Migration

Die langwierigste und arbeitsintensivste Phase einer Migration hin zu einer sicheren IT umfasst die Bestandsaufnahme, Klassifikation und Dokumentation der IT-Prozesse und ihrer Gefährdungsszenarien. Dabei helfen die Migrationsleitfäden des Innenministeriums [6] oder von IBM [7].

Nach der Überlegung, welche der Prozesse redundant auszulegen sind, folgt die Prüfung der Dateiformate, auch mit der Bewertung, ob an der jeweiligen Stelle Lese- oder Schreibzugriff nötig ist – getreu dem KIS-Prinzip. Dann stellt sich die Frage nach dem zu verwendenden Open-Source-Betriebssystem.

Da nur wenige Anwender in Unternehmen Zugriff auf Microsofts Sourcen erhalten werden, scheiden das Redmonder OS wie auch die Serverprodukte in sensiblen Umgebungen von vornherein aus – siehe Galileo bei der ESA. Typischer ist eher, dass Firmen mit großen Umgebungen mehrere freie Systeme parallel verwenden, meist sind dies Linux, BSD oder Open Solaris.

Aus den benötigten Dateiformaten ergibt sich zwangsläufig die Liste erforderlicher Open-Source-Anwendungen. Proprietäre Dateiformate, die keine freie Software unterstützt, müssen die IT-Strategen hier einer besonderen Prüfung unterziehen: Ist das Dateiformat wirklich operationell notwendig? Unterstützt die Software, die das Format erzwingt, alle kritischen Prozesse des Unternehmens? Gibt es kostengünstige Alternativen?

Wer nicht um die ungewollten Formate herumkommt, muss auf Virtualisierung und Terminalserver setzen. So lassen sich auch unsichere proprietäre Umgebungen wie MS Windows mit installierten Closed-Source-Anwendungen in einer Art Sandbox betreiben. Die setzt der Server automatisch (beispielsweise mit VM-Image-Templates) auf einen sicheren Ausgangszustand zurück, sobald sich der Anwender abmeldet.

Ebenfalls prüfen muss die IT-Leitung, inwieweit für kritische Funktionen Hardwareverschlüsselung zum Einsatz kommen soll, etwa in Mobiltelefonen. Certgate zeigt das anhand der Sprachverschlüsselung in sicheren Smartcards für das "Merkel-Smartphone" (Abbildung 1, [8]). Den gleichen Stellenwert sollten Passwort-Policies (Länge, Gültigkeitsdauer, Sonderzeichen, lexikalische Überprüfung), Arten der Authentifizierung (Token, Smartcards, Zertifikate) und Stellvertreterdefinitionen genießen.

Abbildung 1: Zarafas freie Groupware unterstützt den Simko2-Standard für sichere Telefonie, der bisher aber nur in wenigen HTC-Geräten funktioniert.

Eine Single-Sign-on-Struktur erweist sich in vielen Fällen als schwierig, vor allem mit Open-Source-Mitteln. Hier hat die Community abseits von LDAP-Kerberos noch einige Entwicklungsarbeit zu leisten, vor allem bei der Integration mit gängigen Desktop-Utilities.

Auch für die Verteilung der nach den beschriebenen Vorgaben erstellten und verifizierten Software gelten klare Regeln. Ein eigenes Repository ist Pflicht, Binärpakete müssen unbedingt mit Hashcodes abgesichert und verifizierbar sein. Downloads über ungesicherte Protokolle wie HTTP oder FTP sind tabu, für die stattdessen ausschließlich verwendeten HTTPS und SFTP bedarf es signierter Zertifikate. Eine eigene PKI ist spätestens dann nötig, wenn Mitarbeiter Zugang über ein VPN erhalten.

Viel Arbeit – die sich lohnt

Egal ob es sich um den eigenen LDAP-Server, das VPN-Gateway, die Kernel der im Unternehmen verwendeten Betriebssysteme oder die Office-Suite handelt: Im Extremfall muss dieser Leitfaden für jede Softwarekomponente Anwendung finden. Admins mit hohem Sicherheitsanspruch kommen nicht umhin, jede x-beliebige Software, die sie im Unternehmen einsetzen, von der Quelle bis zum Desktop des Mitarbeiters zu verfolgen, zu analysieren und abzusichern.

An offener Software, freien Standards und vollständig dokumentierten APIs führt da kein Weg vorbei. Dabei gilt immer der KIS-Grundsatz "Weniger ist mehr": Schon im Quelltext lassen sich unnötige Komponenten entfernen, nicht verwendete Optionen und Funktionen rauswerfen und so das potenzielle Angriffsziel minimieren.

In den meisten Fällen ist das nur mit freier Software möglich, weil nur wenige große Hersteller ihren Kunden Einblick in ihre proprietären Produkte gewähren. Hier schließt sich ein Kreis: Das berechtigte Sicherheitsbedürfnis der Software-Entwickler, die ihr geistiges Eigentum vor der Konkurrenz schützen wollen, verhindert häufig den Einsatz in Umgebungen mit hohem Sicherheitsanspruch.

Für Kommentare

Der Autor

Dr. Markus Rothmeyer ist als Unternehmensberater tätig und Geschäftsführer von Maxxel Software. Seine Spezialgebiete sind die IT-Strategien, Geo-Data-Warehouses, Mobilfunkplanung und GIS.