Mehr oder weniger : Angemessene Informationssicherheit
Angesichts weiterhin und weithin zu beobachtender Probleme mit der Sicherheit soll zum neuen Jahr wieder einmal die Frage beleuchtet werden, was denn dabei eigentlich angemessen ist. Denn neben zu wenig Security kann auch zu viel – angestrebte – Sicherheit nach hinten losgehen.
Von Michael Haack, Köln
Die Informationssicherheit hat sich in den letzten 20 Jahren rapide entwickelt: Viele mittelständische Unternehmen haben heute einen eigenen IT-Sicherheitsbeauftragten – meist übt der dieses Amt zwar nur nebenbei aus, aber immerhin ist er benannt. Konzerne und große Behörden haben hingegen mittlerweile oft ganze Abteilungen mit teilweise zehn bis zwanzig Mitarbeitern. Außerdem heißt „IT-Sicherheit“ jetzt verbreitet „Informationssicherheit“, da sich die Ansicht durchgesetzt hat, dass das reine Abwälzen auf die Technik – die IT – nicht zielführend ist. Weil andererseits die Abhängigkeit der Behörden und Unternehmen von der IT jedoch zielstrebig auf 100 % zugeht, wird der Begriff IT-Sicherheit wohl bald wieder faktisch richtig sein.
Mittlerweile ist auch unstrittig, dass man die Informationssicherheit als Prozess sehen muss, der eine kontinuierliche Verbesserung und Weiterentwicklung derselben mit sich bringt. Eine einmalige Installation von Virenschutz und Firewall reicht für dieses Ziel eben nicht aus.
Unbefriedigender Status quo
Es stellt sich allerdings die Frage, warum viele Unternehmen und Behörden trotz dieser Errungenschaften die Informationssicherheit nicht annähernd im Griff haben – was laufend auftretende Vorfälle zeigen, die meist so groß sind, dass sie sogar durch die Massenmedien gehen. Warum gelingt es vielen Organisationen immer noch nicht, ein angemessenes Sicherheitsniveau zu erreichen?
Schaut man sich das Vorgehen in diesen Organisationen genauer an, so stellt man fest, dass es oft dem Suchen eines Schlüssels unter dem Lichtschein der Laterne ähnelt, weil es da „so schön hell ist“. Bezogen auf die Informationssicherheit heißt das konkret, dass das Management Sicherheitsmaßnahmen fordert, die vor allem leicht zu haben sind, billig und schnell machbar – „Quick Wins“.
Zu solchen Maßnahmen zählt immer auch der Virenschutz: Er ist überall vorbildlich umgesetzt – manchmal sogar für Unix-, Linux- oder Mac-Systeme, für die mehr oder minder nur Labor-Viren bekannt sind. Es ist auch bereits vorgekommen, dass sicherheitsbewusste Mitarbeiter keine verschlüsselte Mails schreiben konnten, weil man Angst hatte, dass sich im verschlüsselten NachrichtenInhalt Viren verbergen könnten. Das Risiko, dass durch nicht-verschlüsselte Mails vertrauliche Informationen mitgelesen werden, wurde also demgegenüber als relativ gering bewertet – wenn es denn überhaupt bewertet wurde, was zu bezweifeln ist.
Gerne werden auch Anwender-Computer mit Brettern geradezu vernagelt, sodass Mitarbeiter sich – um ihre Arbeit erledigen zu können – andere Wege suchen müssen (z. B. mit privater Hardware und E-Mail-Konten). Solange ihnen das tatsächliche Risiko nicht bewusst gemacht wird, empfinden Anwender regelmäßige Gänge zum „Schleusen-PC“ und das Bitten um Kopieren von USBStick-Daten auf einen Server jedenfalls als unangemessen – was es ja in den meisten Fällen auch tatsächlich ist.
Widersprüchlich wird das Ganze dann, wenn das Management für genau diese Bereiche eine Ausnahmeregelung erhält, weil man dessen Wunsch nach „innovativer Arbeitsweise“ mit Smartphone und Tablet über WLAN nicht widersprechen kann – oder will. Hier darf dann oft auch privat im Internet gesurft werden, während das „normalen“ Mitarbeitern strengstens untersagt ist.
Ein weiteres unbefriedigendes Beispiel sind aufwendige und teure Awarenesskampagnen, die zusammen mit der Marketingabteilung oder einem externen Berater konzipiert werden: Nachdem man alle Mitarbeiter – oft auch solche, die gar keinen engeren Berührungspunkt zu den wesentlichen IT-Systemen haben – durch das Schulungsprogramm geschleust hat, stellt man enttäuscht fest, dass die Policies genauso wenig eingehalten werden wie zuvor. Das kann man „zum Glück“ nicht objektiv messen – auch wenn das auf Wunsch des Managements schon oft versucht wurde.
Riskante Heterogenität
Das Ergebnis einer solchen Arbeitsweise ist, dass zwar in einigen Bereichen die Sicherheit plakativ gesprochen bei über 90 % liegt – in anderen aber nur bei 20 oder 30 % (vgl. Abb. 1). Letzteres sind meist genau die Bereiche, die gerade nicht im „Lichtkegel der Laterne“ liegen, also dort, wo das Schlüssel-Suchen sehr mühsam ist. Wäre es da nicht sinnvoller, die – für die Informationssicherheit ohnehin immer knapp bemessenen – Energien und Ressourcen so einzusetzen, dass man flächendeckend zumindest auf 80 % käme?
Um sich nicht in Einzelheiten zu verzetteln, bietet sich dabei ein Top-down-Vorgehen an, bei dem man erst einmal grob über alle möglichen Themenbereiche schaut: Neben Virenschutz, Datensicherung und Firewall sind dabei – gleichberechtigt – auch Themen wie Zutritts-, Zugangs- und Zugriffsschutz sowie personelle und organisatorische Maßnahmen zu betrachten.
Neben solchen präventiven Maßnahmen gibt es aber auch detektive und reaktive: Detektive Maßnahmen helfen dabei, Sicherheitsvorfälle und -lücken sowie Fehlverhalten überhaupt erst aufzuspüren und mitzubekommen. Dies geht am einfachsten, indem man die vielen Protokolle (Logfiles) auswertet, die ohnehin von fast jedem System und jeder Komponente angelegt werden. Natürlich hat kein Administrator die Zeit, täglich alle Logfiles manuell „durchzulesen“, aber das soll er ja auch gar nicht. Es reicht völlig aus, ein einfaches Skript automatisch laufen zu lassen, das nach Anomalien sucht und diese dann per E-Mail an den Administrator sendet. Je mehr Anomalien sich anschließend als „normales“ Verhalten herausstellen, umso weniger Meldungen werden erzeugt. Den Initialaufwand für eine solche Maßnahme darf man natürlich nicht scheuen, wenn man von ihrem Effekt profitieren will.
Zur dritten Gruppe – den reaktiven – gehören alle Maßnahmen, die dabei helfen, den Schaden zu begrenzen, wenn es zu einem Vorfall gekommen ist. Oft wird hier von „Notfallmaßnahmen“ oder „Notfallvorsorge“ gesprochen. Dies bezieht sich aber nicht nur auf Notfälle hinsichtlich der Verfügbarkeit (also Ausfälle von Systemen), sondern auch auf Notfälle hinsichtlich der Vertraulichkeit und Integrität – also Offenlegung schützenswerter Daten oder Verfälschungen im Datenbestand. Auch diese können bekanntlich großen Schaden verursachen.
Abbildung 1: Verschiedene Organisationseinheiten weisen häufig sehr heterogene Sicherheitswerte auf – das Ziel sollte jedoch ein gleichmäßiger Umsetzungsgrad sein, denn ein einzelnes schwaches Glied kann eine Kette zerreißen lassen.
Wege der Besserung
Für die Auswahl geeigneter Maßnahmen bieten sich Maßnahmenkataloge an – zum Beispiel die IT-Grundschutzkataloge des BSI, die man sogar kostenlos beziehen kann. Das Amt liefert hier einen Katalog von über 1600 Einzelmaßnahmen – gruppiert in die Bereiche Infrastruktur, IT-Systeme, Netzwerke, Anwendungen und Übergreifendes.
Bevor man nun aber angesichts dieses Gesamtumfangs erneut in Schockstarre verfällt: Bei der Prüfung und Umsetzung von Maßnahmen ist natürlich immer die Angemessenheit zu wahren – das heißt, dass man bei jeder Maßnahme im Hinterkopf haben muss, welchen konkreten Schutzbedarf man hat und welche Bedrohungssituation vorliegt.
Gerade Schutzbedarf und Bedrohungen sind bei verschiedenen Unternehmen oder Behörden extrem unterschiedlich: Bei produzierenden Betrieben oder solchen mit viel Kundenverkehr ist meist die Verfügbarkeit der Systeme das A und O. Geht es hingegen um Neuentwicklungen, personenbezogene Daten oder Verschlusssachen, ist die Verfügbarkeit vielleicht nebensächlich und die Vertraulichkeit der verarbeiteten Informationen viel wichtiger.
Der Schutzbedarf ergibt sich immer aus den Fachaufgaben und Geschäftsprozessen einer Organisation – diese Anforderung muss also aus der Fachabteilung kommen. Die IT-Abteilung ist – außer bei einem IT-Dienstleistungsunternehmen – nur „Unterstützer ohne eigenen Bedarf“, sodass jeder Fachbereich viel mehr in die Verantwortung genommen werden muss, als heute häufig üblich. Denn nur er kann genau bewerten, was passiert, wenn bestimmte Anwendungen und Systeme nicht verfügbar oder die verarbeiteten Informationen für Unbefugte zugänglich wären. Individuelle Bedrohungen ergeben sich aber beispielsweise auch durch einen Fluss in der Nähe oder eine besondere Konkurrenzsituation. Für die Bewertung der Bedrohungslage kann ebenfalls auf Material des BSI zurückgegriffen werden (Gefährdungskataloge).
Wird nun aufgrund des identifizierten Schutzbedarfs und der festgestellten Bedrohungen die eine oder andere Maßnahme als angemessen bewertet, so ist noch immer nicht gesagt, dass diese auch zu 100 % umgesetzt werden muss: Oft ist es sehr einfach, eine 80%ige Umsetzung zu erreichen, die restlichen 20 % würden jedoch einen enormen Mehraufwand erfordern (vgl. Abb. 2). Hier sei deutlich darauf hingewiesen, dass 80 % durchaus ausreichend sein können, wenn verschiedene Maßnahmen gemeinsam wirken – es also ein „Netz mit doppeltem Boden“ beziehungsweise mehrere Netze gibt, die sich teilweise überlappen: Selbst wenn fünf 50 %-Maßnahmen zusammenwirken, erhält man eine Risiko-Reduktion von nahezu 97 % (vgl. Abb. 3).
Abbildung 2: 80 % Umsetzungsgrad sind oft schnell erreicht – mehr erfordert häufig sehr viel Aufwand.
Abbildung 3: Halten mehrere voneinander unabhängige Sicherheitsschichten jeweils nur einen Teil möglicher Angriffe auf, kann man in Summe dennoch einen äußerst guten Schutz erzielen.
Folge dem Geld!
Für die Bewertung der Angemessenheit von Sicherheitsmaßnahmen kann man auch die Höhe von Schäden bei vergangenen Vorfällen in Betracht ziehen. Wenn man dies tut, erkennt man meist, dass Schäden – und damit auch der Schutzbedarf – gar nicht so hoch sind, wie man immer dachte.
Die umzusetzenden Sicherheitsmaßnahmen müssen eben nicht nur wirksam und praktikabel sein, sondern auch wirtschaftlich, angemessen und akzeptabel. Der beste Zutrittsschutz wirkt nicht, wenn er so aufwendig gestaltet ist, dass die Mitarbeiter ihn nicht akzeptieren und einen Keil unter die Tür schieben.
Im Rahmen des Risikomanagements ergibt es daher durchaus Sinn, bestimmte Risiken bewusst zu tragen, weil die Kosten für Gegenmaßnahmen den Risikowert übersteigen würden. Für eine optimale Kostensituation gilt es, ein Gleichgewicht zwischen den Kosten für die Vorsorge (Prävention) und den Kosten für die – mögliche – Nachsorge (Reaktion) zu finden (vgl. Abb. 4).
Wenn dann das Risiko bekannt ist, kann man vielleicht auf eine Netztrennung, das Verbot von Datenträgern, das Verbot der privaten Internetnutzung, URL-Filter, überzogene Awareness-Kampagnen, Schleusen-PCs, WLAN-Verbote etc. verzichten.
Abbildung 4: Auch beim Risikomanagement gibt es einen optimalen „Arbeitspunkt“, in dem Vorsorgekosten und Kosten der Nachsorge (Reaktion) im idealen Verhältnis stehen.
Fazit
Generell gilt: Risiken müssen realistisch eingeschätzt werden. Nicht der Hai ist das gefährlichste Tier, sondern die Biene – denn dieses kleine Insekt sorgt für weit mehr Todesfälle beim Menschen. Auch ist Reiten riskanter als Fliegen und der Haushalt gefährlicher als der Straßenverkehr.
In jeder Organisation muss das Verständnis dafür wachsen, dass letztlich nicht die IT-Abteilung die Risiken rund um die Informationsverarbeitung trägt, sondern die Fachbereiche. Denn sie sind es, die die Wertschöpfung für ein Unternehmen erbringen oder die Kernaufgaben einer Behörde erledigen.
Grundsätzlich muss noch viel mehr für die Kontrolle der Einhaltung und Wirksamkeit von Maßnahmen getan werden – ein zentrales Beispiel ist die häufig nachlässige Protokoll-Auswertung. Und was zudem in vielen Unternehmen und Behörden im Argen liegt, ist das Notfallmanagement: Notfallmaßnahmen sind oft nicht vorgesehen oder werden nach ihrer Implementierung niemals getestet oder geübt. Leider muss dann oft erst der Ernstfall eintreten, damit man merkt, ob das Notfallmanagement greift – oder eben nicht.
Michael Haack ist Berater im Bereich „Information Security Management“ der HiSolutions AG.