Open Source im professionellen Einsatz

Sicherheitsmanagement als umfassender Prozess

Sicherheit rechnet sich

Metin Dogan

Security Management beginnt immer bei der Risikoanalyse. Aus ihr leitet sich die Security Policy ab, die zu konkreten Maßnahmen führt. Aber nicht nur die einzelnen Maßnahmen, sondern der gesamte Prozess ist laufend zu kontrollieren, zu verifizieren und zu aktualisieren.

Vom "I love you"-Virus über DoS-Attacken (Denial of Service) bis hin zu gezielter Spionage und Sabotage reichen die Gefahren, die Fachleute und die breite Öffentlichkeit gleichermaßen aufschrecken lassen. Wie anfällig unsere vernetzte Wirtschaft inzwischen ist, belegt der weltweite Schaden von 17,1 Milliarden US-Dollar, der nach Untersuchungen der Unternehmensberatung Mummert + Partner allein durch Viren verursacht wird.

Gefahr droht allerdings nicht allein von außen: Zwei von drei Angriffen auf die Datennetze von Unternehmen gehen auf das Konto der eigenen Mitarbeiter. Der wirtschaftliche Schaden, der allein in Deutschland durch die illegale Beschaffung oder Manipulation von Daten entsteht, wird auf etwa 20 Milliarden Mark geschätzt.

Vor diesem Hintergrund überrascht die noch immer geringe Sensibilität gegenüber diesem zentralen Thema. Eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene Studie deckte kürzlich auf, dass die Hälfte der befragten Unternehmen und Einrichtungen hierzu keinerlei Vorbereitungen getroffen hatten. Weder eine Gesamtstrategie zur IT-Sicherheit, noch schriftliche Zielsetzungen zur Sicherheit lagen vor. Das überrascht umso mehr, als die gleiche Studie feststellt, dass sich Investitionen in IT-Sicherheit überprüfbar rechnen.

Umfassendes Sicherheitsmanagement

Welche konkreten Maßnahmen umfasst Security Management? Gängige Suchmaschinen verweisen vor allem auf technische Lösungen wie beispielsweise Firewalls für die Internet- und Intranet-Koppelung, Zugangskontrollsysteme für Gebäude oder Intrusion Detection Systeme (IDS) zur Absicherung von Servern. Ein technisch orientierter Ansatz mit standardisierten Lösungen greift allerdings zu kurz. Umfassendes Security Management erfordert ein auf das einzelne Unternehmen bezogenes individuelles Vorgehen.

Klar ist: Vollständige Sicherheit kann es nicht geben, aber bestmöglicher Schutz im Rahmen der Möglichkeiten und Erfordernisse kann durchaus hergestellt werden. Dabei ist wichtig, dass es sich beim Security Management um einen Prozess handelt und nicht um einen Zustand. Es müssen klare Zuständigkeiten herrschen: Es ist nicht nur festzulegen, was gemacht werden soll, sondern auch, wer es durchführt. Und schließlich ist eine fortlaufende und unabhängige Kontrolle nötig.

Risikoanalyse mit Bewertung

Ausgangspunkt dieses Prozesses ist die Frage, welche Informationen und Daten es zu schützen gilt. Die Auswahl wird über eine Risikoanalyse getroffen. Sie identifiziert die Bereiche eines Unternehmens, die für sein Überleben kritisch sind, und bewertet den Schaden, der in diesem Bereich im schlimmsten Fall eintreten kann. Hierzu werden Abhängigkeiten analysiert und dann Lösungsmöglichkeiten zur Abwehr entwickelt. Obwohl dies alles beinahe trivial erscheint, besteht hierzu in nahezu allen Branchen und Unternehmen der unterschiedlichsten Größenordnungen erheblicher Nachholbedarf.

Das BSI etwa stellt fest, dass selbst von Unternehmen, in denen bereits Schäden durch IT-Angriffe festgestellt wurden, dieser Schaden nur selten wertmäßig beziffert wird. Ohne diese Bewertung aber lässt sich eine sinnvolle Auswahl der möglichen und angemessenen Abwehrmaßnahmen nicht treffen.

Beispiel: Die Altstadt AG

Das fiktive Chemieunternehmen Altstadt AG mit 300 Mitarbeitern hat sich mit besonderen Verfahren auf die Herstellung von Vorprodukten für die Farbenherstellung spezialisiert. Das Unternehmen sicherte sich einen wichtigen Vorsprung vor der Konkurrenz. Am 1. April erhalten einige Mitarbeiter eine E-Mail mit einem Attachment namens PIPIPRINZ.EXE, das sich als beliebtes Windows-Spiel entpuppt. Kurz darauf erhalten die begeisterten Spieler eine Mail mit dem Attachment PRÜGELPRINZ.EXE, das bei der Installation eine wenig beachtete Schutzverletzung verursacht. Wochen später bricht das Mail-System unter einer Flut riesiger Mails zusammen. Sechs Monate später brechen die Umsätze des Unternehmens so dramatisch ein, dass ein Großteil der Belegschaft entlassen werden muss. Was war geschehen?

Die Datei PRÜGELPRINZ.EXE war ein Trojanisches Pferd. Es suchte das Firmennetz nach Daten zu dem von der Altstadt AG verwendeten Herstellungsverfahren ab. Dafür wurde ein intelligentes Suchschema benutzt. Die gefundenen Daten wurden anschließend per E-Mail an den Auftraggeber gesandt, wobei der Angreifer diese Aktion durch die Simulation eines Virus der Melissa-Klasse verschleierte. Was lief hier schief?

Natürlich hatte das Unternehmen für seine Internet-Ankopplung eine Firewall aufgebaut. Natürlich waren auch auf den Arbeitsplatzrechnern der Mitarbeiter Virenscanner installiert. Beide Maßnahmen griffen in diesem Fall jedoch nicht, denn das erste Attachment war kein Virus und diente nur dazu, den eigentlichen Angriff vorzubereiten. Die Mitarbeiter wurden durch diese Vorarbeit aber desensibilisiert. Bei dem zweiten Attachment handelte es sich um einen gezielt hergestellten Angreifer, der folglich auch in keiner Virendatenbank zu finden war. Man hatte schlicht mit keinem Angriff von innen gerechnet. Was also ist zu tun?

Am einfachsten lässt sich das an der Ausstattung der Arbeitsplätze veranschaulichen. Gerade in Hinsicht auf die Administrierbarkeit und damit die Sicherheit der Systeme ist es sinnvoll, alle Arbeitsplätze identisch aufzubauen. Dazu gehören eine identische Software-Ausstattung und der einheitliche Stand von Updates. Das kann man zum Beispiel durch eine zentrale Softwareverwaltung für alle Arbeitsplätze erreichen. Trennt man gleichzeitig alle von den Benutzern angelegten Daten von denen des Systems, ist ein Aufspüren von Veränderungen - beispielsweise das Einnisten eines Virus oder Trojanischen Pferdes - sehr leicht.