Sicherheit braucht alle Ebenen
IT-Security funktioniert nur als stetiger Prozess

INGELHEIM. Die dicksten Sicherheits-Schlagzeilen schreiben nicht die Hacker, sondern alte Hüte. Unnötige Angriffspunkte liegen dabei gleichermaßen in der Verantwortung von Administratoren wie Endanwendern. Schon Anfang Mai infizierte beispielsweise der Internet-Wurm Sadmind/IIS fast 9 000 Rechnersysteme. Sadmind nutzt ein sage und schreibe zwei Jahre altes Sicherheitsloch im Solaris-Betriebssystem sowie ein etwa sieben Monate altes Problem in Microsofts Web- Server IIS. Offensichtlich hatten etliche Systemverwalter die jeweiligen Sicherheitsupdates schlichtweg nicht eingespielt.

Ebenfalls im Mai verbreitete sich der E-Mail-Wurm "Homepage" nach dem altbekannten Muster per "bösartigem" Dateianhang. Wieder einmal haben reichlich Endanwender achtlos gestartet, was ihnen in die Mailbox flatterte: Der vage Hinweis auf eine "tolle Homepage, die man unbedingt gesehen haben muss" genügte. Wieder einmal blieb auch ein englischsprachiger Text von Bekannten unverdächtig, mit denen man üblicherweise auf Deutsch kommuniziert. Wie in den Vorjahren tappten E-Mail-Nutzer bereitwillig in die Falle, als hätte es nie einen Melissa- Virus oder LoveLetter-Wurm gegeben.

Beide Beispiele belegen organisatorische Schwachstellen: Bei den unfreiwilligen Tatgehilfen in betroffenen Unternehmen mangelte es entweder am notwendigen Wissen um die Sicherheit oder an der Zeit, die erforderlichen Maßnahmen umzusetzen. IT-Sicherheit kommt aber nicht als Komplettpaket in einer Schachtel ins Haus, auf der beispielsweise "Firewall" steht und die - einmal installiert - alle Probleme dauerhaft bereinigt. IT-Sicherheit funktioniert nur als stetiger Prozess, in dem sowohl die Technik als auch die Menschen immer auf dem neuesten Stand sind.

Und das kostet vor allem Zeit: um die einschlägigen Quellen zu studieren, in denen neue Sicherheitslöcher und Risiken erscheinen, um die eigenen Systeme zu prüfen und den neuen Erkenntnissen anzupassen, um aufgelaufene Protokolldateien auszuwerten, um neue Lösungen zu evaluieren, um Endanwender zu schulen und so weiter. Sicherheit ist nichts, was ein Kollege "so nebenbei" erledigen kann.

Sicherheit lässt sich auch nur schwer mit anderen Aufgaben koppeln, da Sicherheitsmaßnahmen häufig anderen Zielen im Unternehmensnetz zuwiderlaufen: Systemverwalter oder EDV-Leiter sollen vor allem dafür sorgen, dass ein System (möglichst kostengünstig) arbeitet und die Mitarbeiter schnell an die Daten kommen, die sie benötigen. Sicherheit geht hingegen üblicherweise auf Kosten der Geschwindigkeit und Bequemlichkeit. Datenschutzbeauftragte sollen im Sinne der Datensparsamkeit für eine minimale Datenerhebung sorgen. Sicherheit möchte hingegen möglichst viel protokollieren, um im Falle eines Fehlers oder Angriffs möglichst viele Spuren zur Verfügung zu haben.

Sicherheit ist nichts Absolutes, das überall um jeden Preis Vorrang hat. Risiken sowie Aufwand und Nutzen von Sicherheitsmaßnahmen sind sorgsam zu prüfen und gegeneinander abzuwägen. Das geht aber naturgemäß besser, wenn verschiedene Rollen und Blickwinkel von verschiedenen Personen wahrgenommen werden.

Auch die Chefs sollten dabei übrigens nicht außen vor bleiben: In Aktiengesellschaften sind sie durch das Gesetz zur Kontrolle und Transparenz (KonTraG) zum Risikomanagement verpflichtet. Aber auch Gesellschafter und Geschäftsführer anderer Unternehmen sollten sich verantwortlich fühlen. Denn nach Auffassung von Juristen könnte das KonTraG analog auch auf sie Anwendung finden.

Gesetzliche Verpflichtung hin oder her: Wer heute der Sicherheit keine ausreichende Aufmerksamkeit widmet, der muss sich eventuell morgen fragen lassen, warum geschäftskritische IT-Prozesse nicht ausreichend gesichert waren. Und der Hinweis auf einen überlasteten Administrator oder unwissenden Anwender dürfte dann wenig helfen. Dipl.-Inf. Norbert Luckhardt, Chefredakteur der KES, Zeitschrift für Kommunikations- und EDV-Sicherheit, Ingelheim.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%