DEN FORTSCHRITT
in Sachen IT-Sicherheit bei kleinen und mittleren Unternehmen in den vergangenen Jahren formuliert ein - pessimistischer - Kenner der Szene so: „Zumindest legen die ITLeiter keine Benutzerkonten mehr an, ohne ein Passwort zu vergeben.“ Doch das, schränkt er sogleich ein, hänge wohl eher mit den Anforderungen einer neuen Softwaregeneration zusammen als mit einem gesteigerten Bewusstsein für Sicherheit. Auch wenn diese provokante These eher der Unzufriedenheit eines Dienstleisters mit den Umsätzen im Mittelstand entspringen mag, weist sie doch auf ein tatsächliches Problem hin: Vor allem kleinere und mittlere Unternehmen tun sich nach wie vor schwer damit, Sicherheitskonzepte für ihre IT zu entwickeln und umzusetzen. Zwar ist die Gefahr spätestens seit dem heißen Virensommer 2003, der uns Blaster und Sobig bescherte, prinzipiell erkannt. Doch immer noch beruhigt man sich in vielen Firmen mit der Begründung: „Bei uns ist noch nie etwas
passiert.“
Gefährliche Ruhe
Diese Einstellung ist gefährlich, denn die Bedrohungsszenarien ändern sich. So etwa im November 2003: Gleich drei Mal wurden Server geknackt, die freie Software im Internet bereitstellen. Bis dahin waren solche Angriffe eher unbekannt. Entdeckt wurden die Einbrüche übrigens erst nach Wochen, denn die Täter hatten sofort Software installiert, die alle Hinweise ihre illegalen Aktivitäten verwischt (ein so genanntes Rootkit). Welche Bedrohungsszenarien es gibt und wie Unternehmen darauf reagieren können, zeigt der „Leitfaden IT-Sicherheit“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Broschüre liefert einen überschaubaren und allgemeinverständlichen Überblick über Sicherheitsmaßnahmen.
Technik allein tut’s nicht
Die Ausführungen der BSI-Experten erläutern nicht nur Grundbegriffe und gesetzliche Rahmenbedingungen, sondern erleichtern dem Anwender auch die Selbsteinschätzung in Sachen Sicherheit der IT-Systeme. Der Praxisbezug zeigt sich beispielsweise in verschiedenen Szenarien, die jedem IT-Leiter bei der alltäglichen Arbeit begegnen. So gehört zwar ein Backup zum Standard, aber wie sieht es mit einem Test aus, bei dem die gesicherten Daten zurückgespielt werden? Selbst wenn das Band funktionieren sollte, können falsch gesetzte Dateiattribute beim Einspielen des Backups für Ungemach sorgen. Mit der Einführung einer bestimmten technischen Lösung allein ist es also in der Regel nicht getan. Grundvoraussetzung für die Absicherung der IT ist systematisches Vorgehen. IT-Sicherheit entsteht durch einen Prozess der kleinen Schritte. Dafür braucht es eine Analyse, die klarstellt, was mit welchem Aufwand zu schützen ist. Nur wenn der Schutzbedarf klar ist,
lassen sich angemessene Lösungen finden. Und nur mit vertretbarem finanziellen und zeitlichen Aufwand praktikable Maßnahmen sind gegenüber Geschäftsleitung und Mitarbeitern vermittelbar. Da Hard- und Software einem beständigen Wandel unterliegen, müssen solche Analysen regelmäßig wiederholt werden. Wichtig für das Vorgehen: Die ITAbteilung muss auch bei Sicherheitsfragen die Aufforderung „Kiss!“ (Keep it simple, stupid) berücksichtigen. Schwer vermittelbare Maßnahmen, stoßen bei Mitarbeitern schnell auf Widerwillen und verlaufen dann im Sand. Generell sollte jede Sicherheitsregel immer wieder auf ihre Angemessenheit und Wirksamkeit geprüft werden. Grundlegende Sicherheit können die Administratoren herstellen, indem sie vorhandene Sicherheitsmechanismen ausnutzen. Dazu ist es in der Regel nötig, die Standardeinstellungen in Betriebssystemen und Anwendungsoftware den eigenen Bedürfnissen anzupassen. Bequemlichkeit
in diesem Punkt kann etwa Spezialsoftware für die Virenabwehr wirkungslos machen. Typische Risiken bergen die mit der Installation vergebenen Standardpassworte und Benutzerkonten. Trotzdem finden sie sich in vielen Unternehmen, denn der reibungslose Produktionsablauf hat Vorrang. Das ist aus betriebswirtschaftlicher Sicht verständlich, aber gefährlich.
Firewall als Basis
Schutz vor Viren ist ein absolutes Muss. Aber wer sich allein auf die Funktionstüchtigkeit des Virenscanners verlässt, kann eine böse Überraschung erleben. Die Programmierer von Viren, Würmern und Trojanern sind findige Leute, sie kennen genügend andere Schliche, auf fremden Rechnern Schaden anzurichten. Daher sollte eine Firewall die Verbindungen in das Firmennetz kontrollieren. Auch innerhalb des Unternehmensnetzes ist Kontrolle ein wichtiges Thema. Die Vergabe von Zugriffsrechten auf Programme und Daten ist ein elementarer Bestandteil jeder Sicherheitsstrategie. Hierfür müssen Rollen und Gruppen definiert werden, denen einerseits Aufgaben und andererseits Anwender zugeordnet werden. Die Aufteilung der Aufgaben gilt auch für die Administration von Rechnern und Netzwerken selbst, da Einbrecher in der Regel auf das Nutzerkonto mit den meisten Rechten abzielen. Werden die Privilegien der verschiedenen Administrationskonten jedoch begrenzt, kann auch ein Einbrecher
nur beschränkt Schaden anrichten. Verbindungen aus dem eigenen Netz ins Internet bilden die zentrale Schwachstelle, über die Informationen nach außen gelangen oder sich unerwünschte Besucher Zutritt nach innen verschaffen. An die Schnittstelle zwischen Intranet und Internet gehört daher die bereits erwähnte Firewall. Sie sollte so konfiguriert sein, dass sie nicht nur Zugriffe von außen abwehrt, sondern auch die Verbreitung von Viren aus dem internen Netz verhindert, raten Experten. Außerdem ist die regelmäige Überprüfung der Konfiguration erforderlich. Letzteres gilt auch für die im Internet bereitgestellten Dienste. Cracker, die in fremde Rechner einbrechen wollen, benutzen in der Regel Scanner, die Rechner auf aktive Dienste überprüfen. Jeder Dienst, der nicht benötigt wird und daher möglicherweise gar nicht konfiguriert ist, gilt ihnen als potenzieller Ansatzpunkt für ihre virtuelle Brechstange. Auf den Rechnern der
Nutzer schließlich müssen Administratoren auf EMail- Programme und Browser achten. Kein Mail-Anhang sollte von den Programmen automatisch geöffnet werden. Auch die Fähigkeiten des Browsers bei ausführbaren Inhalten sollten sich auf das absolut Notwendige beschränken.
Anwender schulen
Die Regelungen zur IT-Sicherheit werden für Mitarbeiter erst einsichtig, wenn durch entsprechende Schulungen das Verständnis dafür geweckt wird. Diese Schulungen müssen wie das Update der Systeme wiederholt werden, um Änderungen zu erläutern und das Sicherheitsbewusstsein wach zu halten. Daneben können regelmäßige Kontrollen zur Beachtung der Regeln beitragen. Wirksam sind solche Kontrollen auf Dauer aber nur, wenn bei wiederholten Verstößen auch Sanktionen verhängt werden. Jedes, auch das beste Sicherheitssystem muss an neue Bedrohungen angepasst werden. Regelmäßige Updates sind deshalb Pflicht. Das gilt besonders für Virenscanner. Dennoch sind viele Unternehmen in diesem Punkt nachlässig, wie die Erfahrung von Experten zeigt. Wichtig beim Einspielen von Updates: Sie sollten vor dem Verteilen auf alle betroffenen Rechner getestet werden. Denn unter Umständen schränken die Neuerungen bestimmte Funktionen ein. Um im
Thema Sicherheit auf dem Laufenden zu bleiben, empfiehlt es sich, die Meldungen der Certs zu beachten.