SMBs müssen ihre Sicherheitsmaßnahmen integrieren

Feature | 12. Mai 2004 von admin 0

Herr Hoffmann, aktuelle Studien stellen ja der IT-Sicherheit bei deutschen Mittelständlern kein gutes Zeugnis aus. Haben mittelständische Unternehmen in Deutschland die Zeichen der Zeit nicht erkannt?

Was die Integration von Sicherheitsmaßnahmen betrifft, befinden sich viele Unternehmen, besonders SMBs, noch im Mittelalter. Symbolisch manifestiert ist dies durch die Errichtung von Mauern (sprich: Firewalls). Das liegt nicht in erster Linie an mangelnder Sensibilität, denn Sicherheit ist eben nach wie vor der klassische Technikfolger. Bedauerlicherweise fallen Überlegungen zur Sicherheit und zum Datenschutz allzu oft gerade in mittelständischen Unternehmen schon in der Planungsphase dem Rotstift zum Opfer. Sie werden aufgrund verkürzter Kosten-Nutzen-Analysen wegrationalisiert, frei nach dem Motto: Hauptsache das System läuft, das kostet schon genug. Die notwendige vorausschauende Integration von Sicherheitsmaßnahmen in alle Unternehmensprozesse ist dagegen selten. Firmen unterschätzen dabei schlicht die Folgekosten für nachträglich aufgesetzte IT-Sicherheitslösungen.

Einmal abgesehen von der Installation eines Virenscanners: Was können kleine und mittlere Betriebe tun, um das Bewusstsein für IT-Sicherheit zu erhöhen und zu stärken?

Da gibt es eine Vielzahl von Möglichkeiten. Sie erstrecken sich von Sicherheitsrichtlinien und -politiken über Schulungen der Mitarbeiter bis hin zu elektronischen Dienstausweisen. Doch was nützt eine Sicherheitsrichtlinie, die später keiner mehr liest? Auch Einmalschulungen greifen zu kurz. Erworbenes Wissen muss von Zeit zu Zeit aufgefrischt und aktualisiert werden. Das erfordert natürlich eine stimmige gesamtheitliche Sicherheitsstrategie und koordiniertes Vorgehen. Schlüsselstelle dafür ist die Unternehmensführung.

Erst wenn dort ins Bewusstsein gelangt, was die Administratoren längst wissen, und auch der Nachwuchs – wie in einem aktuellen Werbespot zu sehen – keine Spiele mehr auf Papas Firmen-Notebook spielt, haben wir einen großen Schritt nach vorne getan. IT-Sicherheit muss in erster Linie von oben erkannt, gewollt und auch in Angriff genommen werden. Dort werden letztendlich ja auch die hierfür notwendigen Budgets bewilligt.

Nachrichten über Angriffe von Viren und Würmern „schaffen“ es inzwischen regelmäßig sogar auf die Titelseiten renommierter Tageszeitungen. Besonders anfällig für Attacken von außen sind beispielsweise auch Firmennetzwerke mit Wireless LANs. Gibt es für diese Bereiche wirksame Schutzmechanismen?

Die bei Funknetzwerken nach dem IEEE-Standard 802.11 gebräuchliche Verschlüsselungstechnik WEP (Wired Equivalent Privacy) hat sich in der Tat schon 2001 als anfällig herausgestellt. Schwachstellen sind beispielsweise der zu kurze Initialisierungsvektor und die konstanten WEP-Schlüssel, die als so genanntes Shared-Secret unter allen Mitarbeitern verteilt werden müssen. Bei Untersuchungen im Fraunhofer SIT reichte in der Regel eine abgehörte Datenmenge von zirka einem Gigabyte aus, um 40-Bit-WEP-Schlüssel zu knacken. Ausgestattet mit einem WLAN-tauglichen Notebook ist dies in rund 30 Minuten möglich.

Dabei gibt es durchaus wirksamen Schutz von Netzwerken. Neben einigen proprietären Versuchen bietet derzeit beispielsweise eine als WPA (Wi-Fi Protected Access) bekannte Interimslösung verbesserte Sicherheitsfunktionen. Dort sind bereits ausgewählte Teile des zukünftigen Sicherheitsstandards IEEE 802.11i implementiert, wie etwa ein erweiterter Initialisierungsvektor, Re-Keying und ein Message-Integrity-Check.
Gänzlich unabhängig von WEP, WPA oder möglichen Nachfolgern ist man, wenn man gleich auf oberhalb der Netzwerkebene angesiedelte Verfahren wie IPSec (IP Security Protocol) oder VPN (Virtual Private Network) setzt. Natürlich könnte man eine vertrauliche Kommunikation auch noch höher in die Applikationsschicht verlagern. Dies böte sich an, wenn nur wenige ausgewählte Applikationen im betrieblichen Einsatz sind und dort bereits entsprechende Verschlüsselungs-, Authentisierungs- und Autorisierungsmechanismen integriert wurden. Ein ganzheitlicher Sicherheitsansatz bedeutet hier aber nicht zwangsläufig, alles technisch Machbare auch umzusetzen. Ich denke da beispielsweise an auf biometrischen Merkmalen basierende, elektronische Dienstausweise mit RFID-Technik (Radio Frequency Identification) zur kontaktlosen Identifizierung gegenüber Räumen, Geräten, Kommunikationswegen und Werkschutz. Sicherheit ist immer individuell und es lohnt sich auch finanziell für die Unternehmen, das angestrebte Sicherheitsniveau bereits in der Konzeptionsphase mit unterschiedlichen Technologien zu durchdenken.

Mittelständische Unternehmen sind in der Regel überschaubar, und jeder kennt jeden. Doch immer wieder ist zu lesen, dass ehemalige oder unzufriedene Mitarbeiter eines Unternehmens wichtige Daten stehlen, manipulieren oder gar durch Löschen sabotieren. Wird denn die Rolle des „menschlichen Faktors“ von SMBs unterschätzt?

Die notwendige Voraussetzung, um Sicherheitspolitiken im Unternehmen durchsetzen zu können, ist, IT-Sicherheit in alle Unternehmensprozesse zu integrieren. Dazu gehört auch, den Zugriff auf Unternehmensdaten für ausgeschiedene Mitarbeiter sofort zu unterbinden. Ich denke, viele kleinere und mittlere Unternehmen reiben sich derzeit noch an der schwierigen Bezifferung des betriebswirtschaftlichen Nutzens von Sicherheitsmaßnahmen auf (Stichwort: RoSI). Allerdings vernachlässigen sie, dass die Kosten für eine nachträgliche Integration von Sicherheitspolitiken in Unternehmensprozesse oder gar die Anpassung derselben an Sicherheits- und Datenschutzanforderungen oft sehr hoch sind.

Generell schätze ich die Sensibilität von SMBs gegenüber IT-Sicherheit sogar schon recht hoch ein. Sie richtet sich aber bislang auf spezifische Bereiche, wie den Einsatz von Firewalls, Antiviren-Software und Berechtigungsmanagement. Ein ganzheitlicher Ansatz fehlt. Allerdings haben in Zeiten knapper Kassen Investitionen in das Kerngeschäft erst einmal Vorrang. IT-Sicherheit kommt hier – leider – erst danach.

Welche Trends werden das Thema IT-Sicherheit in den nächsten Jahren bestimmen?

Ganz gleich ob wir es Ubiquitous Computing, Pervasive Computing oder Ambient Intelligence nennen, die zunehmend intelligenter werdenden Alltagsgegenstände und die passende Umgebung dazu sind sicher ein wichtiges Thema für die IT-Sicherheit in den nächsten Jahren, deren Aktualität nicht zuletzt durch die aktuelle Diskussion rund um RFID im Falle des Metro-Future-Store gefördert wurde.

Ein weiterer kontroverser Ansatz – auch schon in der Diskussion – ist sicher Trusted Computing, was vereinfacht gesagt zunächst einmal lediglich die Integration von Crypto-Hardware in Systemplattformen umfasst. Die Ziele, die sich die Trusted Computing Group auf die Fahne schreibt, wären zwar in der Tat in zahlreichen sicherheitskritischen Business-Szenarien, wie beispielsweise der unternehmensweiten Kommunikation für Banken, eine hilfreiche Sache. Für den Endanwender sind allerdings noch keine Vorteile erkennbar. Im Gegenteil, ein wesentlicher Kritikpunkt zielt auf die mögliche Durchsetzung von Digital Rights Management (DRM) gegen die Interessen der Verbraucher. Damit sollen in erster Linie die Urheberrechte (etwa von Musik, aber auch von Software) auf elektronischen Datenverarbeitungsanlagen gewahrt und Raubkopien verhindert werden. So gesehen wird sicher auch DRM ein Trend der nächsten Jahre, zumal die Musik- und Filmindustrie nicht müde wird, Nutzer von Tauschbörsen weltweit zu verklagen, wo es die nationale Rechtslage schon hergibt.
Ein weiterer Trend im Business-Umfeld wird Identity Management sein, also die unternehmensweit einheitliche Verwaltung von realen und virtuellen Benutzeridentitäten. Dies umfasst ebenfalls Bereiche wie Authentisierung, Autorisierung und Simplified Logon. Auch dort ist allerdings der Nutzen für die Endanwender noch nicht deutlich, so lange diese nicht in einem ausgewogenen Konzept die volle Kontrolle über ihre personenbezogenen Daten haben, sondern diese hinter dem Microsoft Passport Portal oder den Portalen des Liberty Alliance Project (LAP) verschwinden. Beide momentan vorrangig diskutierten Ansätze – gleich ob zentral (Microsoft) oder föderiert (LAP) – haben natürlich in erster Linie die Interessen der beteiligten Unternehmen im Sinn, das heißt Kundenbindung, Erkennen und Prognostizieren von Kundeninteressen, gezieltes Marketing und statistische Auswertungen von einzelnen Kunden und Kundengruppen.

Und was ist mit Biometrie?

Ich weiß nicht, aber es könnte sein, dass das Thema und seine Weiterentwicklung ein wenig abgewürgt wird durch die aus meiner Sicht verfrühte Integration in Pässe und Reisepässe. Etabliert sich dort erst einmal eine bestimmte Art biometrischer Daten und Verfahren, lässt sich diese sicher nicht durch den jährlichen Austausch aller Pässe mit jeweils verbesserten Verfahren wieder ändern. Ob das dann eine Strahlkraft für die Verwendung von biometrischen Verfahren auch in anderen Anwendungsgebieten haben wird – wie etwa Gebäudezugangsschutz – wird die Zukunft zeigen müssen.

Was das Thema Trends bei IT-Sicherheit angeht, hat dies meiner Meinung nach Bruce Schneier recht eindrücklich mit dem Satz “If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology“ beschrieben. Eine zentrale Aufgabe für SMBs wird deshalb sein, erst das Bewusstsein für ihre spezifischen Sicherheitsprobleme zu schärfen und dann in die erforderliche Software zu investieren.

Dr. Andreas Schaffry

Dr. Andreas Schaffry

Tags: , ,

Leave a Reply