Web

Web-Sicherheit: Strikte Regeln sind wichtiger als Technik

24.03.2000
Interview mit Jeff Johnson von der Meta Group

MÜNCHEN (COMPUTERWOCHE) - Im E-Business können Sicherheitslöcher und schlampiger Umgang mit Kundendaten das Aus bedeuten. Jeff Johnson, President der Meta Security Group, erklärt im Gespräch mit CW-Redakteur Hermann Gfaller, wie sich Betreiber von Online-Shops oder Marktplätzen trotz unreifer Technik vor Problemen schützen können*.

CW: Seit es Netze gibt, wird vergeblich versucht, bei den Anwendern ein Bewusstsein für die Risiken zu wecken. Ist die Situation heute besser?

JOHNSON: Ja. In den Unternehmen gibt es in der Regel nur eine Handvoll Spezialisten, die sich für Sicherheitsregeln einsetzen. Sie zu ignorieren ist leicht. Beim E-Business dagegen wendet man sich an Kunden außerhalb des Unternehmens, und die fordern Sicherheit ein. Sie erwarten, dass beim Online-Banking ihre Finanzdaten sowie die Informationen zu ihrer Person vor unberechtigtem Zugriff geschützt werden. Wenn es hier Zweifel gibt, ist die Online-Bank aus dem Geschäft. Kurz: Die Anforderungen der Kunden zwingen den Betreibern von Web-Shops, Online-Banken und Marktplätzen Sicherheitsstrategien auf, die man auf den Rat interner Spezialisten nie akzeptiert hätte.

CW: Worin unterscheiden sich die Sicherheitsstrategien im E-Business von denen in anderen Netzwerken?

JOHNSON: Sie unterscheiden sich kaum. Es geht darum, die Anwendungen und die Betriebssysteme zu schützen. Die zentralen Probleme sind Geheimhaltung, Datenintegrität, Verfügbarkeit von Daten und Systemen. Unterschiede gibt es höchstens, weil es gilt, eine neue Art von Anwendungen zu schützen.

CW: Welche Anwendungen?

JOHNSON: In geschlossenen Unternehmensnetzen gibt es in der Regel nicht Millionen von Anwendern, die von einem Programm versorgt werden wollen.

CW: Sie sprechen davon, dass eine sogenannte Identity Infrastructure entstehe. Was meinen Sie damit?

JOHNSON: Wir prognostizieren, dass sich in den kommenden Jahren eine vertrauenswürdige technische Infrastruktur bildet, die erwünschte von unerwünschten Usern unterscheiden kann. Wichtig ist hier der kompetente Umgang mit Verzeichnisdiensten wie dem Lightweight Directory Access Protocol (LDAP), der Einführung von Single-Sign-On für das Web und der Publik Key Infrastructure (PKI). Eine verlässliche Identity Infrastructure ist nötig, um Vertrauen in E-Commerce zu schaffen.

CW: Woher kommt dieser Optimismus?

JOHNSON: Einige der Techniken wie etwa PKI sind noch ganz am Anfang, andere wie LDAP befinden sich bereits in der dritten Version.

CW: Sie empfehlen unreife Techniken?

JOHNSON: Wir raten, vorsichtig und überlegt vorzugehen, damit die zu erwartenden Probleme nicht zu groß werden. Anbieter und Anwender werden noch viel Lehrgeld bezahlen müssen, aber es bleibt ihnen nicht viel anderes übrig, als jetzt anzufangen. Aber der Druck vom Markt ist da. Die Unternehmen müssen sichere E-Business-Umgebungen aufbauen, und die Anbieter befinden sich bereits in einem Wettlauf um sichere und einfach zu verwaltende Sicherheitswerkzeuge.

CW: Sie selbst sagen, dass die Techniken erst im Kommen sind und sich ständig ändern. Ist es da nicht vernünftiger, noch zu warten, bis die Systeme einsatzreif sind?

JOHNSON: Noch einmal: Der Anwender sollte vorsichtig vorgehen und keine Lösung anstreben, die weniger als zwei Jahre hält. Noch wichtiger ist es, ein umfassendes Konzept zu entwickeln, das nach und nach implementiert wird, so dass man aus den dort gemachten Fehlern lernen kann. Selbst wenn die Technik sich rasch ändert, so profitiert man doch von diesem Lernprozess.

Eine weitere Möglichkeit, die negativen Folgen der raschen Entwicklung klein zu halten, ist, wenn man sein Sicherheitskonzept sorgfältig plant und testet. Sollte man in der Eile zu einem falschen Werkzeug gegriffen haben, dann gilt wenigstens noch das Konzept, und man braucht nur das Produkt zu wechseln.

CW: Mit welchen Argumenten kann man die Unterstützung der Geschäftsleitung für aufwendige Sicherheitsstrategien bekommen?

JOHNSON: Die generelle Bereitschaft ist da. Kein CEO wird eine E-Commerce-Site ohne Sicherheitsmechanismen aktivieren. Außerdem rechnet sich Sicherheit. Wenn E-Commerce einem Unternehmen 100 Millionen Dollar zusätzlichen Umsatz bringt, dann darf das Sicherheitskonzept schon zehn Prozent der Projektkosten ausmachen. Außerdem lässt sich fragen, wie viele der Risikofaktoren sich durch die Lösung ausschalten lassen.

CW: Für viele Unternehmen stellt sich die Situation ganz anders dar. Sie steigen in E-Business ein, ohne zu wissen, ob sie hier jemals Geld verdienen können. Dort ist Sicherheit vor allem ein Faktor, der die Kosten in die Höhe treibt.

JOHNSON: Auch hier gilt, dass in diesem Geschäft der erfolgreich werden kann, der das Vertrauen der Kunden besitzt. Sicherheitslöcher und unklare Regeln beim Umgang mit Personendaten sind Gründe, nie wieder auf eine solche Web-Seite zu gehen.

CW: Umfassende Sicherheitskonzepte und ständige Technologiewechsel kosten viel Geld. Können sich das kleinere Unternehmen leisten?

JOHNSON: Sicherheit ist nicht so teuer, wie Sie denken. Die größten und wichtigsten Teile sind das Erstellen des Konzepts, die Festlegung von Prozeduren und vor allem die Schulung der Mitarbeiter. Sie müssen Sicherheitslöcher erkennen und die vertrauliche Behandlung von Kundeninformationen verinnerlichen. Das ist zwar aufwendig, aber nicht allzu teuer. Technik hat nur dienende Funktion.

CW: Sie haben über die Organisation von Sicherheit gesprochen, aber noch nicht die Frage nach den Kosten der Technik beantwortet.

JOHNSON: Technik kann sehr teuer werden, aber sie hat letztendlich nur unterstützende Funktion. Eine falsch eingestellte Firewall nützt nichts. Es kommt also darauf an, Router, Workstations, Betriebssysteme etc. richtig zu konfigurieren. Damit und mit gut geschulten Mitarbeitern lassen sich mehr als die Hälfte aller Sicherheitsprobleme beheben. Beim Kauf von Produkten sollten sich kleinere Firmen auf das für sie wesentliche beschränken. Unabhängig von der Firmengröße ist derzeit der Hauptfehler, dass Techniken gekauft werden, von denen die Anwender nicht einmal wissen, ob sie tatsächlich funktionieren.

*Zum selben Thema referiert Johnson im Rahmen des Metamorphosis-Forums, das vom 27. bis 29. März in München stattfindet und sich in diesem Jahr dem E-Business widmet.