"Bin nicht der Sicherheitsverantwortliche"
CW: Mit nur vier Angestellten und einer Handvoll Studenten können Sie aber unmöglich die Sicherheit aller genannten Bereiche gewährleisten. Wie sieht Ihre IT-Security-Strategie aus?
LÜDERS: Ich bin der Sicherheitschef, nicht der Sicherheitsverantwortliche - weder für das CERN noch für das Grid. Ich habe diese Verantwortung abgelehnt, weil ich den größten Teil der Infrastruktur - seien es Jobs und Routinen innerhalb des Grid oder die Clients im Office-Bereich - nicht kontrollieren kann. Deshalb ist es in meinen Augen anmaßend, zu glauben, die Verantwortung dafür übernehmen zu können. Mir ist natürlich bewusst, dass andere Menschen trotzdem häufig Verantwortung für Dinge übernehmen, über die sie keinerlei Kontrolle besitzen.
CW: Und wie funktioniert das System dann?
LÜDERS: Wir haben die Verantwortung für die Sicherheit an alle unsere Mitarbeiter und Gastnutzer delegiert. In erster Instanz bedeutet das: Wenn Sie ans CERN kommen und Ihr Notebook mitbringen, wird Ihnen von Anfang an über verschiedene Methoden beigebracht, dass Sie für die Sicherheit Ihres Computers verantwortlich sind. Sie haben zwei Möglichkeiten: Entweder Sie sehen zu, dass Ihr Rechner regelmäßig gepatcht wird, dass Antivirus-Software läuft, dass Sie ein sicheres Passwort nutzen und so weiter. Oder Sie ignorieren das alles und riskieren eine Kompromittierung des Computers, nach der Sie Ihr gesamtes System neu aufsetzen müssen. Spätestens dann stellen Sie fest, dass das aktive Kümmern um Security kostengünstiger ist als das reaktive.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Eine Sonderstellung nimmt das Grid ein, bei dem die Frage nach den Sicherheits-Verantwortlichkeiten im Gegensatz zur Office-Welt anders geregelt ist: Jedes Rechenzentrum am "Grid" ist de jure selbst für die Security seines Zuständigkeitsbereichs innerhalb des Grid verantwortlich. Ein Mitarbeiter von mir hält die Rolle des "WLCG" Sicherheitschefs und koordiniert alle Aktivitäten. Viel Wert legen wir deshalb auf das Monitoring und die Nachverfolgbarkeit im Nachhinein, wenn etwas passiert ist. Wir schauen uns ständig an, was für Computing-Jobs laufen und wie sie laufen. Erlangen wir Kenntnis über eine missbräuchliche Nutzung des Grid, ist es wichtig, dass wir umgehend eingreifen und feststellen können, wer hat den betroffenen Job von wo und wann laufen lassen.
Security-Training als Hauptaufgabe
CW: Geben Sie denn zumindest Hilfestellung bei der Absicherung der Systeme und Netze?
LÜDERS: Ich gebe Ihnen ein Beispiel. Jemand kommt ans CERN und setzt einen eigenen Web-Server samt Website auf, weil er das für ein Experiment benötigt. Verantwortlich für diese Website ist er selbst. Wie er Server und Site absichert, kann er von uns in Schulungen erfahren. Wir schauen uns aufgesetzte Server dann hinterher an - schätzen wir ihn als zu unsicher ein, bekommen er von uns keine Freigabe für die Sichtbarkeit im Internet.
Die andere Möglichkeit ist, unsere IT-Services in Anspruch zu nehmen. Unser IT Department stellen verschiedene Content-Management-Systeme wie SharePoint oder Drupal zur Verfügung, auf denen ebenfalls Seiten betrieben werden können. Aber auch für die Sicherheit dieser Seiten ist der Einzelne selbst verantwortlich - beispielsweise wenn eine Datenbank angeschlossen werden soll. Wir als Security-Team sorgen genau wie das IT-Department indes dafür, den Nutzern die entsprechenden abgesicherten technischen Ressourcen bereitzustellen - wie sichere Web-, File- oder Datenbank-Services.
CW: Wie sieht das Security-Training konkret aus?
LÜDERS: Wir geben interessierten Mitarbeitern unter anderem Training im sicheren Programmieren oder im sicheren Einrichten eines Servers. Oder wir machen spezielle Training-Events. Für unsere "WhiteHat Challenge" beispielsweise haben sich 60 Leute beworben, die lernen möchten, wie man Penetrationstests macht. Innerhalb weniger Tage bilden wir sie dafür nun in mehreren Kursen aus, damit sie am CERN als Penetrationstester arbeiten können. Ziel des Ganzen ist natürlich, dass sie die Verwundbarkeiten ihrer Systeme später selbst aufspüren und beseitigen können.