Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

31.08.2001 - 

Ohne organisatorische Maßnahmen bleibt die beste Technik wirkungslos

Das größte Sicherheitsrisiko ist der Mensch

Lösungen für die IT-Sicherheit - beispielsweise Firewalls, Verschlüsselungs-Tools und Virenscanner - werden immer leistungsfähiger. Aber Hard- und Software allein können nicht für Sicherheit sorgen. Gefragt sind organisatorische Lösungen, die Anwender und Betreiber einbeziehen. Von Bernhard Esslinger*

Wie lässt sich die mit Sicherheitsschloss und Alarmanlage gesicherte Eingangstür zu einem Unternehmensgebäude überwinden? Claudia Grimm von der Security-Unternehmensberatung Secunet kennt eine einfache Lösung: "Ich warte, bis jemand hineingeht und übernehme dann einfach die Tür, bevor sie ins Schloss fällt." Mit diesem simplen Trick hat sich Grimm schon Zugang zu manchem Bürogebäude verschafft - selbstverständlich im Auftrag des Hausherrn. Ist die Beraterin erst einmal im Gebäude, stehen ihr die anderen Türen meist offen. "Oft ist es kein Problem, Disketten und CDs einzustecken oder sich an den Rechnern zu schaffen zu machen", weiß sie. "Erschreckend ist immer wieder, wie kooperativ sich viele Leute verhalten."

PIN klebt am MonitorDas Problem ist symptomatisch für die gesamte IT-Sicherheit. Lösungen, die Schutz vor Hackern, Spionen, Lauschern und unberechtigten Nutzern bieten sollen, gibt es inzwischen mehr als genug, und viele haben ein technisch hohes Niveau erreicht. Doch selbst das beste Werkzeug nutzt nicht viel, wenn es nicht oder falsch eingesetzt wird.

Die Datenverschlüsselung liefert hierfür ein Beispiel: Eine wirksame Waffe gegen ungebetene Lauscher ist eine Public-Key-Infrastruktur (PKI). Dahinter verbirgt sich eine (meist organisationsinterne) Infrastruktur, die dem Anwender die Verschlüsselungswerkzeuge zur Verfügung stellt. Die Auswahl an PKI-Lösungen könnte kaum größer sein; allein für E-Mails gibt es mindestens 20 PKI-fähige Produkte. Doch leider finden sich im Zusammenhang mit PKIs ähnliche Probleme wie mit der Eingangstür, die nicht schnell genug geschlossen wird: Häufig gehen wichtige Mitteilungen im Klartext über die Leitung, weil der Absender das Verschlüsseln zu umständlich findet. Geheimnummern, die am Monitor kleben, und ein sorgloser Umgang mit Chipkarten sind weitere Probleme, von denen PKI-Administratoren berichten.

Diese Erfahrungen lassen sich auf fast alle Bereiche der IT-Sicherheit übertragen. Grimm kennt die Probleme zur Genüge: "Das größte Sicherheitsrisiko ist nun einmal der Mensch."

Um dem menschlichen Faktor Rechnung zu tragen, spielen neben der notwendigen Technik organisatorische Maßnahmen bei der Konzeption von Sicherheitslösungen eine wichtige Rolle. Sie müssen im Sicherheitskonzept des Unternehmens fest verankert sein. Ein Beispiel für ein solches Konzept bietet etwa die Deutsche Bank. Es basiert auf einem dreistufigen unternehmensweiten Sicherheits-Framework, das sich in Form einer Pyramide veranschaulichen lässt.

An der Spitze steht eine Information Security Policy (ISP), die vom Bereich IT-Security des Unternehmens entwickelt und vom Vorstand unterschrieben wurde. Die ISP legt Richtlinien fest, ohne Details zu beschreiben. Beispielsweise ist darin etwa festgelegt, dass alle Informationssysteme und Prozesse einen auch für die Security verantwortlichen Owner haben und dass sie sowohl durch eine logische als auch durch eine physikalische Zugangskontrolle gesichert werden müssen.

So einfach wie möglichEine produktunabhängige Präzisierung der ISP findet sich in den Generic Security Standards (GSSs), die die mittlere Stufe der Pyramide bilden und ebenfalls vom Bereich Information Security erarbeitet wurden. Darin ist etwa eine Minimallänge für Passwörter festgelegt. Die Umsetzung der GSS erfolgt in den Fachabteilungen - in Form von Product Operation Manuals (POMs). Diese bilden die Basis der Pyramide. Darin werden produktspezifische Maßnahmen wie etwa Backup-Intervalle oder die Art der Logdaten-Auswertung definiert.

Einen ähnlichen Top-down-Ansatz präferieren auch andere Konzerne. Beispielsweise haben die Abteilungen Konzernsicherheit und Konzerndatenschutz der Deutschen Telekom eine Informationsschutz-Richtlinie erarbeitet, die in zusätzlichen Bestimmungen präzisiert wird. Ein derartiges Sicherheitskonzept in Form einer Pyramide gilt demnach als bewährte Praxis.

Ein wichtiger Faktor für den Erfolg von organisatorischen Sicherheitsmaßnahmen ist die Sensibilisierung der Beteiligten. Insbesondere den Anwendern müssen oft erst einmal die Gefahren beim Umgang mit PC und Internet klargemacht werden.

Das Bewusstsein schärfen"Bei der Deutschen Bank haben wir das Problem der Anwender-Sensibilisierung unter anderem dadurch gelöst, dass jeder neue Mitarbeiter nach der Einstellung eine Einweisung in Security-relevante Themen erhält", berichtet Vorstandsmitglied Hermann-Josef Lamberti. Zudem werde in Anwenderschulungen stets die Sicherheit der jeweiligen Hard- und Software berücksichtigt. Zusätzlich unternimmt die Bank regelmäßig Security-Awareness-Kampagnen. Das Verständnis für IT-Security vor allem bei den Anwendungsentwicklern und jungen Mitarbeitern wird gefördert, indem die Bank an allgemein verfügbaren Tools zum spielerischen Erfahren von Kryptographie (www.cryptool.de) mitentwickelt. "Jedem Verfasser einer E-Mail muss klar sein, dass seine Nachricht den Charakter einer Postkarte hat und damit unsicher ist", fordert Lamberti. Dass er keine unbekannte Software aus dem Internet herunterladen und starten dürfe, gehöre ebenfalls zur "Allgemeinbildung" jedes PC-Anwenders.

Eine wichtige Voraussetzung dafür, das Bewusstsein der Anwender zu schärfen, ist die Benutzerfreundlichkeit von Sicherheitssystemen. In der Deutschen Bank ist dieses Problem erkannt. "Wir streben an, Sicherheitslösungen so transparent und einfach wie möglich zu machen", bestätigt Lamberti, "denn sobald Sicherheit lästig wird, lässt die Kooperationsbereitschaft der Anwender deutlich nach." Aus diesem Grund gehören heutzutage Verschlüsselungslösungen mit grafischer Benutzeroberfläche und in das Dateisystem integrierte Virenscanner zum Standard. Hilfreich sind auch multifunktionale Chipkarten, die vom Anwender gleichzeitig als Unternehmensausweis, Zahlungsmittel in der Kantine und Verschlüsselungswerkzeug genutzt werden können.

Mit dem Appell an die Vernunft der Anwender ist es jedoch nicht getan. Vielmehr muss der Eigeninitiative der Anwender durch entsprechende Bestimmungen inklusive disziplinarischer Maßnahmen nachgeholfen werden.

Bei der Deutschen Bank sind derartige Vorschriften selbstverständlich - genauso wie bei der Deutschen Telekom. "Durch gesetzliche Bestimmungen sind wir zu organisatorischen Sicherheitsmaßnahmen verpflichtet", berichtet Thomas Königshofen, Konzern-Datenschutzbeauftragter des ehemaligen Staatsbetriebs. "Daher verpflichten wir unsere Mitarbeiter alle zwei Jahre auf das Fernmelde- und Datengeheimnis." Wer Kundendaten unzulässigerweise an Dritte weitergibt oder seinen PC für privates Downloading aus dem Internet missbraucht, muss mit disziplinarischen Folgen bis zur Kündigung rechnen.

Aber es reicht selbstverständlich nicht, nur die Anwender auf die Einhaltung der Sicherheitsbestimmungen zu verpflichten. Auch Administratoren und am Aufbau beteiligte Projektteams müssen sich daran halten. Bei externen Partnern sollten entsprechende Sicherheitsklauseln in die Verträge aufgenommen werden. Sicherheitsbewusste Großunternehmen unterhalten zusätzlich Teams, die alle geplanten IT-Systeme nach Sicherheitsaspekten analysieren, bevor sie den Produktivbetrieb aufnehmen.

Eine ideale Ergänzung zu solchen Sicherheitsbestimmungen sind Produkte, die deren Durchsetzung erzwingen und damit dem Anwender erst gar keine Chance zur unerlaubten Handlung lassen. Ansätze dafür gibt es genügend: Viele E-Mail-Lösungen lassen sich so vorkonfigurieren, dass ein unverschlüsseltes Versenden für den Anwender nicht mehr möglich ist. Virenscans werden in zahlreichen Unternehmen zentral und/oder mit Hintergrundscannern auf dem Desktop praktiziert, wodurch verseuchte Inhalte den Anwender erst gar nicht erreichen. Möglicherweise gefährliche Anhänge sind oft unternehmensweit deaktiviert.

Kosten sind kein HindernisNeben Sensibilisierung und Verpflichtung gibt es noch ein drittes Standbein für die organisatorische Sicherheit: Sicherheitsüberprüfungen (Audits), die die Einhaltung der geltenden Bestimmungen kontrollieren. So werden beispielsweise bei der Deutschen Telekom alle Bestandteile der Unternehmenssicherheit, die für Schutz und Security der Daten wesentlich sind, einmal pro Jahr auditiert. "Jede Organisationseinheit muss beispielsweise mitteilen, wie viele Mitarbeiter bereits in Datenschutz- und Sicherheitsfragen geschult worden sind, und welche Mitarbeiter bestimmte Sicherheitswerkzeuge einsetzen", berichtet Königshofen. Dabei werden auch externe Partner einbezogen.

Derartige theoretische Erhebungen genügen jedoch nicht. Vielmehr interessiert sich der Konzern-Datenschutzbeauftragte dafür, ob das erworbene Wissen und die zur Verfügung stehende Technik überhaupt genutzt werden. Ein Audit fragt deshalb auch danach, an welchen Arbeitsplätzen einer bestimmten Organisationseinheit die vorhandenen Verschlüsselungs-Tools tatsächlich zum Einsatz kommen.

Auch bei der Deutschen Bank sind Audits gängige Praxis: Dazu Clemens Jochum, CIO für den Konzernbereich PCAM: "Es gehört zur Aufgabe unserer IT-Revision, die Einhaltung des Security-Frameworks zu kontrollieren." Billig ist das nicht. "Für den Aufbau eines zentralen Berechtigungsmanagement mussten mehrere Mitarbeiter erst einmal monatelang durch die Welt reisen und in unseren Niederlassungen die entsprechenden Berechtigungen aufnehmen", berichtet Jochum. Im Vergleich dazu sei die technische Umsetzung anschließend deutlich weniger aufwändig gewesen. Zudem bedeuten die hohen Kosten für den IT-Chef ohnehin kein Hindernis: "Unsere Sicherheit ist uns das einfach wert."

*Bernhard Esslinger ist Direktor bei der Deutschen Bank und arbeitet im Bereich Global Technology in Eschborn.

Abb.1: Das Standardkonzept

Die drei Standbeine der organisatorischen Sicherheitsmaßnahmen sind Sensibilisierung, disziplinarische Verpflichtung und Audits. Quelle: Esslinger

Abb.2: Sicherheits-Pyramide

An der Spitze der Deutsche-Bank-Lösung steht eine unternehmensweite Policy, die weiter unten präzisiert wird. Quelle: Esslinger