Evidian GmbH in Köln, der
vormaligen Bullsoft, die Mitte des Jahres aus der Bull-Gruppe
ausgegliedert worden ist.Zu wenig Budget, zu wenig Personal und zu wenig Bewusstsein beim Management machen laut einer Studie der META Group rund die Hälfte der Hindernisse für IT-Sicherheit aus. In der KES/Utimaco-Sicherheitsstudie hatten sogar 51 Prozent der Befragten ihrem Top-Management mangelndes Bewusstsein und fehlende Unterstützung vorgeworfen.
Zwar wollen viele Unternehmen beim elektronischen Geschäft dabei sein. Das Maß an Sicherheit, um die dafür notwendige Öffnung gegenüber Partnern und Internet-Konsumenten hinreichend abzuschirmen, passt jedoch häufig nicht zum offensiven Online-Auftreten. Parallel hapert es oft auch unternehmensintern an einem angemessenen Schutz von Daten und Systemen. Und dies obwohl gerade durch die wachsende Fluktuation unter der Mitarbeiterschaft auch intern das Sicherheitsrisiko wächst.
Zu Realität und Anspruch und dem, was notwendig ist, um die
externe und interne Sicherheit im Unternehmen auf Vordermann zu
bringen hat die KES mit Erwin Schöndlinger gesprochen. Er ist
Geschäftsführer der
Evidian GmbH in Köln, der
vormaligen Bullsoft, die Mitte des Jahres aus der Bull-Gruppe
ausgegliedert worden ist.
Erwin Schöndlinger: "Die Zeit, die Sicherheit
punktuell an einer zentralen Firewall festzumachen, ist mit dem
elektronischen Geschäft endgültig vorbei."
KES: Herr Schöndlinger, Sie sagen, dass die offensiven Geschäftsziele der Unternehmen heute häufig der notwendigen Sicherheit vorauseilen, dieses Geschäft hinreichend gegen Angriffe abzuschirmen. Woran liegt das?
Schöndlinger: Die Hauptursache dafür liegt im Management der Unternehmen. Hier ist man sich meist im Unklaren darüber, um welche Risiken es geht. Das liegt auch daran, dass die Unternehmensführung selten die zunehmend durchgängig gestalteten Geschäftsprozesse mit allen daran beteiligten Daten und Systemen hinreichend überblickt. Bedrohungen und Achillesfersen für das eigene Geschäft bleiben dadurch zwangsläufig im Dunkeln.
Die Konsequenz: Es wird weiterhin, trotz wachsender Abhängigkeit der Unternehmen von integren Daten und Prozessen, an der Sicherheit gespart. Und das bei einem stark expandierenden elektronischen Geschäft, das bereits im Jahr 2003 allein in den USA eine Dimension von 1,2 Billionen US-Dollar erreichen soll.
KES: Können Sie das Missverhältnis zwischen offensivem elektronischen Geschäft und mangelnden Investitionen in die Sicherheit an Zahlen festmachen?
Schöndlinger: Die META Group hat das getan.
22 000 DM pro Jahr und Mitarbeiter werden derzeit in den
Unternehmen im Schnitt für die IT investiert. Nur rund ein
Dreißigstel davon, 800 DM, wird für die
IT-Sicherheit ausgegeben. Das muss auf Dauer angesichts des
expandierenden Online-Geschäfts für die Unternehmen
einfach schief gehen.
Der Analyst hat zudem die größten Hindernisse für eine effektive Sicherheit in den Unternehmen benannt: neben einem unzureichenden Budget (29 %) sind das eine mangelnde Unterstützung durch die Unternehmensführung (14 %) und in der Folge fehlende Aufklärung über das notwendige Maß an Sicherheit (10 %).
Hindernisse für eine effektive IT-Sicherheit
KES: Ein oft genanntes Argument der Unternehmensentscheider lautet immer noch, dass sich Sicherheitsmaßnahmen nicht direkt auszahlen. Bremst das nicht auch in Zeiten einer kurzfristigen Börsenbewertung den Sicherheitselan des Managements?
Schöndlinger: Auch dieses Argument entblößt, dass Sicherheitsrisiken nicht erkannt und schon gar nicht mit Blick in die Zukunft auf mögliche Kosten bewertet werden. Immerhin geht es bei einer solchen Bewertung um keinen Pappenstiel. Meta Group beziffert den aktuellen Schaden durch mangelnde Sicherheitsvorkehrungen pro Jahr und Unternehmen bei den weltweiten Top 2000 im Schnitt auf 500 000 US-$, Tendenz steigend.
Hinzu kommen vermehrt Schäden, die sich einer direkten Bewertung entziehen. Geraten nämlich Daten und Geschäftsprozesse in Gefahr, droht in Zeiten von E-Business und E-Commerce schneller denn je ein Vertrauens- und dadurch ein geschäftsgefährdender Image-Verlust. Auch rechtliche Probleme und damit Kostenprobleme können die Folge sein. Und all dies schlägt dann voll auf die Börsenbewertung durch.
Geschätzte Höhe der 1999 durch Sicherheitsmängel
im Unternehmen entstandenen Schäden (Angaben von
"Enterprise Security"-Verantwortlichen in 255
Unternehmen)
KES: Vorausgesetzt das Management ist sich des Stellenwerts der Sicherheit für das eigene Geschäft bewusst, so gibt es immer noch falsche Wege. Wie sollte die Vorgehensweise Ihrer Meinung nach aussehen?
Schöndlinger: Die Anatomie einer Sicherheitslösung sollte wie folgt beschaffen sein:
Denn eines steht außer Frage: Nur mit einer Top/Down-Projektierung, beginnend mit der Geschäftsstrategie und endend mit der Sicherheitstechnik, ist das notwendige und strategiekonforme Maß an Sicherheit überhaupt erreichbar. Denn letztlich müssen dafür Organisation, Abläufe, Schnittstellen zu den Geschäftspartnern und Technologien nahtlos zusammenspielen. Das wiederum setzt voraus, dass sich das Management federführend am Projekt "Sicherheit" beteiligt - und es nicht einfach wie bisher an die IT-Abteilungen delegiert. Sicherheit ist spätestens in Zeiten des E-Commerce und E-Business buchstäblich Chefsache.
KES: Wie lautet Ihr Rezept für die Technologie eines verlässlichen und handhabbaren Sicherheitssystems?
Schöndlinger: Im Zentrum einer solchen Lösung sollte eine zentrale Benutzeradministration stehen, in der die Benutzerdaten, Regeln und Rollen aller wichtigen installierten Zielsysteme einfließen. Nur so ist gewährleistet, dass alle benutzerspezifischen Einträge nur einmal innerhalb des zentralen Verzeichnisses und nicht mehrfach in den Verzeichnissen der Zielsysteme gepflegt werden müssen. Das wiederum schließt verschiedene Aktualitätsstände von Einträgen aus und beugt somit Lücken im Sicherheitssystem vor. Auch am Help-Desk müssen dann die Einträge für eine schnelle Benutzerunterstützung nur einmal nachvollzogen werden.
Oder anders ausgedrückt: Nur mit einer zentralen Benutzeradministration behält das Unternehmen das gesamte Sicherheitssystem im Griff, ohne das Budget zu stark zu belasten. Größere, verteilt agierende Organisationen können durch diese zentrale Benutzeradministration kombiniert mit einem Single-Sign-on-Verfahren gegenüber der Vergangenheit einen sechsstelligen Betrag pro Monat einsparen. Zu alledem passt dieser wirtschaftliche Zentralismus ins Konzept moderner Sicherheitsarchitekturen, innerhalb der die beteiligten Sicherheitskomponenten ihre Regeln und Rollen aus einer zentralen Verzeichnisdatenbank beziehen. KES: In welcher Form sollten weitere erforderliche Sicherheitstechniken auf der zentralen Benutzeradministration aufsetzen?
Schöndlinger: Zwei für die Unternehmen zusehends wichtigere Sicherheitstechniken profitieren unmittelbar von der zentralen Benutzeradministration: Single Sign-on (SSO) und PKI (Public Key Infrastruktur). Der Single Sign-on, die Kombination von Authentifizierung und Autorisierung für die Steuerung der Zugriffe bis in die Zielsysteme hinein, bedient sich dazu der Passwörter im zentralen Verzeichnis, wobei die berechtigten Teilnehmer im Tagesbetrieb nur noch das Authentifizierungs-Passwort brauchen. Alle weiteren Passwörter für den Zutritt in die Zielsysteme werden im Hintergrund dem einwählenden PC zugeordnet, ohne dass die Teilnehmer sie zu sehen bekommen. Auf diese Weise schlägt das Unternehmen gleich drei Fliegen mit einer Klappe:
KES: Und wie harmonieren zentrales Benutzerverzeichnis und PKI?
Schöndlinger: Über die zentrale Benutzeradministration kombiniert mit dem SSO ist parallel der Weg bereitet, künftig die Passwörter im Verzeichnis durch digitale Zertifikate zu ersetzen und darüber eine PKI anzustoßen. Die gestaltet dann nicht nur die Zugriffskontrolle noch sicherer und erspart zudem die Ersteingabe sowie Wiedereingabe von Autorisierungs-Passwörtern bei Kennwortwechseln. Eine solche PKI garantiert darüber hinaus einen sicheren Schlüsselaustausch zur Chiffrierung der Übertragungsdaten und die Integrität der Übertragungsinhalte.
Diese drei Etappen - zentrale Benutzeradministration, Single Sign-on und PKI - bilden letztlich den verlässlichen Kern einer jeden Sicherheitsarchitektur. Nur mit diesem flexiblen und zugleich zukunftsweisenden Basisschirm werden die Unternehmen überhaupt in der Lage sein, den Sicherheitsanforderungen des elektronischen Geschäftes zu folgen.
KES: Wie steht es aber um die anderen Sicherheitstechniken wie Firewalls, Virenschutz und Verschlüsselung, die Unternehmen zum Schutz der Daten und Prozesse ebenso dringend brauchen?
Schöndlinger: Sie ergänzen den Basisschirm zu einer kompletten Sicherheitsarchitektur, ohne künftig eine zentrale Rolle zu spielen. Ich denke dabei insbesondere an die Firewall. Die Zeit, die Sicherheit von Daten und Prozessen punktuell an einer zentralen Firewall festzumachen, ist mit dem elektronischen Geschäft endgültig vorbei. Sie muss, wie alle anderen ergänzenden Techniken, im Sinne einer umfassenden Sicherheit für Daten und Prozesse ins zweite Glied zurücktreten. Dort wird sie aus dem zentralen Benutzerverzeichnis heraus mit allen notwendigen Regeln, Rollen und Parametern bedient. Die Verteilung der Firewall-Software auf alle sensiblen Rechner im Netz im Sinne einer Personal Firewall verstärkt noch dieses Architekturverständnis.
Die Unterordnung der Firewall unter den Basisschirm lässt sich aber auch funktional festmachen. Eine Zugriffskontrolle, die bereits über diesen Schirm verlässlich bis in die Zielsysteme hinein absolviert wird, entbindet eben die Firewall von dieser Aufgabe. Sie muss damit die Einwahlversuche nur noch auf Anschlussebene prüfen und Checks auf höherer Ebene nur noch für die Zielsysteme durchführen, die nicht über die zentrale Benutzeradministration erfasst werden. In zwei Funktionen wird die Firewall freilich weiterhin an vorderster Front stehen: In der Ausprägung als Viruswall in Kombination mit Viren-Scannern auf den PCs, um der dramatisch wachsenden Gefahr durch eingeschleuste Viren Herr zu werden, und in der Funktion als Schutzwall, um die interne IT vor Massen-E-Mail-Attacken zu schützen.
Erkannte Angriffe und Schadenarten im Jahre 1999 (Basis: 63
Unternehmen): Bei den Null-Angaben zu ActiveX und Java bezweifelt
der Analyst jedoch, dass aufgetretene Schäden sich auf diese
Ursachen hätten zurückführen lassen.
KES: Wie finden die Unternehmen eine angemessene Technik, um diese umfassende Sicherheit in die Tat umzusetzen?
Schöndlinger: Die Meta Group hat die einzelnen Einkaufsfaktoren nach ihrer relativen Wichtigkeit für die Unternehmen bewertet. Das Maß der über die Architektur erreichbaren Sicherheit ist dabei nur ein Faktor, wenn auch der wichtigste. Daneben hängt die Sicherheit im elektronischen Geschäft von weiteren Qualitäten der Sicherheitsprodukte ab, wie Robustheit, Performance, Funktionalität/Interoperabilität, Bedienbarkeit, Kosten und Stellenwert des Herstellers im Markt.
Insbesondere die Robustheit der Lösungen und damit letztlich der Gesamtarchitektur können die Entscheider im hektischen E-Commerce und E-Business nicht hoch genug bewerten. Dazu müssen Kriterien wie Fehlertoleranz, Erweiterbarkeit, aber auch die Administrationsfähigkeit kritisch hinterfragt werden. Nur wenn alle Qualitäten hinreichend erfüllt sind, wird das Unternehmen auf Dauer auf die Sicherheit bauen können, die es zum Überleben im elektronischen Geschäft immer dringender braucht.
KES: Selbst wenn Bewusstsein und Strategie stimmen und auch der Sicherheitsschirm hält: Werden nicht dennoch immer Restrisiken bleiben?
Schöndlinger: Zweifellos. Einzelne Virenattacken werden immer dem Entwicklungsstand des Virenschutzes voraneilen. Auch bei der versiertesten Zugriffskontrolle werden einzelne Hacker immer wieder Wege finden, mit der berechtigten Einwahl mit zu schwimmen.
Doch genau dieses Maß an Restrisiko wird ausschlaggebend dafür sein, ob Konsumenten und Partner dem elektronischen Geschäft vertrauen oder eher davon Abstand nehmen. Ein geringes Restrisiko ist gleichbedeutend mit Vertrauenswürdigkeit - und nur die ebnet den Weg zu einem florierenden elektronischen Geschäft mit Konsumenten und Partnern.
Hadi Stiel ist freier Journalist und Berater in Bad Camberg.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 6
