ein akzeptables Niveau in allen Sicherheitsbereichen mit Ausnahme der Notfallplanung und der Mikrocomputersicherheit, während die übrigen Unternehmen nur bei der Hälfte der Sicherheitsbereiche ein akzeptables Niveau erzielen. Allerdings weichen die Ergebnisse der einzelnen Banken beträchtIich voneinander ab Die großen Unterschiede bei der Bewertung der Bereiche Notfallplanung und Mikrocomputer, zeigen die Schwierigkeiten, die sich den Unternehmen heute auf dem Gebiet der Informatik-Sicherheit stellen.

Es gibt selbst in der Bankbranche, die ein besonders großes Sicherheitsbedürfnis hat keinen einheitlichen Sicherheitsstandard. Verglichen zu den Banken fallen die Resultate der übrigen Unternehmen zum Teil weit ab. Auch hier wurde das Fehlen eines allgemein anerkannten Standards festgestellt.

Die Analyse zeigte jedoch, daß die gut kontrollierten Unternehmen ungefähr den Sicherheitsstandard der Banken erreichen. Da aber die untersuchten Organisationen führende IT-Anwender sind, muß gefolgert werden, daß viele Unternehmen in wesentlichen Sicherheitsbereichen unverantwortbaren Risiken ausgesetzt sind. Verbesserungen der Sicherheit sind hier sicherlich notwendig.

Während der Studie wurde das Management der Benutzer- und der Informatik-Bereiche aufgefordert, den Sicherheitsgrad bezüglich Vertraulichkeit, Integrität und Verfügbarkeit ihrer IT-Systeme zu beurteilen. Es kam zu keinen übereinstimmenden Meinungen. In vielen Organisationen wichen die Antworten der Benutzer wesentlich von denen der Informatik-Leiter ab. Auffällig war, daß Verantwortliche ihren eigenen Bereich in der Regel als sicher und Bereiche, die nicht ihrer Verantwortung unterliegen, als unsicher deklarierten.

Höhere Priorität für neue Systeme

Am häufigsten wurden im Management folgende Meinungen vertreten:

- In praktisch allen der elf Bereiche wird die Sicherheit als ausreichend eingeschätzt.

- Die Sicherheit der eingesetzten EDV-Anwendungen wird generell als gut angegeben.

--- Die Sicherheit muß bei der Entwicklung und Einführung neuer Systeme eine höhere Priorität eingeräumt werden.

Im Verlauf der Erhebung wurde versucht, den durch das Management beurteilten Sicherheitsgrad zu quantifizieren, um die verschiedenen Aussagen vergleichbar zu machen. Die Auswertungen ergaben, daß das Management die IT-Sicherheit in fast allen untersuchten Unternehmen als hoch bis angemessen beurteilt. Die Ergebnisse beweisen jedoch deutlich, daß diese Einschätzung durch das Management in vielen Fällen zu optimistisch ausfiel.

Begriff IT-Sicherheit muß klar sein

Aus der Studie haben sich mehrere sicherheitsrelevante Bereiche ergeben, die sich in zwei Gruppen unterteilen lassen:

1. Produktabhängige Problembereiche:

- Zugriffsschutz bei heterogener Systemumgebung (Benutzerauthentizität)

- - Überwachung der Verfügbarkeit des Systems

- Schutz der vertraulichen, über Netzwerke transportierten Informationen (Verschlüsselung)

- Sicherstellen der Vollständigkeit und Richtigkeit von übermittelten Informationen (Integrität, Authentisierung).

2. Von Produkten unabhängige Problembereiche:

- Risikoanalyse

- Änderungsverfahren

- Notfallplanung

- Integrität der Software - Zuverlässigkeit gekaufter Systeme

- lnterne Abhängigkeit - zum Beispiel von einzelnen Mitarbeitern

- Externe Abhängigkeit - zum Beispiel von Netzwerkanbietern.

Diese Problembereiche tragen erheblich zur IT-Sicherheit bei. Ihnen wird eine hohe Priorität zugeordnet, weil die Unternehmen in diesen Bereichen bereits mit Problemen konfrontiert wurden und Maßnahmen nötig sind, um einen ausgewogenen Sicherheitsgrad zu erreichen.

Die Studie gibt aber auch Tips zur Erstellung eines Katalogs um den Sicherheitsgrad zu erhöhen. Die Empfehlungen verfolgen das Konzept, zuerst bestimmte Voraussetzungen als Fundament für eine ausgebaute IT-Sicherheit zu schaffen, bevor in den folgenden drei Stufen detaillierte Maßnahmen realisiert werden können.

Eine ausgewogene und umfassende IT-Sicherheit verlangt als Basis zunächst drei Voraussetzungen:

1. Der Begriff der IT-Sicherheit muß klar umschrieben sein.

2. Der Schutz muß drei verschiedene Stufen umfassen:

- die Schadenverhütung, das heißt Maßnahmen müssen die Wahrscheinlichkeit vermindern, daß sich Schäden ereignen,

- die Schadenbegrenzung, das heißt Maßnahmen das Ausmaß eingetretener Schäden erkennen und begrenzen und

--- die Wiederherstellung, das heißt Maßnahmen müssen getroffen sein, um die Systeme und Informationen nach eingetretenem Schaden wiederherzustellen.

3. Die Sicherheitsmaßnahmen müssen über alle Bereiche ausgewogen und angemessen sein.

Im weiteren läßt sich ein klarer Zusammenhang feststellen zwischen der Einstellung des Managements zur Sicherheit und Qualität des Schutzkonzeptes. Das Gutachten rät deshalb zu folgenden Empfehlungen:

- Eine unternehmensweit gültige Sicherheitspolitik sollte schriftlich und verbindlich festgehalten sein. In ihr sind unter anderem der Gegenstand der Sicherheit (Was ist zu schützen?), die Verantwortlichkeiten und die Kriterien, nach denen Informatik-Systeme verschiedenen Sicherheitsstufen zugeordnet werden, zu definieren.

- Die Sicherheitsaufgaben sind bestimmten und dafür ausgebildeten Mitarbeitern zu übertragen. Diese müssen die nötigen Kompetenzen und Hilfsmittel besitzen.

--- Das Sicherheitsbewußtsein ist bei allen Mitarbeitern zu fördern. Jeder Mitarbeiter soll verstehen, daß Sicherheit ein wichtiger und notwendiger Faktor ist für den Erfolg des Unternehmens und damit auch für ihn selbst.

Baselines basieren auf erfolgreichen Konzepten

Die Realisierung von Sicherheitsmaßnahmen sollte sich nach einer Prioritätenordnung richten. Im Detailbericht sind Vorschläge für ein entsprechendes Vorgehen dargestellt. Die Grundkontrollen (Baseline Controlls) sind aus erfolgreich angewandten Schutzkonzepten der untersuchten Organisationen abgeleitet. Die Unternehmen sollen mit der Verwirklichung der Grundkontrollen in der Lage sein,

- ohne Zeitverzug für eine Detailanalyse den bestehenden Sicherheitsgrad wesentlich zu erhöhen,

- etwas zu tun, daß sich in praktischer Anwendung bewährt hat und

- einen ausgewogenen minimalen Sicherheitsgrad in den verschiedenen Teilsystemen der Informationstechnologie zu erreichen.

Sicherheit ist Dauerthema für das Management

Die Grundkontrollen ermöglichen in vielen Fällen keinen ausreichenden Schutz für alle

Anwendungen und Informatikbereiche. Es ist deshalb nötig, in einem nächsten Schritt jede IT-Anwendung im Hinblick auf Bedeutung, IT-Abhängigkeit und bestehende Risiken zu untersuchen und die speziellen Anforderungen an die Sicherheit bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu definieren, die Sicherheitsziele

festzulegen und die nötigen zusätzlichen Sicherheitsmaßnahmen zu bestimmen.

Einmal eingeführte Sicherheitsmaßnahmen bedürfen einer dauernden Überwachung

und kritischen Beurteilung. Änderungen der Unternehmensaktivitäten des Systems und im Umfeld, Ausnahmesituationen sowie aufgetretene Schadensfälle und Änderungen des Systems verlangen, daß sich das Unternehmen auf neue Gegebenheiten einstellt.

Die Beschäftigung mit der Sicherheit bleibt für das Management eine Daueraufgabe. Auch wenn ein Teil der Pflichten oft delegiert wird, so ist dennoch sicherzustellen, daß effektive Verfahren installiert werden für die

- Einführung von Kontrollen, so daß diese auf vorgesehene Art und Weise in Betrieb gesetzt werden,

- laufende Administration der Kontrollen, so daß sie auf effektive und einfache Art und Weise funktionieren,

- laufende Überwachung der Kontrollen, so daß Übertretungen entdeckt und verfolgt werden können,

- unabhängige Überprüfung von Kontrollen und

- Berücksichtigung von Änderungen in der Konfiguration, so daß die Kontrollen nicht durch Änderungen in Netzwerk, Hardware, Systemprogrammen und Anwendungen unterminiert werden.

Ein verläßliches Fundament, die Grundkontrollen, die systemspezifischen Kontrollen und das Sicherheits-Management bilden zusammen einen ausreichenden, auf die spezifischen Umstände des Unternehmens zugeschnittenen Schutz, der dauerhaft wirksam externen und internen Gefahren im Zusammenhang mit dem Einsatz von Informations-Technologie begegnet. +