Wieviel Security ist genug?
CW: Sie arbeiten als Chief Security Technology Officer für BT, ein Unternehmen mit durchaus interessanten Daten für Hacker. Haben Sie nach den Attacken im Frühjahr etwas in ihren Abläufen geändert?
Bruce Schneier: Bei BT mussten wir nichts verändern. Schauen Sie sich die Vorgehensweise von Lulzsec oder Anonymous an: Es gibt eine Tendenz zu einfachen Zielen. Die meisten Angriffe sind weder neu noch innovativ.
CW: Sie meinen also, man muss nicht das sicherste System besitzen, sondern nur eines, das sicherer ist als die anderen?
Bruce Schneier: Richtig. Hatte eine Firma also in den letzten Jahren bereits eine gute Sicherheitspolitik, so sollte sie auch in diesem Jahr sicher sein. Der Großteil der Attacken ändert nicht die Herangehensweise der Unternehmen an IT-Sicherheit, sie validiert lediglich was man bisher getan hat.
CW: Sie erwähnen in ihren Büchern, dass man Sicherheit als Prozess verstehen muss, nicht als einzelne Technik. Wie erkläre ich diese Herangehensweise meinen Kollegen oder meinem Vorgesetzen, anstatt nur ein neues Produkt einzuführen?
Bruce Schneier: Manchmal haben Sie da keine Chance. Menschen lösen gerne Probleme. Die Herangehensweise ist: Ich habe dieses Problem, das kann ich mit jenem Produkt oder genau diesem Ansatz lösen, Problem erledigt. Diese Vorgehensweise klappt wunderbar bei natürlichen Phänomenen. Nehmen Sie beispielsweise eine Flut. Wir wissen, wie eine Flut abläuft, wie sie sich ankündigt und wie man Gegenmaßnahmen einleiten kann.
Sobald Sie sich aber gegen Menschen verteidigen, greifen diese Erfahrungswerte nicht mehr. Menschen passen sich an. Wenn Sie eine Verteidigungsmaßnahme einrichten und die Sache damit für erledigt erklären, werden Angreifer einen Weg darum herum suchen. Die einzige Lösung ist es, die eigene Verteidigungsstrategie immer wieder zu prüfen, anzupassen und zu optimieren. Es ist möglich, dass Sie ihren Vorgesetzten davon nicht überzeugen können. Das ist der Grund, warum Firmen Opfer von Gruppen wie Lulzsec werden. Sicherheitsstrategien, die vor zwei Jahren aktuell waren, sind heute oft hinfällig.
- Microsoft Security Essentials
Mit Microsoft Security Essentials steht allen Besitzern einer gültigen Windows-Installation ein kostenloser Basisschutz vor Malware zur Verfügung. Die Software richtet sich besonders an unerfahrene Anwender die bisher noch keinen oder nur wenig Kontakt zu Security-Software hatten. Microsoft Security Essentials überwacht im Hintergrund ob sich Schadsoftware auf dem PC befindet und nimmt gegebenenfalls Reinigungsaktionen vor. - Sophos Anti-Virus for Mac Home Edition
Sophos bietet seine Sicherheits-Software Anti-Virus for Mac Home Edition kostenlos für Privatanwender an und reagiert damit auf die zunehmende Bedrohung durch Mac-Viren. Das Anti-Malware-Programm läuft im Hintergrund und untersucht jede Datei beim Ausführen auf ihr etwaiges Risiko. Wurde Malware gefunden, so kann Sophos Anti-Virus for Mac Home Edition diese auch direkt entfernen oder in ein Quarantäneverzeichnis verschieben. - BitDefender Antivirus Pro 2011
Vergleicht man das Datenblatt gegenüber dem Vorgänger von BitDefender Antivirus Pro 2011, so fallen einige Verbesserungen auf. Beispielsweise hat nun auch in dieser Anti-Viren-Software die Cloud-Suche Einzug gehalten, was geringere Reaktionszeiten auf bislang unbekannte Malware verspricht. Weiterhin lässt sich die Benutzeroberfläche nun an individuelle Bedürfnisse anpassen und es können eigene Verknüpfungen zu häufig aufgerufenen Programmfunktionen angelegt werden. - Trend Micro Worry-Free Business Security Services
Trend Micro Worry-Free Business Security Services ist ein Komplettpaket für Unternehmen, die ihre IT-Sicherheit mit einem Hosted-Protection-Plan abdecken möchten. Besonders für kleine und mittelgroße Unternehmen eignet sich so ein Angebot, wenn sie kein eigenes Sicherheitssystem aufbauen können oder wollen, da Trend Micro die gesamte Wartung der Software-Basis übernimmt. Des Weiteren lässt sich die Lösung linear mit dem Unternehmenswachstum skalieren. Wird der Schutz für weitere Clients notwendig, können problemlos zusätzliche Lizenzen hinzugekauft werden. - Avira AntiVir Professional 10
Avira AntiVir erlangte besonders durch die kostenlose Version der Anti-Viren-Software Bekanntheit, die einen ausreichenden Standard-Schutz für Privatanwender bietet. Avira AntiVir Professional 10 adressiert Unternehmen mit einer gemischten IT-Infrastruktur und höheren Sicherheitsanforderungen als es für den Heimanwender üblich ist. Die Software liegt in einer Windows- sowie einer Linux-Version vor und bietet den Vorteil, dass eine Lizenz für alle Plattformen gültig ist. - F-Secure Anti-Virus 2011
Anti-Virus 2011 von F-Secure zeichnet sich durch seine klare Struktur und Benutzeroberfläche aus, die sich vor allem für Einsteiger anbietet. Zu den Schutzfunktionen gehören die üblichen Mechanismen wie eine Heuristik-Erkennung, Echtzeit-Überwachung verdächtiger Aktivitäten, Quarantäne-Funktion sowie eine Verhaltensanalyse. Eine Firewall besitzt F-Secure Anti-Virus 2011 indessen nicht, die Software ist eine reine Anti-Malware-Lösung.
CW: Gibt es allgemein gültige Return-of-Investment-Modelle, mit denen ich meinen Vorgesetzen den Wert einer speziellen Sicherheitsmaßnahme schmackhaft machen kann?
Bruce Schneier: Das ist sehr schwer. Ich denke, die meisten ROI-Modelle sind ziemlich fehlerhaft. Viele werden von Firmen entwickelt, die Sie überzeugen wollen, ihre Produkte zu kaufen. Sie sind sinnlos und man erkennt dies meist schnell. Es ist schwer, einen ROI für Sicherheit festzulegen und der Markt verzweifelt regelmäßig daran.
CW: Was ist das Minimum, das eine Firma für IT-Sicherheit einplanen sollte?
Bruce Schneier: Diese Frage beantworte ich nie, denn es kommt immer darauf an. Es kommt darauf an, welche Firma, es kommt darauf an, was die Firma produziert. Jeder möchte immer eine Checkliste mit fünf Punkten, die er abhaken soll. Aber sehen Sie es mal so: Was ist das Minimum, das Sie für die Sicherheit Ihres Hauses investieren sollten?
CW: Es kommt darauf an…?
Bruce Schneier: Richtig. In der IT-Sicherheit ist es das Gleiche. Es gibt sinnvolle Maßnahmen, allerdings sollte man sich nie auf ein Minimum begrenzen. Stattdessen muss man sein Unternehmen genau analysieren. Überprüfen Sie ihre Aktivposten und definieren Sie, was für Ihr Unternehmen wichtig ist.
CW: Gibt es einen Weg herauszufinden, was IT-Sicherheit kosten sollte?
Bruce Schneier: Wissen wir nicht. Es gibt von Richard Clarke dieses großartige Zitat, indem er behauptet, dass manche Firmen mehr für den Kaffee ausgeben als für die Sicherheit ihrer Daten. Ich bin mir nicht sicher, woher er diese Zahlen hat. Aber nein, ich kann Ihnen keine Zahl nennen. Es kommt auf das Unternehmen an und was dieses im Einsatz hat. Und es ändert sich ständig. Wenn man beispielsweise etwas wie das iPad einführt, dann ergeben sich ganz andere Probleme und Kosten.