Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

30.07.1999 - 

Internet-Sicherheit/Vier Schritte zur Stärkung der inneren Sicherheit im Unternehmen

Bei Risiken und Nebenwirkungen hilft nur eine gute Strategie

Die Expansion der Web-Technologie in Form von Internet, Intranets und Extranets führt den Unternehmen die Notwendigkeit verläßlicher Sicherheitsmechanismen immer drastischer vor Augen. Dabei droht die größte Gefahr nach wie vor von innen - in Form von Mißbrauch durch Mitarbeiter oder mangelhafter Infrastruktur. Thomas Krampert* hat einen Leitfaden zu höchstmöglicher Sicherheit erstellt.

Je mehr das öffentliche Web in all seinen Ausprägungen als Kommunikationsplattform für das Unternehmensgeschäft dient, um so mehr wollen die sensiblen Geschäftsressourcen vor unberechtigten Zugriffen von außen abgesichert sein. Der Drang der Unternehmen ins E-Business und den E-Commerce trägt zusätzlich zu einer erhöhten Gefährdung durch externe Angreifer bei. Doch trotz expandierendem Web: Die größte Gefahr für die Sicherheit von Systemen, Verbindungen sowie System-, Anwendungs- und Benutzerdaten droht weiterhin von innen. Das liegt auch an der Öffnung des Unternehmens zum Web: Können doch auch von den Mitarbeitern Schlupflöcher nach außen mißbraucht oder ausgenutzt werden und dadurch wiederum Einstiegslöcher für Attacken auf das eigene Sicherheitssystem entstehen.

Sicherheit gibt es daher nicht von der Stange. Um sie zu erreichen, führt für die Unternehmen kein Weg an einer verläßlichen Strategie vorbei, mit der das generelle interne Sicherheitsniveau festgelegt wird. Zumal damit gleichzeitig die richtigen Weichen für einen verläßlichen Schutz der unternehmensinternen Systemressourcen gegenüber externen Zugriffen gestellt werden. Dem hohen Stellenwert der inneren Sicherheit entsprechend sollte die Verantwortung für diese Strategie auf höchster Management-Ebene angesiedelt sein. Denn letztlich geht es dabei um die Vitalität des eigenen Geschäfts, eventuell sogar um das geschäftliche Überleben. Den Projektarm der Geschäftsführung sollte eine zentrale Koordinierungsstelle bilden, die alle für die innere Sicherheit erforderlichen Projektaktivitäten organisiert und koordiniert. Diese Koordinierungsstelle sollte später auch im laufenden Betrieb auf die permanente Aktualität der etablierten Sicherheitsmechanismen und auf die Einhaltung der Sicherheitsrichtlinien pochen.

Der erste Schritt zu einer verläßlichen Sicherheit von innen ist eine genaue Standortbestimmung des Unternehmens. Mit ihr gilt es, die IT-Strategie, Organisation, die Schnittstellen innerhalb des Kommunikationssystems, den Sicherheitsbedarf sowie die Schutzwürdigkeit von einzelnen Systemen, Verbindungen und Ressourcen transparent zu machen. Nur wenn diese fünf Etappen mit einer detaillierten Analyse durchlaufen werden, ist die Basis für den nächsten Schritt, eine verläßliche Risikoanalyse, geschaffen.

Ohne eine Analyse der IT-Strategie, des Status quo und der geplanten Ausrichtung, wird jedes Sicherheitskonzept am Bedarf vorbeilaufen. Dazu muß dieser Analyse eine Inventarisierung aller im Unternehmen eingesetzten IT-Komponenten vorangehen. Ebenso wichtig als Basis für ein tragendes Sicherheitskonzept ist das genaue Nachvollziehen der eigenen Organisation, der Geschäftsabläufe darin und der Personen, die im einzelnen an diesen Prozessen partizipieren. Diese Analyse wird um so zeitintensiver ausfallen, je mehr System-, Anwendungs- und Benutzerdaten im Netz verteilt gehalten werden. Im Rahmen der dritten Etappe der Standortbestimmung müssen die Schnittstellen innerhalb des Kommunikationssystems sowie die Art und der Umfang des Datenaustauschs, der darüber abgewickelt wird, genau nachvollzogen werden. In einer zunehmend vernetzten Welt kann diese Schnittstellen-Analyse nicht gründlich genug ausfallen. Kann doch theoretisch jeder Mitarbeiter von seinem Arbeitsplatz aus auf jedes beliebige System im Netz mit den darauf angesiedelten Ressourcen zugreifen. Um dem tatsächlichen Bedarf an interner Sicherheit auf die Spur zu kommen, führt für die Projektverantwortlichen zudem kein Weg an einer generellen Ermittlung des Sicherheitsbedarfs vorbei.

Wie hoch im einzelnen dieser Bedarf bei den System-, Anwendungs- und Benutzerdaten ausfällt, das ist letztlich von vielen Faktoren abhängig:

-Von der Branche, innerhalb derer sich das Unternehmen bewegt,

-von der Geschwindigkeit, mit der Leistungen erbracht werden müssen,

-vom Image des Unternehmens,

-von der Abhängigkeit von Außenbeziehungen,

-vom Aktionsradius des Unternehmens: mehr national oder international,

-von der aktuellen Bedrohungslage (Streiks, Anschläge etc.),

-von der Qualifikation der Mitarbeiter, sicherheitsrelevante Sachverhalte zu durchschauen sowie

-vom Grad der Fluktuation: Mit dem Ausmaß des Mitarbeiterwechsels steigt auch die Wahrscheinlichkeit des Mißbrauchs oder der Manipulation von Ressourcen.

Die Ermittlung der Schutzwürdigkeit von einzelnen Systemen, Schnittstellen und Ressourcen markiert dann im Anschluß die letzte Etappe der Einstiegsanalyse, bevor im nächsten Schritt die Risikoanalyse angepackt werden muß. Dazu gilt es, die einzelnen Komponenten im Rahmen einer Bedrohungsanalyse unter verschiedenen Blickwinkeln zu bewerten:

-Verlust der Verfügbarkeit: Inwieweit ist das eigene Geschäft betroffen, wenn einzelne Systeme, Schnittstellen und Ressourcen durch aktive oder passive Angriffe (beispielsweise Bedienungsfehler) ausfallen?

-Verlust der Integrität: Inwieweit wird das eigene Geschäft in Mitleidenschaft gezogen, wenn spezifische Ressourcen (System-, Anwendungs- oder Benutzerdaten) durch aktive oder passive Angriffe manipuliert oder vernichtet werden?

-Verlust der Vertraulichkeit: Inwieweit leidet das eigene Geschäft darunter, wenn spezifische System-, Anwendungs- oder Benutzerdaten in fremde Hände geraten?

Die Ergebnisse der Bedrohungsanalyse für jedes einzelne Objekt sowie die daraus resultierenden Wertverluste müssen im zweiten Projektschritt mittels einer Risikoanalyse beurteilt werden. Dieser Projektphase kommt zudem die Aufgabe zu, alle Risikopotentiale zu systematisieren und zu kategorisieren sowie definierten Schutzbereichen zuzuordnen. Für die Ermittlung der Risiken an den einzelnen Objekten gibt es kein allgemeingültiges Rezept. Letztlich müssen individuelle Bewertungsverfahren angewandt werden, um das Gefahrenpotential an den einzelnen Stellen des Netzes annähernd bestimmen zu können. Die Gewichtung und Skalierung der einzelnen Risiken sollte von IT-Sicherheitsbeauftragten im Zusammenspiel mit den Benutzern beziehungsweise Systemadministratoren vorgenommen werden.

Trotz aller Gründlichkeit müssen sich die Projektverantwortlichen darüber im klaren sein, daß die Risikoanalyse immer nur eine Momentaufnahme des Status quo sein kann. Durch neue (Netzwerk-)Betriebssysteme, Anwendungen, Softwarewerkzeuge, veränderte Netzstrukturen und Betriebskonzepte sowie zusätzliche Lern- und Einarbeitungsprozesse können sich die Risikolagen im Netz und damit die Einträge im Risikoportfolio in kurzer Zeit ändern.

Im Rahmen des dritten Projektschrittes, dem Sicherheitskonzept, geht es nun darum, die internen Sicherheitsrisiken auf ein erträgliches Maß zu verringern. Denn vollständige Sicherheit ist eine Illusion und wird erst recht in Zukunft mit Blick auf das expandierende Web eine Illusion bleiben. Generell gilt:

-Störungen dürfen nur in Teilbereichen und zudem nur zeitlich begrenzt auftreten.

-Angriffsmöglichkeiten durch eigenes Personal müssen erschwert werden, um Schäden zu verhindern.

-Kommt es dennoch zu Schäden, müssen sie nachvollziehbar und dem Verursacher zuweisbar sein.

Jede dieser Maßnahmen muß zu einem Sicherheitszugewinn führen, der in einem wirtschaftlichen Verhältnis zum Aufwand steht. Wichtig für eine verläßliche technische Sicherheit ist, daß sämtliche Netzschichten, von der physikalischen über die logische Ebene, den Transportfunktionen bis hin zu den Benutzer-Schnittstellen, in das Sicherheitskonzept einbezogen werden.

Dort, wo der organisatorische und/oder technische Sicherheitsaufwand offensichtlich nicht lohnt, muß die zweite Stufe in Form von Alarmplänen zum Zuge kommen. Vor allem organisatorische Vorkehrungen wie Sensibilisierung und Ausbildung der Mitarbeiter sowie technische Vorkehrungen wie Softwarewerkzeuge zur Früherkennung und Diagnose von Gefahrensituationen, gezielte Redundanz von Daten und Systemen bis hin zu automatisierten Backup-Verfahren zur verläßlichen Restauration von Datenbeständen sind dazu die adäquaten Mittel. Was dann noch als Restrisiko bleibt, muß wiederum einer Kosten-Nutzen-Analyse unterzogen werden, um danach entscheiden zu können, ob die Firma mit dieser Unsicherheit ohne nachhaltige Auswirkungen auf das Geschäft leben kann.

Wie das Unternehmen letztlich produkttechnisch sein Konzept für die interne Sicherheit ausgestaltet, ist nicht nur von der Höhe des Gefahrenpotentials, sondern auch von einer mehr oder weniger progressiven Sicherheitsstrategie abhängig. Die technischen Mittel reichen vom einfachen Paßwortschutz über eine starke Authentifizierung beziehungsweise Autorisierung mittels Token oder Smardcard bis hin zum Single-Single-on-Verfahren mit nur einer Paßwort/User-ID-Kombination für den Eintritt in alle zulässigen Anwendungswelten. Hierbei entfällt das Risiko, daß durch den Umgang mit zu vielen Paßwörtern Sicherheitslöcher im IT-System entstehen.

Zugangsschutz durch individuelle Regeln

Dieser Ansatz paßt für progressiv denkende Unternehmen auch zum Konzept der Public-Key-Infrastructure (PKI), mit dem Zugriffe verläßlich über digitale Zertifikate gesteuert werden können. Er setzt freilich eine meist aufwendige Integration der bestehenden Verzeichnissysteme voraus, in denen die Benutzerprofile mit den individuellen Sicherheitsregeln hinterlegt sind. Mit welcher Stärke der Zugangsschutz an den einzelnen Systemen letztlich auch ausgeprägt wird: Den Benutzern sollten an ihrem PC nur die Oberflächen eingeblendet und die Softwarewerkzeuge zur Verfügung gestellt werden, die sie für ihre tägliche Arbeit im Netz brauchen.

Zusätzlich zum abgesicherten Zugriff auf einzelne Systeme können Daten auf besonders sensiblen Verbindungen synchron verschlüsselt werden, mittlerweile mit einer Schlüssellänge von bis zu 128 Bit. Zudem können leistungsfähige Firewall-Systeme am Web dazu beitragen, daß einzelne Mitarbeiter oder Mitarbeitergruppen bestimmte Protokolle wie FTP (File Transfer Protocol) oder Telnet als Kommunikationsstraßen durchs Web nicht nutzen können.

Eines steht auf jeden Fall außer Frage: Auch mit der Umsetzung eines wohldurchdachten Maßnahmenkatalogs wird im Unternehmen immer ein Restrisiko verbleiben, das mit einem vertretbarem wirtschaftlichen Aufwand nicht weiter reduziert werden kann. Zudem "lebt" das Netz und wartet mit der Zeit mit neuen Sicherheitsanforderungen auf. Hier ist letztlich das Management gefordert, an den einzelnen Objekten im Netz permanent Schadenshöhe und Kostenaufwand abwägen zu lassen, um gegebenenfalls an den richtigen Stellen nachzubessern.

Verwaltung

Zu einem intelligentem Schutz der Systemressourcen gehört auch, daß die Verwaltungskonzepte für die eingesetzten (Netzwerk-)Betriebssysteme, Anwendungen, Firewall-Systeme, Kopplungssysteme, Access- und Web-Server richtig etabliert werden. Immerhin übernehmen diese Administratoren die Definition von Benutzerprofilen, Proxies, Filtereinstellungen und Access-Listen, die den technischen Kern des Sicherheitskonzeptes bilden. Damit haben sie im schlimmsten Falle auch die Möglichkeit, das gesamte Sicherheitskonzept zu manipulieren. Dementsprechend müssen Administrationsrechte innerhalb der einzelnen Systemwelten gestaffelt werden.

Nur ein besonders versierter und vertrauenswürdiger Administrator innerhalb dieser Welt sollte die übergreifenden Rechte eines Superadministrators innehaben. Prinzipiell müssen - zur eigenen Sicherheit des Unternehmens - alle Administratortätigkeiten auf Servern und sonstigen sensiblen Systemen automatisch protokolliert werden.

Angeklickt

Trotz Internet drohen die größten Gefahren für die Sicherheit von Systemen, Verbindungen und Daten weiterhin von innen. Die Öffnung zum Web schafft Schlupflöcher nach außen, die beispielsweise von Mitarbeitern mißbraucht werden können. Dadurch entstehen wiederum Einstiegslöcher für Attacken auf das eigene Abwehrsystem. Eine verläßliche Sicherheitsstrategie ist das einzig wirksame Gegenmittel. Sie sollte aus Standortbestimmung, Risikoanalyse, Konzept sowie Umsetzung bestehen und auf höchster Management-Ebene angesiedelt sein.

*Thomas Krampert ist Leiter des Kompetenz-Center IT-Sicherheit bei der Management- und Technologieberatung Gora, Hecken & Partner in Sulzbach bei Frankfurt am Main.