IT-SicherheitEffizienz statt Kurzanalyse

Gastbeitrag von Thomas Heinig, Siemens Enterprise Communications, Leipzig*

Dass Mittelständler in Zeiten der Globalisierung genauso von Hacker- und Virenangriffen betroffen sind wie weltweit agierende Konzerne, dürfte sich mittlerweile überall herumgesprochen haben. Zumal diese Erkenntnis immer wieder von unabhängigen Studien untermauert wird. Im letzten Jahr befragte beispielsweise das Marktforschungsinstitut IDC die deutschen Mittelständler und fand heraus, dass 82 Prozent aller Befragten bereits einschlägige Erfahrungen mit Angriffen auf die IT-Sicherheit gemacht hatten. Die gute Nachricht: Immerhin 76 Prozent haben aus den Angriffen ihre Schlüsse gezogen und wollen zukünftig ihre Sicherheitsmaßnahmen von externen Dienstleistern überprüfen lassen, um eventuelle Schwachstellen aufzudecken und zu beheben.

Dass auch kleinere Unternehmen zunehmend auf die Hilfe externer Experten vertrauen, ist dabei keine überraschende Entwicklung. Denn gerade bei Firmen, die weniger als 500 Mitarbeiter beschäftigen, stehen die internen IT-Abteilungen – so es sie denn überhaupt gibt – oft vor einer unlösbaren Aufgabe: In der Regel sind die wenigen Mitarbeiter mit dem aktuellen Tagesgeschäft nämlich bereits so stark ausgelastet, dass die eigentlich notwendige detaillierte Beschäftigung mit der Informationssicherheit des Unternehmens unter den Tisch fällt. Zumal nicht wenige IT-Administratoren ein geradezu abenteuerliches Vertrauen in das Sicherheitsbewusstsein ihrer Kollegen haben. Dass dieses Vertrauen oft ungerechtfertigt ist, weiß jeder, der den Zugang zu seinem Bürocomputer über ein Passwort absichert, das vermutlich bereits seit Jahren das gleiche ist – trotz aller anderslautenden Vorschriften aus der IT-Abteilung.

Analyse deckt Schwachstellen auf

Um vor allem kleineren Firmen hier unter die Arme zu greifen, haben viele IT-Dienstleister in den letzten Jahren deswegen eine Reihe von unterschiedlichen Beratungslösungen geschaffen, die genau auf die Bedürfnisse dieser Kunden zugeschnitten sind und an deren Ende pragmatische Handlungsempfehlungen für das jeweilige Unternehmen stehen. Die am häufigsten verwendete Methode ist dabei eine schrittweise Analyse, die alle möglichen Gefahrenquellen – vom Mitarbeiter bis zum Kurzschluss – genau überprüft. Gestartet wird die Analyse in der Regel mit einem so genannten Audit-Workshop, an dem neben Vertretern der Geschäftsleitung auch der IT-Leiter und die Verantwortlichen für den Daten-, Brand- und Gebäudeschutz sowie ein „normaler“ PC-Nutzer teilnehmen sollten.

Neben der Wissensvermittlung zur Informationssicherheit und der Ermittlung des Ist-Zustandes bildet eine toolgestützte Fragerunde das Herzstück der Veranstaltung. Sie gibt den Befragten die Chance, den Sicherheitsstatus des Unternehmens zu definierten Themenkomplexen darzustellen. Nicht selten wird den Teilnehmern dabei erstmals bewusst, dass Informationssicherheit mehr bedeutet, als nur die Installation einer neuen Firewall. Denn zur Informationssicherheit gehört beispielsweise auch die sichere Verwahrung von Dokumenten oder eine redundant angelegte Serverarchitektur. Die Bewertung der Antworten erfolgt dann durch einen vorher definierten Schlüssel, der sich aus der Gewichtung der Fragen und ihrer Implementierungstiefe zusammensetzt. Als Ergebnis wird noch im selben Workshop der spontane, erste Eindruck vom Sicherheitsstatus des Unternehmens grafisch und als Scorecard präsentiert. Der Vorteil: Defizite werden sofort erkannt und entsprechende Maßnahmen können schnell und unkompliziert eingeleitet werden.

Vertrauliche Gespräche

Im Nachgang zum Workshop, parallel dazu oder auch vorher sollte zusätzlich zu der Befragung der Mitarbeiter ein detaillierter „Security Scan“ durchgeführt werden. Dabei gibt es sowohl die Variante des „externen Blackbox-Tests“ als auch den „internen Whitebox-Test“. Beim Blackbox-Test übernimmt der Auditor die Rolle eines externen Hackers. Er nutzt das Internet als Medium und erhält nur minimale Informationen über das Angriffsziel, wie beispielsweise eine Visitenkarte mit einer E-Mail-Adresse. Bei der Variante des internen Whitebox-Tests bekommt der Auditor Zugang zum internen LAN sowie umfassende Informationen über die zu überprüfenden Systeme und deren Konfiguration sowie die Sicherheitsarchitektur und Organisation. Der Auditor nimmt bei dieser Testvariante also die Rolle eines vertrauenswürdigen Insiders ein. Die Ergebnisse des „Security Scans“ fließen dann konsolidiert in die Gesamtauswertung der Kurzanalyse ein.

Nach Abschluss des Audit-Workshops und des „Security Scans“ können die Verantwortlichen in der Regel einen oder mehrere Schwerpunkte definieren, die in den folgenden Schritten detaillierter untersucht werden sollen. Um bestimmte Hintergründe und Details zu erfahren, wird dazu zunächst eine erneute Befragung durchgeführt. Diese richtet sich, je nach Themenschwerpunkt, sowohl an die Geschäftsleitung und das IT-Personal als auch an einen Vertreter der Belegschaft. Ziel der vertraulichen Einzelgespräche ist es, einen möglichst umfassenden und ehrlichen Eindruck des Status quo und der üblichen Verhaltensweisen zu bekommen.

Deshalb werden in den Interviews auch bereits identifizierte Einzelerkenntnisse und offene Inhalte aus dem Audit-Workshop sowie Ergebnisse des technischen „Security Checks“ detailliert behandelt. Nützlich gibt es nicht selten Erkenntnisse, die vom Administrator als gegeben angenommen werden, aber vom Anwender ganz anders beurteilt werden. So kommt es beispielsweise immer wieder vor, dass ein Administrator fest davon überzeugt ist, die Passwort-Richtlinie der Domäne sei auf die Verwendung von mindestens sechsstelligen und mit Sonderzeichen versehenen Passworten eingestellt gewesen. In einem Interview mit einem Anwender stellte sich aber das genaue Gegenteil heraus.

Sind die „theoretischen“ Schritte abgeschlossen, findet im nächsten Schritt am Hauptstandort des Unternehmens eine Begehung statt. Dabei werden vor allem Bereiche wie Rechner- und sensible Produktionsräume im wahrsten Sinne des Wortes unter die Lupe genommen. Büros von Mitarbeitern werden dabei ebenso auf Sicherheitsdefizite untersucht wie Eingänge und Flure und die Standorte von zentralen Druckern. Der Schwerpunkt liegt hierbei auf der Sicherheit der Infrastruktur und des Zutrittssystems zu sensiblen Bereichen ebenso wie auf Brandschutz und der sicheren Verwahrung von vertraulichen Dokumenten in Büros und an gemeinschaftlich genutzten Stellen. Denn gerade hier sorgt die allgemeine Betriebsblindheit oft dafür, dass große Sicherheitslöcher übersehen werden. In der Ergebnisdokumentation wird in einem der letzten Schritte jede einzelne festgestellte Schwachstelle aufgelistet und vom Auditor mit einer speziellen Handlungsempfehlung versehen.

Risikodiskussion und Maßnahmeplan

Dieses Dokument bildet dann auch die Grundlage der Risikodiskussion. Denn nicht immer müssen erkannte Schwachstellen auch mit einem entsprechend hohen Risiko für die Informationssicherheit verbunden sein. Erst durch die Bestimmung potenzieller Auswirkungen und der Wahrscheinlichkeit des Eintritts eines Ereignisses bestimmt sich die Höhe des Risikos. Und nur wenn man die Höhe des Risikos kennt, lassen sich Maßnahmen wirtschaftlich beurteilen und auswählen. Wesentlicher Faktor bei der Bewertung des Risikos ist dabei die unternehmensspezifische Risikostrategie. In einer Diskussionsrunde werden deshalb die Vorgehensweise zur Risikobewertung abgestimmt und gemeinsam reaktive und proaktive Maßnahmen zur Risikominimierung abgeleitet. Diese gemeinsame Bewertung bildet schließlich die Grundlage für den nun zu erstellenden Maßnahmenplan. In ihm werden zunächst die definierten Maßnahmen gemeinsam konsolidiert und gebündelt, anschließend priorisiert und schließlich in einem zeitlichen Stufenplan (Roadmap) festgezurrt.

Hier wird der Nutzen für das Unternehmen am deutlichsten: Kurz-, mittel- und langfristig ist das Vorgehen zur Verbesserung des aktuellen Informationssicherheitsstatus definiert. Für die Zukunft lassen sich Budgetplanungen direkt auf diese Vorlage abstimmen und Geschäftsführung, Sicherheitsverantwortliche und IT-Management können diese Strategie direkt als eigene Handlungsgrundlage nutzen. Gleichzeitig ist aber auch ein kritischer Punkt erreicht. Denn im Bewusstsein, einen wichtigen Schritt zur Verbesserung des eigenen Sicherheitsniveaus getan zu haben, kann das laufende Tagesgeschäft sehr schnell gute Vorsätze blockieren. Deshalb kommt es für die meisten Mittelständler darauf an, zuerst Sicherheitspolitik und -verantwortlichkeiten festzulegen und damit einen Prozess einzuleiten, der von Dauer ist.

Genau aus diesem Grund sollte die Rolle eines Beauftragten für Informationssicherheit deshalb auch frühzeitig festgelegt werden. Er wird von der Geschäftsleitung eingesetzt, ist ihr direkt unterstellt und erstattet ihr regelmäßig über Sicherheitsstatus, aktuelle Probleme und gegebenenfalls Sicherheitsvorfälle Bericht. Er soll Einfluss bei Projektentscheidungen nehmen, Vorlagen erarbeiten und Ansprechpartner für Personalfragen sein. Gern wird hierfür pragmatisch der IT-Leiter eingesetzt. Doch davon ist dringend abzuraten, denn Interessenskonflikte sind in diesem Fall meist vorprogrammiert. Nicht umsonst spricht der international anerkannte Standard ISO 27001 hier von „Segregation of duties“ (Trennung von Zuständigkeiten) und „Independent review of information security“ (unabhängige Überprüfung der Informationssicherheit).

*Kontakt:
Siemens Enterprise Communications
GmbH & Co. KG
Hofmannstr. 51
81379 München
E-Mail: contact.enterprise@siemens.com
Web: www.siemens.de/open

[Bild: fotolia]