Weltweit für sichere Systeme sorgen

Feature | 16. August 2004 von admin 0

Bill Boni

Bill Boni

Herr Boni, worauf sollten Unternehmen in Zukunft ihre Anstrengungen im Bereich “Informationssicherheit” konzentrieren?

Boni: Meiner Meinung nach sollten sie sich auf den Bereich “Risikovorsorge” konzentrieren. Durch Vorsorge minimieren Unternehmen am ehesten die größten Risiken für den Geschäftsbetrieb.

Sie haben kürzlich in den Raum gestellt, dass sich die Verwendung mobiler, internetfähiger Endgeräte auf Basis des Internet-Protokolls möglicherweise zu einer globalen Angriffsmaschinerie auf die Informationssysteme entwickeln könnte. Können Sie das erläutern?

Boni: Wie wir bereits gesehen haben, werden die neuesten Datentechnologien von Computer-Hackern jeweils auch sofort für ihre kriminellen Zwecke ausgenutzt. In vielen Ländern gibt es bereits jetzt eine Flut Strom unerwünschter Werbe-Mails (Spam) und Textmeldungen (SMS). Mobile Endgeräte werden auf der einen Seite für eine sinnvolle Verwendung immer leistungsfähiger. Allerdings nutzen natürlich auch Kriminelle oder Hacker die verbesserten Leistungsmerkmale der Geräte für ihre Zwecke aus.

Wie reagieren Unternehmen auf immer stärkere Angriffe in immer kleineren Zeitintervallen?

Boni: Zwischen dem Zeitpunkt, zu dem eine Schwachstelle in einem Programm öffentlich gemacht wird, und dem Zeitpunkt, zu dem eben diese Schwachstelle Ansatzpunkt eines Hacker-Angriffs ist, vergeht immer weniger Zeit. Beispiele hierfür sind der Sasser-Wurm, der sich gegen Windows-Umgebungen richtete, oder davor der Witty-Wurm, der ganz bestimmte Sicherheitseinrichtungen angriff. Vor zwei Jahren brauchten die Hacker noch sechs Monate, bis sie sich auf eine aufgespürte Schwachstelle stürzten. Bei Slammer betrug dieser Zeitraum weniger als einen Monat. Wenn derzeit Microsoft eine Schwachstelle bekannt gibt, greifen die Wurm-Programmierer dort spätestens zwei Wochen später an.

Unternehmen und Institutionen, die gegen Schwachstellen in ihren Computer-Systemen nicht proaktiv vorgehen, laufen deshalb Gefahr, bei einem besonders effektiven oder bösartigen Angriff außer Gefecht gesetzt zu werden. Eine effektive interne Überwachung ist der Preis, den Unternehmen für den Erhalt ihrer Handlungsfreiheit bezahlen müssen. Genauso unabdingbar ist es mittlerweile, zum Schutz der globalen Infrastruktur vor immer weitreichenderen Bedrohungen und Angriffen Korrekturprogramme – so genannte Patches – aufzuspielen und Sicherheitsvorkehrungen zu treffen.

Sie vergleichen die für die Sicherheit zuständigen Fachleute eines Unternehmens mit Polizeibeamten und bezeichnen sie als die “letzte Verteidigungslinie”. Wie wird sich dieser Beruf entwickeln?

Boni: Führungskräfte erkennen in steigendem Maße, wie enorm wichtig diese letzte Verteidigungslinie für den Erfolg der Geschäftstätigkeit und den Schutz der Infrastruktur ihres Unternehmens ist. Sicherheitsfachleute werden deshalb meiner Meinung nach in Zukunft erheblich zum Erfolg eines Unternehmens beitragen, aber auch zum Schutz der weltweiten Infrastruktur, des E-Commerce und der Unternehmenskommunikation. Wegen ihres Beitrags zu einem zunehmend sicheren und zuverlässigen Geschäftsumfeld werden sie den entsprechend hohen Stellenwert genießen.

Wo sollte Ihrer Meinung nach ein Chief Information Security Officer (CISO) im Unternehmen angesiedelt sein?

Boni: Das hängt stark vom jeweiligen Unternehmen sowie dessen Kultur, Geschäftsfeld und Prioritäten ab. Meiner Meinung nach ist es sehr wichtig, dass ein innerhalb des Bereiches IT angesiedelter CISO mindestens im gleichen Rang mit den Führungskräften steht, die das operative Geschäft leiten. In manchen Fällen ist es besser, den Sicherheitsfachmann außerhalb des Bereiches IT anzusiedeln, weil es passieren kann, dass Sicherheitsleute aufgrund von vorgeblichen Prioritäten aus der reinen Produktion permanent übergangen werden. Ob dies so kommt, hängt stark von den betroffenen Mitarbeitern und deren Prioritäten ab. Meiner Meinung nach ist es die Pflicht eines CISO, ein System zu entwickeln, das es ihm erlaubt effektiv zu arbeiten, egal wem er unterstellt ist. Er muss außerdem bei der Bewertung von Risiken die Anforderung an eine vertrauensvolle Zusammenarbeit gegen seine Verpflichtung zur Objektivität und Unparteilichkeit abwägen. Nur so wird er zu einer auf die vorrangigen Ziele des Unternehmens abgestimmten Risikovorsorge kommen.

Können Sie uns die vier Schlüsselelemente Ihres Schutzprogramms bei Motorola erläutern: Schützen, aufspüren, reagieren, wiederherstellen?

Boni: Jede gute Sicherheitsstrategie beruht auf einer recht einfachen Grundlage. Vorzubeugen bedeutet, die Chance zu verringern, dass sich eine Bedrohung innerhalb der IT-Umgebung eines Unternehmens ausbreiten kann. Ein lückenloser Schutz ist jedoch zu einem angemessenen Preis nicht zu haben. Es macht deshalb Sinn, ein System zu besitzen, mit dessen Hilfe sich Schwachstellen und aktive Angriffe rasch aufspüren lassen. Einerseits wird auf diese Weise die IT-Umgebung permanent abgetastet, um potenziell von einem Angriff bedrohte Programme zu finden. Andererseits versuchen verschiedene Sensoren im Netzwerk und bei den angeschlossenen Geräten herauszufinden, ob bereits ein Angriff läuft und welche Programme dabei im Kreuzfeuer stehen. Wer versucht, Schwachstellen selbst nachzuspüren, der kann es sich leisten, beim eigentlichen Schutz nicht lückenlos zu arbeiten – denn das Frühwarnsystems meldet, wenn es irgendwo “brennt”.

Auf die Rückmeldung eines dringenden Problems muss dann aber rasch reagiert werden. Das erfordert ein Mitarbeiterteam, das über einen Reaktionsplan und eine Kommunikationsliste verfügt. Das Team muss wissen, wer informiert wird, und es muss zudem rasch Entscheidungen fällen und sofort Maßnahmen einleiteten, wenn sich die Ereignisse überschlagen. Zu guter Letzt sollte ein Plan existieren, wie sich ein beschädigtes System wieder einwandfrei herstellen lässt. Dazu ist einerseits Software für die Datensicherung und -wiederherstellung notwendig, andererseits aber auch Medien mit Sicherheitskopien der Daten. Zu einem Reaktionsplan gehören auch ein kompletter und getesteter Notfallplan.

Wie läuft das bei Motorola?

Boni: Motorola operiert weltweit. Die von uns genutzte IT-Fachberatung stammt aus vielen Quellen. Dazu zählen Entwicklerteams für Anwendungen, Berater, Outsourcing-Infrastruktur sowie aus Mitarbeitern bestehende IT-Teams. Wir haben verschiedene Technikergruppen an verschiedenen Orten, die auf den verschiedensten Ebenen des Unternehmens arbeiten. Deshalb ist es sehr wichtig, einen Rahmenplan zu besitzen, in dem festgehalten wird, wer für die Umsetzung bestimmter Elemente des Sicherheitsprogramms zuständig und verantwortlich ist.

Beispielsweise haben wir mit jedem größeren Unternehmen, von dem wir beliefert werden, eine für die Sicherheit zuständige Arbeitsgruppe gebildet. Für jeden größeren Geschäftsbereich gibt es bei Motorola einen Sicherheitsverantwortlichen, der meiner Abteilung angehört. Meine Abteilung wiederum stimmt sich mit den CIOs ab – über Grundprinzipien, Prozeduren und Abläufe in punkto Sicherheit. Wir spüren durch diese Zusammenarbeit Lücken im Sicherheitssystem auf und erarbeiten Eskalationspläne. Manchmal werden verschiedene Aspekte gegeneinander abgewogen und am Ende ein Sicherheitsrisiko akzeptiert, und dafür die entsprechenden Rahmenpläne geändert.
Manchmal sieht ein Geschäftsbereich in einem bestimmten Risiko kein sehr großes Problem, dafür aber eine Menge Vorteile, wenn sie die Sicherheitsbestimmungen nicht einhalten. Sollten die Sicherheitsfachleute jedoch der Meinung sein, dass dieses Risiko für das Unternehmen nicht akzeptabel ist, wird über diese Fragestellung in der CIO-Versammlung unter meinem Vorsitz entschieden. Auf diese Weise vermeiden wir, dass ein einzelner Bereich Bestimmungen deshalb nicht einhält, weil es für ihn einfacher ist oder er den Vorteil, den diese Bestimmungen bringen, nicht erkennen kann.

Warum glauben Sie, dass es in Zukunft zu Gerichtsprozessen kommen wird, falls Sicherheitsvorkehrungen versagen?

Boni: Die gegenwärtige Herausforderung besteht meines Erachtens darin, konkrete Maßnahmen für die Risikovorsorge zu finden, die mit der Veränderung in der operativen und technischen Umgebung Schritt halten. Es gibt leider Unternehmen, die ihre Verantwortung nicht so ernst nehmen, wie es eigentlich angebracht wäre. Es gibt Unternehmen, die ihre Sorgfaltspflicht oder angemessene Standards für den Schutz ihrer Informationen und öffentlichen Dienstleistungen verletzen. Das Rechtssystem wird wahrscheinlich einen Weg finden, solche Unternehmen dafür haftbar zu machen und sie anzuklagen. Das US-Bundesamt für Verbraucherschutz und Wettbewerb (Federal Trade Commission) hat beispielsweise kürzlich hohe Geldbußen gegen große und angesehene Unternehmen verhängt, weil deren Computersysteme das individuelle Recht auf Privatsphäre verletzten.

Leave a Reply