Suchen

IT-Sicherheit ist eine Frage der Organisation, nicht der Technik Richtig in IT-Sicherheit investieren – Informationen statt Technologie schützen

Autor / Redakteur: Martin Kuppinger / Peter Schmitz

IT-Sicherheit kostet Geld, kein Zweifel. Nur: Mehr ist nicht zwingend besser. Viel wichtiger ist, dass man sich nicht nur mit Sicherheitstechnologie, sondern auch mit der Organisation beschäftigt. Wichtig ist aber vor allem auch, dass man IT-Sicherheit immer „ganzheitlich“ betrachtet. Denn wenn man die Vordertür verschließt, Fenster und Hintertür aber weit offen lässt, führt das allenfalls zu einem trügerischen Gefühl von Sicherheit, aber nicht zu mehr Sicherheit.

Firmen zum Thema

Gute Planung erspart auch bei der IT-Sicherheit Umsetzungskosten. Wer gezielt investiert und dabei nicht nur auf Technologie setzt, kann mit weniger Geld mehr Informationssicherheit erreichen.
Gute Planung erspart auch bei der IT-Sicherheit Umsetzungskosten. Wer gezielt investiert und dabei nicht nur auf Technologie setzt, kann mit weniger Geld mehr Informationssicherheit erreichen.
( Archiv: Vogel Business Media )

Nicht umsonst sind Sicherheits-Leitlinien wie das Sicherheitshandbuch des BSI sehr vielschichtig und beschäftigen sich mit vielen Themen. Das Abhaken einer Checkliste reicht allerdings auch bei weitem nicht, ebenso wenig wie ein Zertifikat beispielsweise des TÜV, wie das Beispiel libri.de erst unlängst wieder bewiesen hat, bei dem eine TÜV-sicherheitszertifizierte Web-Site und die dahinter stehende Anwendung eklatante Sicherheitsmängel aufgewiesen haben.

Sicherheit beginnt im Kopf

In dem Fall war die Sicherheitsarchitektur der Anwendung schlicht mehr als mangelhaft, weil es keine auch nur ansatzweise vernünftigen Autorisierungskonzepte in der Anwendung gab. Das lässt sich ohne weiteres aus den bekannt gewordenen Einzelheiten erkennen – eine veränderte URL hat ohne Autorisierung auf Informationen geführt.

Wenn man über IT-Sicherheit nachdenkt, lohnt sich zunächst ein genauer Blick auf den Begriff. Es geht um Information und Technologie. Im Mittelpunkt steht dabei nicht die Technologie, sondern die Information. Wir müssen nicht Technologie schützen, sondern die verarbeiteten und gespeicherten Informationen. Dabei muss nicht jede Information gleich behandelt werden. Ein wichtiger Schritt hin zu mehr Informationssicherheit ist eine Klassifizierung von Informationen und, davon abhängig, den Prozessen und Systemen, die für ihre Verarbeitung und Speicherung verwendet werden.

Eng damit verbunden ist das Risiko-Management. Die Bewertung von Risiken hilft nicht nur, die möglichen Konsequenzen von Sicherheitsproblemen abzuschätzen, sondern erlaubt auch eine valide Bewertung von Investitionen. Entscheidend sind dabei nicht das technische Sicherheitsrisiko, sondern die daraus entstehenden operationalen und manchmal sogar strategischen Risiken.

Wenn Daten über mögliche Steuersünder bei einer Bank gestohlen werden, gibt es operationale Risiken von Schadensersatzforderungen, wie ein aktuelles Urteil in Liechtenstein zeigt. Es gibt aber auch das operationale Risiko eines sinkenden Nettogeldzuflusses, weil Anleger der Bank weniger vertrauen. Das hat Konsequenzen nicht nur für das direkte operative Geschäft, sondern kann durch die geltenden Eigenkapital- und Refinanzierungsrisiken im Extremfall sogar zu einem strategischen Risiko für die Bank werden.

Wo es Risiken gibt, gibt es aber auch immer Chancen. Es geht also darum, die Risiken gegen das abzuwägen, was man mit einer IT-Lösung erreichen möchte (oder muss). Abhängig vom Verhältnis von Risiken und Chancen kann man dann über die sinnvollen Investitionen in IT-Sicherheit entscheiden, also die Risikovermeidung.

Seite 2: Nicht nur Technologie bringt Sicherheit

Nicht nur Technologie bringt Sicherheit

Dabei geht es nicht nur um technische Maßnahmen, sondern auch um organisatorische Maßnahmen. IT-Sicherheit braucht definierte und überwachte Prozesse. Und IT-Sicherheit muss den „Faktor Mensch“ berücksichtigen. Trotz einer kontinuierlich wachsenden Zahl und Professionalisierung externer Angriffe sind die „insider attacks“ weiterhin das größte Problem. Und diese werden von Leuten ausgeführt, denen man mehr Vertrauen entgegenbringt.

Oft sind die Ursachen für solche Angriffe eine lange schwelende Unzufriedenheit von Mitarbeitern. Zur IT-Sicherheit gehört neben der Technologie daher auch eine Personalführung, die solche Situationen erkennt und adressiert. Es gehört aber auch ein gesundes Misstrauen dazu, gerade bei Benutzern mit umfassenden Privilegien in iT-Systemen.

Investitionen in Technologie sind nutzlos, solange der organisatorische Rahmen, in dem diese Investitionen erfolgen, nicht stimmt. Das gilt natürlich auch für Sicherheitsprüfungen. Hier ist Kontinuität in der Überwachung der Einhaltung von Regeln gefragt, nicht eine jährliche Überprüfung von Checklisten.

Es gibt keine absolute Sicherheit

Bei all dem muss man sich auch im Klaren darüber sein, dass es keine absolute Sicherheit gibt. Selbst in besonders sensitiven militärischen Bereichen gibt es Sicherheitsproblem – durch menschliches Versagen und durch Käuflichkeit von Mitarbeitern mit privilegierten Zugängen ebenso wie durch einen besonders großen Aufwand, den Angreifer dort zumindest gelegentlich treiben.

Das muss auch die Messlatte bei eigenen Investitionen in die IT-Sicherheit sein. Man sollte sich nie in Sicherheit wiegen. Denn eine Investition in IT-Sicherheit hilft, Risiken zu „entschärfen“ – wie es der englische Begriff der „risk mitigation“ zum Ausdruck bringt, sie kann aber nie völlige Sicherheit bringen. Fingerabdrücke sind sicherer als Kennwörter, aber Fingerabdruckleser lassen sich austricksen.

Seite 3: Die Grenzen der Sicherheit

Die Grenzen der Sicherheit

Hinzu kommt, dass sich vieles nicht sicher machen lässt. Selbst der alte Satz, dass man das Netzwerkkabel entfernen sollte, wenn man sicher sein will, stimmt nicht. Abgesehen vom Trojaner, der weiter munter Daten sammeln und später, nach erneuter Verbindung, weiterleiten könnte, gibt es da das noch viel einfachere Risiko dessen, der einem über die Schulter schaut.

Es gibt aber noch ganz andere Bereiche. Auf den heutigen Mobil“telefonen“ werden oft nicht nur Mails, sondern auch andere Informationen in erheblichem Volumen gespeichert. Dass die Sicherheit solcher Geräte aber ungefähr einem PC aus der Mitte der 80er Jahre entspricht (also weitgehend inexistent ist), die Geräte aber viel besser vernetzt sind als es damals der Fall war, wird gerne übersehen.

Aber auch im Backend finden sich solche Fälle. Die Sicherheitsarchitektur vieler (der meisten?) Anwendungen ist schwach und birgt Risiken. Lokal verwaltete Benutzer, bestensfalls grobe Rollenkonzepte für die Autorisierung oder unverschlüsselte Kennwörter in irgendwelchen Datenbanken sind leider eher die Regel denn die Ausnahme.

Daten in File-Servern sind geschützt – solange sie auf dem Server liegen und die Zugriffskontrolllisten dort gut konfiguriert sind. Wenn sie weitergegeben werden, sieht das schon anders aus. Und auch bei Datenbanken gibt es Grenzen der Sicherheit, selbst mit leistungsfähigen Lösungen für die Datenbank-Sicherheit.

Seite 4: Was tun für mehr IT-Sicherheit?

Was tun für mehr IT-Sicherheit?

Die Grenzen der Sicherheit heißen nun natürlich nicht, dass man alle Hoffnung fahren lassen sollte. Es geht vielmehr um die gezielte Entschärfung von Risiken. Die wichtigste Voraussetzung dafür ist, dass man sich der Risiken bewusst ist. Der fundamentale Unterschied zwischen dem Risiko und der Unsicherheit ist, dass man ein Risiko einschätzen kann. Man kann Risiken gezielt verringern – gegen eine Unsicherheit kann man dagegen allenfalls unspezifisch und mit dem Risiko von Fehlinvestitionen und dennoch verbleibenden eklatanten Sicherheitslücken ankämpfen.

Es geht daher nicht in erster Linie um taktische Investitionen in Punktlösungen. Was bringt es, wenn USB-Geräte nicht mehr so einfach verwendet werden können, wenn ein Dienstleister eines externen Dienstleisters einfach wichtige Patienten-Datensätze herunterladen kann, wie es unlängst wohl bei der BKK der Fall war? Die Analyse von Sicherheitsrisiken, eine Sicherheitsstrategie und die richtige Organisation und Prozesse müssen vorangehen. Ansätze wie das Sicherheitshandbuch des BSI sind dabei eine Hilfe –aber man muss sich auch darüber im Klaren sein, dass sie zwar bei der Identifizierung von Risiken helfen, aber noch keine Sicherheitsstrategie schaffen.

Bei einer solchen Strategie geht es darum, Risiken der Informationssicherheit zu reduzieren. Das geschieht nicht so sehr über taktische Technologieinvestitionen, sondern darüber, dass man möglichst durchgängige Schutzschichten realisiert. Zentrale Konzepte für die Authentifizierung und Autorisierung stehen dabei im Mittelpunkt. Das gilt umso mehr, als es zum einen den klassischen, durch Firewalls geschützten Perimeter längst nicht mehr gibt, weil Benutzer viel zu mobil sind und zum anderen, weil der ohnehin nicht vor dem Feind im Inneren geschützt hat. Dabei sollte man taktische Investitionen, gerade im Bereich DLP (Data Leakage Prevention) kritisch daraufhin hinterfragen, ob sie wirklich die Risiken verringern oder sie nur verlagern.

Mit diesem Blickwinkel lohnt sich auch ein Blick auf Anwendungen. Das bereits oben angesprochene Risiko mangelhafter Sicherheitsarchitekturen lässt sich durch klare Vorgaben für Entwicklungs- und Einkaufsprozesse reduzieren. Und das Argument, dass der Fachbereich eine Anwendung ohnehin kaufen darf, wenn er sie braucht, selbst wenn Sicherheitsbedenken bestehen, verliert bei einem risiko-basierten Ansatz für die Informationssicherheit an Relevanz. Wer die Risiken kennt, kann diese den Chancen durch eine Anwendung gegenüberstellen und argumentiert nicht mit technischen Sicherheitsrisiken, sondern mit den operationalen oder gar strategische Risiken – und damit auf der gleichen Ebene wie die Fachbereiche, die eine bestimmte Lösung wollen.

Letztlich gilt für die IT-Sicherheit das, was auch sonst gilt: Gute Planung erspart Umsetzungskosten. Diese goldene Regel aus dem Projektmanagement gilt nicht nur für Bauprojekte, sondern eben auch für die Informationssicherheit. Wer gezielt investiert und dabei nicht nur auf Technologie setzt, sondern über Risiken und die organisatorische Seite arbeitet, kann mit weniger Geld mehr Informationssicherheit erreichen.

Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt. Kuppinger Cole ist Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat. Martin Kuppinger hat darüber hinaus eine Vielzahl von IT-Fachbüchern und –Fachartikeln veröffentlicht.

(ID:2043609)