Unternehmen erhöhen zunehmend die Flexibilität ihrer Mitarbeiter. Dafür setzen sie auf Laptops, PDAs, Smartphones und USB-Sticks. Doch die mobilen Endgeräte verursachen ein Bündel von Sicherheitsrisiken. Und diese machen laut einer aktuellen Studie von Mummert Consulting 60 Prozent der befragten deutschen Firmen zu schaffen. Was kann der Fachhandel den Unternehmen raten, um ihre IT besser zu schützen? Eine Episode aus der griechischen Mythologie macht deutlich, worauf es ankommt und wie Fehler (siehe Kasten) vermieden werden können.
Bedrohung aus der Luft
Die Bedrohung für die Unternehmens-IT geht heute vor allem von der unachtsamen Nutzung mobiler Technologien aus, wie zum Beispiel WLAN, Bluetooth oder UMTS. Die trojanischen Pferde haben fliegen gelernt. Laut einer aktuellen Umfrage des Verbandes der deutschen Internetwirtschaft, Eco, möchten 80 Prozent der befragten Fach- und Führungskräfte von unterwegs auf das Firmennetz zugreifen. 56 Prozent verweisen jedoch auf Mängel in der Sicherheit. Deshalb reicht es heute längst nicht mehr aus, nur eine Firewall oder einen Viruswall zu installieren, die lediglich gegen Frontalangriffe aus dem Internet schützen.
Gerade der Bereich des Unternehmensnetzwerkes, in dem die Anwender arbeiten, ist heute zunehmend gefährdet. Denn der Mitarbeiter surft zum Beispiel mit dem PDA im Internet und synchronisiert ihn dann über die USB-Schnittstelle seines Rechners mit Outlook - vorbei an Firewall und Viruswall.
Ein umfassendes Sicherheitskonzept, das in die Betriebsprozesse eingebettet ist, wird für Unternehmen heute unabdingbar. Dafür bietet sich ein Konzept der "Sicherheit in der Tiefe" an, zu dem man sich ein Schalenmodell vorstellen kann.
Mauern errichten
Den Kern bildet die Sicherung des Netzwerkzuganges, der schon heute in den meisten Firmen durch eine Firewall und eine Viruswall gesichert ist. Die zweite Schicht bezieht sich auf die Einschränkung der Kommunikation der Komponenten: Ein Virus möchte sich auf das gesamte Unternehmensnetzwerk verbreiten, deshalb müssen ihm die Kommunikationswege so weit wie möglich versperrt werden. Dafür bietet sich eine Segmentierung des Netzwerkes an. Für den Backendbereich wäre es ein vernünftiger Ansatz, nur bestimmte Ports freizugeben, damit beispielsweise ein hoch sensibles ERP-System geschützt wird. Nur Systeme, die unbedingt miteinander in Verbindung stehen müssen, dürfen also über dedizierte Ports miteinander kommunizieren. So verbreitet sich ein Virus nicht ungehindert auf dem kompletten Netzwerk. Eine weitere Möglichkeit bietet die Einführung eines "Quarantäne"-Segments im Einwahlbereich des Unternehmensnetzwerkes: Geräte, die sich ins System per Remote Access einwählen wollen, werden dort geprüft. Nur wenn sie aktuelle Sicherheitsanforderungen wie Antivirensoftware und Patches besitzen, lässt das System sie auf den restlichen Bereich des Unternehmensnetzes zugreifen.
Selbstbewaffnung
Die dritte Schicht des Sicherheitsmodells bildet das so genannte Hardening, die "Selbstbewaffnung der Systeme". Hierzu gehört ein ganzes Maßnahmenbündel: Zum einen sind die Beschränkung auf lokale Rechte und ein regelmäßiges Update der Antivirensoftware unerlässlich. Aber auch viele Standarddienste und Applikationen der Betriebssysteme bieten Angriffsfläche. Hier lässt sich vieles mit bereits vorhandenen Möglichkeiten optimieren. Stichworte sind hier Service- und Application-Lockdown. Ein zentralisiertes Patch-Management hilft, Sicherheitslücken im Betriebssystem oder in den Standardprogrammen zu beheben. Die mobilen Endgeräte, die über WLAN und Bluetooth angeschlossen sind, müssen so sicher konfiguriert sein, dass es nicht zu Ad-hoc-Netzwerken kommen kann. Denn wird ein Netz mit fremden Rechnern aufgebaut, drohen Datenklau und die Verbreitung von Viren. Fortschrittliche Authentisierungsmethoden verhindern zudem, dass sich Würmer und Trojaner eine fremde Identität aneignen. Der Trend geht hier zur zertifikatsbasierten Authentisierung: Benutzer und Serversysteme identifizieren sich und verschlüsseln ihren Datenverkehr auf Basis von Zertifikaten.
Wachsamkeit erhöhen
Die äußerste Schicht des Sicherheitsmodells betrifft die Prozesse. Denn die beste Sicherheitstechnologie ist unwirksam, wenn sie nicht in ein Security-Management eingebunden ist. Gerade, wenn Unternehmen neue Technologien einführen oder Konfigurationsänderungen vornehmen, muss ein Prozess dies begleiten und dokumentieren. Im Ernstfall greifen Verantwortliche auf eine bereits durchdachte Strategie zurück, die weiteren Schaden abwendet: Die Troer hätten die Katastrophe trotz Loch in der Mauer verhindern können, indem die Bürger am selben Tag die Mauer wieder instandgesetzt hätten.
Alle technischen Anstrengungen machen nur dann Sinn, wenn auch die Mitarbeiter zur Sicherheit der Unternehmens-IT beitragen. Schulung, interne Kommunikation und ein bewusstes Security-Marketing sollten den Mitarbeitern klar machen, dass die Sicherheit der Unternehmens-IT geschäftskritisch und jeder Einzelne dafür mitverantwortlich ist: Wären Priamos? Stadtbewohner kritischer gewesen, hätten sie vielleicht die List der Griechen bemerkt.
Vermutlich lässt es sich niemals vollständig verhindern, dass Viren in die Unternehmens-IT eindringen. Mit einer umfassenden Sicherheitsstrategie kann man aber zumindest den Schaden am Unternehmen begrenzen.
Das ist es, was wir von Homer lernen können.
Steckbrief
Christoph Hillemanns ist Consultant bei der Management- und Technologieberatung DeteconInternational.
www.detecon.de
Die drei Fehler des Priamos
Nach Homer nutzten die Griechen eine List, um das lange belagerte Troja einzunehmen: Sie versteckten ihre besten Krieger in einem riesigen hölzernen Pferd und stellten es vor die Tore der Stadt. Die Bürger fühlten sich geschmeichelt und glaubten an ein Geschenk - allen Warnungen zum Trotz. Da das Pferd größer war als die Stadttore, ließ Priamos die Stadtmauer einreißen und es in die Stadt ziehen. Die Troer feierten ein Freudenfest. Als die Bürger aber schliefen, verließen die Krieger ihr Versteck. Zusammen mit ihren Mitstreitern, die mühelos in die unbewachte Stadt gelangten, legten sie Troja in Schutt und Asche. Die Tragödie hätte verhindert werden können. Doch König Priamos machte drei entscheidende Fehler.
Fehler Nummer eins: Er kümmerte sich nicht um die Wachsamkeit seiner Stadtbewohner. Es gab zwar eine Stadtmauer, aber keine umfassende Sicherheitsstrategie, die flexibel auf unterschiedliche Bedrohungsszenarien reagiert. Der König hätte die Verantwortung dafür gehabt, Prozesse einzuführen: also einen Sicherheitsverantwortlichen zu ernennen, der regelmäßig die Verteidigungsanlagen kontrolliert und Buch führt über deren Zustand. Priamos hätte über potenzielle Gefahren informieren und seinen Untertanen auch beibringen müssen, dass ihr aller Leben von der Wachsamkeit des Einzelnen abhängt.
Fehler Nummer zwei: Priamos ließ die Stadtmauer einreißen und sicherte das Loch in der Mauer nicht ab. Er verfügte auch nicht über zusätzliche innere Barrieren, um die Stadt vor Angreifern zu schützen. Hätte es in der Stadt noch weitere Mauern gegeben, die die Stadtteile voneinander trennten, wäre vielleicht zumindest ein Teil der Stadt unversehrt geblieben.
Und Fehler Nummer drei: Priamos bewaffnete seine Stadtbewohner nicht. Als der Feind in der Nacht angriff, waren sie ihm wehrlos ausgeliefert.