"Sicherheit" ist kein Handbuch, Gerät oder Software-Programm, das man kaufen und sofort erfolgreich einsetzen kann. Sicherheit ist in der vernetzten Computerwelt ein Konzept, welches geplant, umgesetzt und überwacht werden muss, um gegenüber vorhersehbaren und unvorhersehbaren Problemen gewappnet zu sein.
Die Sicherheitsprobleme
Genau genommen haben Computer und Daten in einem Netzwerk vier Feinde: Fehler, die durch die Technik ausgelöst werden, Fehler, die durch unvorhersehbare Ereignisse entstehen, Fehler, die durch unbefugte Zugriffe ausgelöst werden und Fehler, die durch befugte Benutzer ausgelöst werden:
Sicherheitsproblem "Technik"
Auch modernste Computertechnik kann ausfallen. Aus diesem Grund muss sichergestellt werden, dass wichtige Daten und Prozesse auf entsprechend stabilen und sicheren Computersystemen liegen und ablaufen und diese Computersysteme in entsprechend technisch ausgestatteten und klimatisierten Umgebungen stehen.
Sensible Computersysteme müssen redundant ausgelegt sein, um auch im Falle eines Ausfalles die notwendigen Dienste weiter gewährleisten zu können. Dabei sind auch so Szenarien zu überdenken, wie beispielsweise der totale Ausfall eines Rechenzentrums durch Gebäudezerstörung, Naturkatastrophen, Terroranschlägen etc.
Sicherheitsproblem "Unvorhersehbare Ereignisse"
Viele Dinge, die Computer und Netzwerke bedrohen können, lassen sich nicht vorhersehen. Denken Sie beispielsweise an Naturkatastrophen, Demonstrationen, Terroranschläge, aber auch an Feuer, Wassereinbruch, Ausfall der Klimaanlage, Stromausfall, Personalausfall.
Solche Ereignisse treten plötzlich ein und lassen sich im Ernstfall nur bedingt steuern. Qualifiziertes Personal findet sich nicht "eben so", mögliche Evakuierungen im Katastrophenfall können den physischen Zugriff auf betreffende Systeme für einen längeren Zeitraum unmöglich machen.
Sicherheitsproblem "Unbefugte Zugriffe"
Für die meisten Menschen stellen Hacker die größte Gefahr für Ihre Computersysteme dar. Es gibt jedoch nicht den Hacker, der sinnlos versucht, alle bestehenden Computersysteme zu infiltrieren und zu beeinträchtigen, sondern es gibt verschiedene Gruppierungen mit unterschiedlichen und mehr oder weniger hohen Gefahrenpotentialen.
Der typische Hacker sieht seine Aktivitäten im Sinne der "Hackerethik". Diese besagt unter anderem, private Daten nicht zu zerstören, sondern die Sicherheitslöcher zu dokumentieren und zu propagieren, damit diese möglichst schnell erkannt und behoben werden. Im Gegensatz zu Hackern stehen Cracker und Crasher, die mutwillig Daten zerstören oder den Betrieb von Computersystemen stören wollen.
Nicht vergessen werden dürften in der Liste der unbefugten Nutzer auch Einbrecher, Diebe oder schlechtgesinnte ehemalige Mitarbeiter, die einer Person beziehungsweise ihrem früheren Arbeitgeber durch das Stehlen oder Zerstören von Daten Schaden zufügen wollen.
Sicherheitsproblem "Befugte Zugriffe"
Gefahren drohen jedoch nicht nur von außen, sondern auch von innen. Das sicherste Netzwerk kann durch eigenmächtige Installationen von schädlicher Software von Mitarbeitern kompromittiert und in Mitleidenschaft gezogen werden. Disketten, selbst gebrannte CD-ROM und andere Datenträger können Computerviren beinhalten, die den Computer und die Netzwerke infizieren können. Die gleiche Gefahr besteht, wenn E-Mails und Webseiten ungefiltert angezeigt werden und möglicherweise auf diesem Wege Computerviren eingeschleppt werden.
Nicht zuletzt besteht bei fehlenden Datenzugriffsrichtlinien die Gefahr, dass unautorisierte Mitarbeiter Daten abrufen können, die nicht für sie bestimmt sind.
Grundsätzliche und ganzheitliche Überlegungen
Prinzipiell ist eine funktionierende Sicherheit in der Informationstechnik, der IT-Sicherheit, keine Frage, die ein einzelner Mitarbeiter für einen einzelnen Rechner beantworten kann, sondern IT-Sicherheit kann nur funktionieren, wenn sie ganzheitlich geplant wird. "Ganzheitlich" bedeutet auch, dass alle betroffenen Abteilungen in diesen Prozess eingebunden werden sollten, einschließlich von Vertretern aus der Geschäftsleitung, die schlussendlich auch die einzelnen Schritte absegnen muss. Gerade dies muss auch im Sinne der Mitarbeiter, die mit der EDV betraut sind, sein. Man bedenke hier beispielsweise die Suche nach einem Verantwortlichen (oder Opfer) bei einem eventuellen Sicherheitsvorfall, die zu Konsequenzen für den EDV-Mitarbeiter führen kann, wenn die Verantwortlichkeiten in der IT-Sicherheit nicht von vorneherein klar definiert sind.
Der erste Schritt zu einer funktionierenden Sicherheit in der Informationstechnik ist die Definition und Einschätzung der möglichen Gefahren. Hierzu sei das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (siehe unten unter weiterführende Links) empfohlen, das eine Vielzahl an möglichen Gefahren für Computersysteme aufführt. Wichtig ist bei so einer Zusammenstellung, dass nicht nur realistisch, sondern durchweg auch pessimistisch gedacht wird. Das "Prinzip Hoffnung" ist bei der Definition von möglichen Gefahren ein denkbar schlechter Ratgeber.
Gefahr: Virenbefall Klasse: Unbefugte Zugriffe Gefahrenpotential: Hoch Beschreibung: Durch Virenbefall können Daten auf den Systemen oder im Netzwerk manipuliert oder gelöscht werden. Mit so genannten "Trojanischen Pferden" können Rechner (und damit auch das lokale Netzwerk) kompromittiert werden. Eintrittsweg: Über das Internet per Download von infizierten Dateien, per E-Mail, per externen Datenträgern und Wechselmedien. Vorbeugende Maßnahmen: Anschaffung einer zentralen Virenlösung, die als Proxy-Lösung den Mailverkehr zwischen dem Mailserver und dem Internet (ein- und ausgehend) überwachen kann. Für Arbeitsstationen lokale Virenscanner, die über eine zentrale Administration gesteuert und mit aktuellen Virendefinitionen beschickt werden können. Produktauswahl: (entsprechende Produktauswahl, eventuell mit individuellen Vor- und Nachteilen) Maßnahmen im Ernstfall: Viren in E-Mails Werden Viren in eingehenden E-Mails gefunden, werden die betreffenden virulenten Elemente gelöscht, die E-Mail entsprechend mit einem Hinweis versehen und an den Empfänger weitergeleitet. Der Absender erhält keinen Hinweis. Werden Viren in ausgehenden E-Mails gefunden, wird umgehend der betreffende Benutzer für weitere Mails gesperrt und der Administrator informiert, der den Benutzer nach Rücksprache mit dem Benutzer und einer ggf. Prüfung des Rechners wieder manuell aktiviert. |
Beispiel für die Definition einer Gefahr und der mögliche Maßnahme zur Abwehr |
Mit so einem Gefahrenkatalog lassen sich dann im nächsten Schritt Strategien entwickeln, wie die möglichen Auswirkungen dieser Gefahren möglichst umgangen oder zumindest eingedämmt werden können. Um einen sinnvollen Ansatz zu haben, ist es empfehlenswert, die zusammengestellten Gefahren in eine Reihenfolge der Wichtigkeit zu bringen. Dieser so erstellte Gefahrenkatalog ist dann eine gute Basis, um im nächsten Schritt einen Maßnahmenkatalog zu erstellen.
Der Maßnahmenkatalog ist nun der verbindliche "rote Faden", der nun zur Erreichung der gewünschten Sicherheitsanforderungen führen soll. Er enthält bei administrativen Maßnahmen konkrete Verhaltensanweisungen und Anleitungen (beispielsweise Anleitungen, was bei einem Ausfall bestimmter Dienste gemacht werden muss) und bei technisch zu realisierenden Maßnahmen die Anforderungen, die eine Lösung erfüllen muss.
Müssen für die Erfüllung von Maßnahmen Investitionen oder Vorarbeiten getätigt werden (beispielsweise die Evaluierung von passenden Firewalls), so werden auch diese in den Maßnahmenkatalog aufgenommen, inklusive Angaben über die zuständigen Mitarbeiter, eventuellen externen Beratern und den Ergebnissen und Bewertungen.
Wichtig ist sowohl beim Gefahren-, als auch beim Maßnahmenkatalog, dass die einzelnen Punkte ausformuliert und in einer Sprache geschrieben sind, die auch Nicht-Techniker verstehen können. Während den ganzen Überlegungen muss sichergestellt sein, dass diese Unterlagen von allen Beteiligten eingesehen und verstanden werden können, um aus diesen Entscheidungsprozessen nutzbare Ergebnisse zu ziehen.
Diese Art und Weise der Planung mit einem Gefahren- und einem Maßnahmenkatalog mag auf den ersten Blick betriebswirtschaftlich unsinnig erscheinen, ist jedoch der einzig direkte und richtige Schritt zu einem wirklichen Sicherheitskonzept, auch wenn die Erstellung einen nicht zu unterschätzenden personellen und finanziellen Aufwand bedeutet.
IT-Sicherheit als Unternehmenskapital
Für jeden Geschäftsmann, der moderne EDV einsetzt, gibt es keine Zweifel darüber, dass gekaufte Hard- und Software zu Investitionsgütern eines Unternehmens gehören und einen nicht geringen Anteil am Firmenkapital binden. Dieses Kapital bildet ebenso den Wert eines Unternehmens wie andere Güter und dieses Kapital wird auch dazu verwendet, die Kreditwürdigkeit eines Unternehmens und das Risiko eines gewünschten Kredits abzuschätzen.
Was nun immer stärker in diese Betrachtungen einfließt, ist der Umstand, dass die moderne EDV in einem Unternehmen immer prozesskritischer wird und eine schlecht oder gar nicht funktionierende EDV die Arbeitsabläufe in einem Unternehmen behindern, im schlimmsten Fall gar zum kompletten Stillstand bringen kann. Solche Vorfälle mindern den Wert eines Unternehmens nachhaltig und genau diese Betrachtungsweisen fließen immer stärker auch in Kreditwürdigkeitsbewertungen von Unternehmen ein, in die so genannten Ratings. Einem Unternehmen kann also tatsächlich eine niedrigere Kreditwürdigkeit bescheinigt werden, wenn es unter anderem kein vernünftiges EDV-Konzept und kein Sicherheitsmanagement vorweisen kann.
Eine Basis für solche Bewertungen liefert die Baseler Eigenkapitalübereinkunft, die in einem Papier namens Basel II zusammengefasst ist. In diesem Dokument, das vom Baseler Ausschuss für Bankenaufsicht verfasst wurde, wird verlangt, dass operationelle Risiken eines Unternehmens mit Eigenkapital hinterlegt sein müssen. Gerade für kleinere und mittelständische Unternehmen, in denen bisher keine besonderen Maßnahmen zum Schutze der EDV existierten, kann dies eine sehr anspruchsvolle Hürde bei der Kreditbeschaffung sein. So können beispielsweise ständige Netzwerkprobleme die Produktivität im Unternehmen stören und indirekt dadurch die eigene Bonität gefährden.
Wichtig zu wissen ist, dass die operationellen Risiken, also eben auch die IT-Sicherheit, zu den so genannten weichen Rating-Faktoren gezählt werden, also nicht unmittelbar bei der Bewertung berücksichtigt werden. Dennoch können gerade die weichen Rating-Faktoren im Zweifelsfall das Zünglein an der Waage sein, sollten also nicht unterschätzt werden.
Weiterführende Links
http://www.bsi.de/gshb/
IT-Grundschutzhandbuch des Bundesamt für Sicherheit in der
Informationstechnik
http://www.basel2.helaba.de/
Basel-II-Portal der Landesbank Hessen-Thüringen