Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Sicherheit im Netz/Kosten und Nutzen von Netz-Sicherheit


20.09.2002 - 

Zwischen Schutz und Verfolgungswahn

Das Thema IT-Sicherheit trifft seit einem knappen Jahr auch in einer breiten Öffentlichkeit auf Resonanz. Doch obwohl für Unternehmen moderne Sicherheitskonzepte überlebenswichtig sind, behandeln sie dieses Thema weiterhin stiefmütterlich. Auch hier stehen die Kosten im Vordergrund: Was zahle ich, was brauche ich unbedingt, was möchte ich gerne haben, was passt gut zum Unternehmen? Von Sylvia Nagel*

Unternehmen wie eBay, Cisco oder Prudential Insurance, aber auch Einrichtungen wie das Pentagon müssen jeden Tag tausende Angriffe auf ihre Unternehmensnetze abwehren. In den Studien, die sich ausführlich mit solchen Attacken beschäftigen - zum Beispiel der "CSI/FBI Computer Crime and Security Survey" - , ist ein deutlicher Anstieg des zu beziffernden finanziellen Schadens zu verzeichnen. Die Ursachen dafür liegen auf der Hand: IT-Systeme berühren heute fast alle Bereiche des täglichen Lebens, die Zahl netzbasierender Transaktionen steigt exponentiell an, und Angreifer verfügen über immer ausgefeiltere Methoden. Studien wie CSI/FBI zeigen nur die Spitze des Eisberges, denn einerseits lassen sich Schäden nur schwer quantifizieren und andererseits geben Unternehmen nur ungern zu, Opfer einer Hackerattacke geworden zu sein. Die Bedrohung durch Computerkriminalität muss deshalb in die wirtschaftliche Kalkulation einbezogen werden.

Lückenlose Sicherheitslösungen sind teuer und unter Investitionsgesichtspunkten nicht optimal: Ein schneller Return on Investment lässt sich damit nicht erreichen. Deshalb müssen sich effiziente Sicherheitssysteme durch eine langfristige Kosten-Nutzen-Relation auszeichnen. "Für eine kostenoptimale Netzwerksicherheit müssen drei Faktoren gegeneinander abgewogen werden", sagt Ralf Winkler, Fachreferatsleiter für Netzwerksteuerung beim IZB Informatik-Zentrum. "Ein hoher Qualitätsanspruch allein birgt das Risiko geringer Wirtschaftlichkeit. Legt man dagegen den Schwerpunkt ausschließlich auf die schnelle Implementierbarkeit, kann das kurzsichtige Handeln auf Kosten der Qualität unabsehbare Folgekosten verursachen." Allein auf wirtschaftliche Lösungen zu setzen könne zu Verlusten bei Qualität und Sicherheit führen.

Oftmals verleiten gerade knappe Budgets und der Wunsch, möglichst kurzfristig E-Business-Lösungen zu implementieren, viele Unternehmen zu halbherzigen Sicherheitslösungen. Dabei verlangt eine kostenoptimierte Sicherheitslösung nicht zwangsläufig die laufende Installation der neuesten und modernsten Lösungen. Viel wichtiger ist stattdessen die profunde Analyse der eigenen Verwundbarkeit, der möglichen Angriffspunkte und der Schwachpunkte im Sicherheitssystem, um mit der richtigen Technologie die entscheidenden Prozesse und die Organisation optimal zu gestalten.

Kosten und Nutzen abwägen

"Das IZB betreibt für seine Kunden Anwendungen im Bereich Online, Mobile Banking und Wertpapierhandelssysteme", erläutert Winkler. "Ausfälle, Engpässe oder erfolgreiche Angriffe könnten aufgrund des enormen Transkationsvolumens unabsehbare Folgen haben, deshalb muss ein tragfähiges Sicherheitskonzept mit Ausfallsicherheit und hoher Verfügbarkeit Hand in Hand gehen." Angesichts des sich verschärfenden Wettbewerbs seien besonders Banken und Finanzinstitute gezwungen, ihre Kosten-Nutzen-Relation beim Einsatz von Sicherheitslösungen zu optimieren.

Wichtigste Voraussetzung für ein erfolgreiches Sicherheitskonzept ist zu wissen, woher ein Angriff kommen kann. Spektakuläre Angriffe haben Hackern eine schillernde Berühmtheit beschert und zu einer deutlichen Wahrnehmungsverzerrung geführt, denn sie machen nur einen kleinen Teil der Angriffe aus. Für Systemsicherheit verantwortliche IT-Profis brauchen eigentlich nur in den Spiegel zu schauen, wenn sie auf der Suche nach ihrem ärgsten Feind sind. Laut der jüngsten KES-KPMG-Sicherheitsstudie 2002 steht an erster Stelle eindeutig menschliches Versagen, gefolgt von Datenunfällen durch Technikfehler. Die Gartner Group schätzt, dass 80 bis 90 Prozent aller Sicherheitslücken bestehen, weil Software falsch konfiguriert oder nicht ausreichend gepatcht wurde und sie damit als Angriffsziel für Viren, Würmer und Trojanische Pferde prädestiniert ist. Nach vorsichtigen Schätzungen von Computer Economics belief sich der weltweite Schaden von "I Love You", der sich als "Wurm" von PC zu PC fortsetzte und weltweit die Server vieler Unternehmen für einige Stunden lahm legte, auf 8,75 Milliarden Dollar.

Vor diesem Hintergrund sind Investitionen in Sicherheitstechnologie notwendig - Virenscanner und Firewalls sind weit verbreitete, ausgereifte und nützliche Tools, die bereits die meisten Angriffe abfangen, bevor ein Schaden entsteht. Aber diese Tools sind nur so gut wie das Sicherheits-Management selbst - ohne die richtige Konfiguration und kontinuierliche Checks und Anpassungen verlieren sie schnell ihre Wirksamkeit.

Ein wirklich effizienter Einsatz von Sicherheitstechnologien ist nur auf Basis einer genauen Gefahrenanalyse möglich. Um eine optimale Ausnutzung der verschiedenen Tools zu erreichen, müssen sie zusätzlich in ein umfassendes Sicherheitskonzept eingebunden sein.

Das Ziel der Gefahrenanalyse ist es, die einzelnen Risiken möglichst exakt zu quantifizieren und ihre Eintrittswahrscheinlichkeit sowie ihr Schadenspotenzial zu ermitteln. Die Experten für IT-Sicherheit in vielen Unternehmen unterschätzen oft ihre eigene Leistungsfähigkeit, obwohl sie aufgrund ihrer Ausbildung und der laufenden Beschäftigung mit Sicherheitsfragen die besten Angreifer wären. Wer einfach die Perspektive wechselt und im Geiste zum Cyberkriminellen mutiert, kann sich viele Fragen selbst beantworten (siehe Kasten).

Künftige Bedrohungen

Um potenzielle Bedrohungen zu identifizieren, sollte auch eine Szenarienanalyse, also die Untersuchung künftiger Entwicklungen von Bedrohungen, durchgeführt werden. Dabei werden unerwünschte Gegebenheiten, Ereignisse und Vorgänge zu verschiedenen Szenarien kombiniert, um mögliche Schäden zu ermitteln. "Die genaue Quantifizierung von bisherigen und künftig möglichen Schäden ist das beste Tool, um die Bedeutung von Sicherheit für das eigene Unternehmen zu definieren", erklärt Winkler. "Was bedeutet es für das Unternehmen, wenn Daten manipuliert werden oder Ressourcenengpässe, etwa durch DoS-Attacken, den reibungslosen Ablauf behindern? Welche Kosten entstehen, wenn das Netzwerk oder Teile davon ausfallen? Bei großen Banken kann sich der Schaden schon innerhalb weniger Minuten auf viele Millionen Dollar belaufen." Neben dem akuten Schaden sind auch Folgeschäden durch verlorene Marktanteile an Konkurrenten oder Vertrauensverlust bei den Kunden nicht zu unterschätzen.

Viele Faktoren wirken zusammen

Sicherheitstechnologien befinden sich im permanenten Wandel. In keinem anderen Bereich werden Fehler und Lücken so schnell entdeckt und von den Softwareherstellern mittels Patches wieder beseitigt. Um Technologien effektiv und kostenoptimal einzusetzen, bedarf es der ständigen Marktbeobachtung und kritischen Überprüfung der eigenen Sicherheitskonzepte. Jedes Unternehmen sollte sich darüber im Klaren sein, dass der Großteil der Angriffe durch das Zusammenwirken der Faktoren Mensch und Technik erfolgt. Der Einsatz neuer Technologien allein wird deshalb nicht erfolgreich sein. "Biometrie und PKIs gehören zu den neueren Hoffnungsträgern im Bereich Security. Aber isoliert betrachtet bringen sie nicht unbedingt Sicherheit. Für den Schutz nach innen gibt es drei Grundfaktoren", erläutert Winkler, "Identifikation, Authentisierung und Autorisierung. Nur wenn sie in ein Gesamtkonzept gebracht werden, erzeugen sie Sicherheit. Denn was nützt es, einen Nutzer zu identifizieren, wenn man seine Absichten nicht kennt. Im Übrigen hatten nahezu alle Hijacker des 11. September gültige IDs."

Sicherheitsdenken etablieren

Die größte Herausforderung ist es, ein bewusstes Sicherheitsdenken im Unternehmen zu etablieren. Dazu sollte jedes Unternehmen Verantwortlichkeiten exakt festlegen und direkt an die Unternehmensführung reporten lassen. Die vorhandenen Sicherheitslösungen effektiv auszunutzen setzt die genaue Kenntnis über deren Möglichkeiten voraus. Dies wiederum erfordert die zeit- und kostenaufwändige Weiterbildung des eigenen Personals. "Die Sicherheitsstrategie eines Unternehmens erfordert die kontinuierliche Anpassung an die Geschäftsprozesse", resümiert Winkler. "Sicherheit kann nur durchgesetzt werden, wenn das Konzept klar und einfach ist. Alle Mitarbeiter müssen die Notwendigkeit und den Nutzen von Sicherheitskonzepten erkennen und täglich ''Sicherheit denken''. Das beginnt beim eigenen Passwort. Andernfalls wird man sie als hinderlich empfinden und fallen lassen." (sra)

*Sylvia Nagel ist freie Autorin in München.

Die Hacker-Perspektive

- Was/wer stellt eine mögliche Gefahr da?

- Warum sollte ich genau dieses Unternehmen angreifen, was ist das lukrativste Ziel?

- An welchen Punkten kann ich angreifen?

- Welche Methode erscheint erfolgversprechend?

- Welche Ressourcen benötige ich?

Abb: Welche Folgen hat eine Sicherheitsverletzung?

Neben einem Imageschaden bringen Sicherheitsvorfälle oft empfindliche finanzielle Einbußen mit sich. Quelle: IDC-Umfrage unter europäischen CIOs