Management und Wissen

Sicherheitsmanagement

Flexible Formation statt mannshohe Mauern

Von Klaus-Peter Kossakowski, Telgte, und Thomas Schindler, Berlin

Informationssicherheit braucht Informationsfluss und muss den Menschen als Erfolgsfaktor erkennen, anstatt ihn mit immer mehr und neuer Technik als Störfaktor ausschalten zu wollen. Ein Plädoyer für ein adaptives Sicherheitsmanagement und eine neue Sicherheitskultur.

IT-Sicherheit ist ohne Menschen undenkbar. Sie sind es, die trotz, mit oder gegen Technik Sicherheit schaffen wollen. Doch diese Sicherheit ist trügerisch. Denn neue, komplexe technische Lösungen fordern einen hohen Preis:

Auf Technik kann man nicht mehr verzichten. Aber es sind die Menschen, die damit arbeiten. Als Entwickler, Administrator oder Entscheider gestalten und verwalten sie Sicherheit. Als Nutzer und Verwalteter fühlen sie sich von Sicherheitstechnik beherrscht. Als Angreifer setzen sie alles daran, ebendiese Technik zu besiegen, aus Profitgier oder sportlichem Ehrgeiz, mit krimineller Energie oder politischem Eifer.

Nach vorherrschender Meinung lässt sich der Unsicherheitsfaktor "Mensch" ganz einfach beseitigen: Ersetze den Menschen durch Technik oder zwinge ihn in ein enges Regelkorsett! Schaffe noch bessere Firewalls. Schließe alle Lücken. Panzere das System. Bringe alle Geschütze in Stellung.

Aber IT-Sicherheitstechnik kann Menschen nicht ersetzen. Im Gegenteil. Das Prinzip Aufrüstung und Abschreckung mag bis zum Fall der Mauer funktioniert haben. Im Zeitalter von Globalisierung und weltweiter Vernetzung ist Abschottung und der unbedingte Glaube an bessere, leistungsstärkere Technik der falsche Weg.

In den Netzen tobt kein Cyberkrieg zwischen gleich starken Gegnern. Die Auseinandersetzungen laufen asymmetrisch: Der scheinbar schwache, aber hochmotivierte David gegen den hochgerüsteten Goliath. Die Folge: dauernde "Low Intensity Conflicts" gegen einen Angreifer oft unterhalb der Wahrnehmungsschwelle. Weil der schwächere Gegner das offene Feld scheut, sehen sich die Mauern und Festungen von Unternehmen und Staaten ständig kleinen Angriffen ausgesetzt. Häufig ist nicht einmal eindeutig erkennbar, ob es sich bei einem Sicherheitsproblem um einen Angriff oder lediglich um einen Fehler handelt. Ein solcher Konflikt ist in den Handbüchern nicht vorgesehen.

Und wenn einem kleinen David ein Punktsieg gelingt, ist ihm die Sympathie der Welt gewiss: In den Augen der Öffentlichkeit sind solche Angreifer keine methodischen Kriminellen, sondern ungestüme jugendliche Hacker, denen etwas Undenkbares gelingt. So wie Luke Skywalker, dem es glückte, durch einen "unwahrscheinlichen" Angriff den übermächtigen Todesstern zu zerstören.

Vorläufiges Fazit: Die Technikschlacht ist verloren.

Die Sicherheitstechniker sehen sich mit ihren hochgerüsteten, komplexen und statischen Systemen einer hochbeweglichen Guerilla oder kaum als solche erkennbaren Terroristen gegenüber. Egal, ob und wie die Gegner ihre Angriffe ideologisch begründen – in den Rechenzentren ist man auf diese Form der Auseinandersetzung nicht vorbereitet.

Dem wirklich kleinen David sind politische Ziele oder wirtschaftliche Interessen in der Regel egal. Deshalb entziehen sich seine Angriffe strategischen Rationalitätskriterien. Wer seinen unterschwelligen Anfeindungen mit klassischen Spielregeln begegnet, wird verlieren. Auf einen Vorfall mit noch mehr Technik zu reagieren, beruhigt nur die Verantwortlichen und nützt so dem Gegner. Denn der setzt alles daran, neue Normen und technische Schranken auf Schwachstellen abzuklopfen. Und er wird mit Sicherheit Lücken finden! Die müssen nicht einmal groß sein: Schon das kleinste Leck stellt den gesamten Sicherheitsaufwand in Frage.

Absolute Sicherheit ist eine Fiktion. Und immer neue Gesetze, Techniken, Restriktionen provozieren nichts als gesellschaftlichen Stillstand. Selbst ein totalitärer Staat kann sich nicht vollkommen abschirmen. Mauern, Atomraketen oder religiöser Fanatismus haben in der Vergangenheit keinen Schutz geboten. Genauso wenig können dies Sicherheitstechnik oder lückenlose Überwachung in der virtuellen Welt. Es reichen minimale Friktionen, manchmal genügt die schlechte Laune eines Mitarbeiters, um einen Vorfall zu provozieren.

Verteidigung? Realistisches Problembewusstsein!

Moderne IT-Sicherheit setzt auf Vorbeugung. Soweit die Theorie. Denn in Deutschland – und nicht nur dort – fehlt das Bewusstsein für ein zeitgemäßes, adaptives Sicherheits- und Risikomanagement. Ob Behörden, Institutionen oder Unternehmen – Notfall-Vorsorge, die zusätzlich zur eher statischen IT-Sicherheitstechnik eingesetzt wird, ist hierzulande mehr Ausnahme denn Regel.

Zwar sind sich viele der enormen Bedrohung beim Anschluss an öffentliche Netzwerke bewusst. Die Vorteile eines pragmatischen organisatorischen Ansatzes, der flexible Reaktion (Incident Response) in Sicherheitsteams einbindet und eigene Computer-Notfallteams aufbaut, werden allerdings verkannt. Wenn ein Angriff den Administrator überfordert, hat ein Unternehmen meist keine weitere Möglichkeit, angemessen zu reagieren oder sich zu verteidigen.

Was bleibt, ist Schweigen. In keinem Bereich ist die Kommunikation so schlecht wie in der deutschen IT-Sicherheitslandschaft, die doch eigentlich garantieren soll, dass Kommunikation sicher stattfinden kann. Weil es in Deutschland nur eine unzureichende Sicherheitsinfrastruktur gibt, sind viele Unternehmen, Behörden, Organisationen vom internationalen Informationsfluss abgeschnitten. Ein Beispiel: Als der Virus/Wurm Nimda auftauchte, wurden durch FIRST-Mitglieder weltweit gleich nach den ersten Angriffen erfolgreiche Abwehrmaßnahmen eingeleitet [1]. Deutsche IT-Spezialisten ohne diese Frühwarnung erfuhren am folgenden Tag, wie verwundbar oder abwehrkräftig ihr Unternehmen war ...

Mehr Kommunikation!

Bekannt ist: Einsatz und Nutzung von Informations- und Kommunikationstechnik bergen Gefahren – nur wissen viele Nutzer/Entscheider leider nicht, welche. Kettenbriefe, Viren, Würmer und menschliche oder automatisierte Angreifer sind die Risiken, mit denen die Informationsgesellschaft leben muss. Gefährlich ist auch der Straßenverkehr. Der Unterschied: Über die Unfallgefahren auf der Straße kann sich jeder informieren und entsprechend vorbeugen. Die Vorbereitung beginnt bereits im Kindesalter. Nur so gehen richtige Verhaltensweisen in Fleisch und Blut über.

Über IT-Sicherheit hingegen spricht man nicht. Vorfälle werden verschwiegen. Betroffene Unternehmen/Behörden/Institutionen mauern – und setzen auf mehr Technik, gewaltigere Firewalls, striktere Regeln.

Computer Emergency Response Teams (CERTs) wählen einen anderen Weg: Sie setzen auf Information, Kommunikation und dezentrale Strukturen. Sie bilden schnelle, bewegliche kleine Trupps, die Informationen über Vorfälle sammeln, auswerten, verbreiten und helfen, mit den Auswirkungen fertig zu werden. Wenn dann aus einem schwelenden Konflikt plötzlich eine ernste Bedrohung wird, bilden sie schlagkräftige Teams, um den Angriff abzuwehren. Dank ihrer großen Flexibilität stellen sie die verloren gegangene Symmetrie erfolgreich wieder her.

"Incident Analysis Center" können die technischen Analysen und die pragmatischen Reaktionsmodelle für die Risikobewertung etc. liefern. Für eine "low intensity response" sind virtuelle Ad-hoc-Teams sinnvoll, die bei Bedarf aus bestehenden Teams verschiedener Unternehmen, Behörden und Institutionen kurzfristig zusammengestellt werden und mit klar umrissenen Zielen an einer Lösung arbeiten.

Bis Vorfälle gemeldet werden, vergehen häufig Tage bis Wochen. Viele Ereignisse werden gar nicht gemeldet, weil der manuelle Aufwand dafür zu hoch wäre. Aber ohne diese Informationen fehlen wichtige Frühwarn-Indikatoren oder Puzzleteile, Gefahren können nicht erkannt, Warnungen nicht erstellt, Sicherheitsmaßnahmen nicht ergriffen, Vorfälle nicht verhindert werden. Eine Automatisierung in diesem Bereich kann sinnvoll sein, weil sie die Administratoren entlastet. Hier sind neue, technische Lösungen gefragt. Doch auch sie können die Menschen nicht ersetzen.

CERTs haben alles, um sich im Guerillakampf angemessen zu verteidigen. Aber: Es gibt viel zu wenige. In Deutschland wie auch in anderen europäischen Staaten fehlt es an einer flächendeckenden CERT-Infrastruktur. Die wenigen vorhandenen Teams können den Informationsfluss nicht sicherstellen. Ihre Arbeit ist nicht transparent (Was macht eigentlich ein CERT?), und es fehlt an Personal aus dem Bereich IT-Sicherheit, um solche Teams zu bilden und auszubilden.

Ein CERT macht noch keine Infrastruktur

CERTs sind relativ neu und die methodische sowie fachliche Diskussion steht in vielen Bereichen noch am Anfang. Und auch ein CERT ist nur so gut wie seine Mitarbeiter, die jeden Tag vor neuen Herausforderungen stehen. Diesen kontinuierlichen Entwicklungs- und Lernprozess gilt es zu unterstützen. Hinter jedem Sicherheits- oder Notfallteam stehen Menschen. Im Mittelpunkt sollte also auch hier nicht länger die Technik stehen, sondern der einzelne CERT-Mitarbeiter. Dieser benötigt Informationen, fordert Unterstützung und braucht Anerkennung.

Zurzeit reicht die in Deutschland verfügbare Expertise nicht aus, um alle Aspekte eines neuen Computer-Wurms, einer neuen Sicherheitslücke oder einer neuen Angriffsart immer schnell und umfassend zu analysieren. Nicht zuletzt sollten sich die Informatik-Ausbilder fragen, wie sie das Thema Sicherheit spannender machen können. Sicherheit ist kein lästiges Add-on oder überflüssiger Studienballast. Die Vermittlung von Incident-Response-Konzepten, weiterführende Informationen zu Risiko- und Sicherheitsmanagement, Analyse von Sicherheitslücken, Angriffen und Angriffswerkzeugen (wie z. B. Computer-Viren) sind so wichtig wie nie zuvor. Wer Sicherheit fordert, kommt nicht umhin, das Curriculum an den Erkenntnissen der Computer-Notfallteams auszurichten.

Über das (theoretische) Wissen hinaus, das im Rahmen einer üblichen Ausbildung vermittelt werden kann, ist ein (praktisches) Ausbildungsprogramm sinnvoll, um neue Mitarbeiter fit für ihre weitere Tätigkeit zu machen und die kontinuierliche Weiterbildung des "technical staff" zu garantieren.

Gesucht: eine neue Kultur der Sicherheit

In einer offenen Gesellschaft ist es Aufgabe der Politik, eine Sicherheitsinfrastruktur zu schaffen. Die Politik muss strukturelle Vorgaben machen, Antworten auf die Frage suchen, wie eine demokratische Gesellschaft mit gleichermaßen hochentwickelter wie riskanter Technik im Zustand eines permanenten "Low Intensity Conflict" leben und auch überleben kann. Möglich wird dies erst durch einen anderen Umgang mit dem Thema Sicherheit: Wer einen Computer einschaltet, muss um den unterschwelligen Kampf wissen und die Risiken der neuen Medien akzeptieren, nicht verängstigt und panisch reagieren, sondern informiert und sicherheitsbewusst handeln.

Wenn einzelne Gruppen aus Wirtschaft, Wissenschaft oder Verwaltung ihre Sicherheitsbelange eigenständig koordinieren, sollte man sie ermuntern, Erfahrungen offensiv zu kommunizieren. Erst ein aktiver "horizontaler" Informationsaustausch ermöglicht "low intensity response" auf nationaler Ebene. Ein Staat mit hohem nationalen Sicherheitsstandard kann auch "vertikale" Impulse geben. Solche Anregungen würden dann die internationalen, gemeinsamen Interessen bestimmter Sektoren betonen, beispielsweise des Kreditwesens oder des Militärs, und mittelfristig zu parallelen Sicherheitsstrukturen führen.

Eine Auseinandersetzung mit den Feinden der Kommunikationsgesellschaft bedarf kultureller Normen. Um sich gegen willkürliche und unkalkulierbare Angriffe zu schützen, muss eine Kultur der Sicherheit geschaffen werden. Nicht Hochrüstung bietet die Lösung. Der moderne Mensch lebt und arbeitet in offenen Strukturen. Als Vorbild für diese dynamische Gesellschaft lohnt ein Blick ins antike Griechenland – Bürger leben an auseinander liegenden Orten mit einer Kultur als Klammer. Diese schloss den Wettstreit nicht aus, konkurrierte man doch auf vielen Feldern miteinander. Allerdings wusste man immer um die Gemeinsamkeiten und den gemeinsamen Gegner.

Eine solche demokratische Gesellschaft fordert zu Recht einen aktiven Austausch auf jedem Niveau, um ihre Dynamik zu erhalten. Sichere Informationen und Informationswege sind dazu unumgänglich. Genau das ist die Aufgabe von CERTs.

Wer Sicherheit als wichtiges kulturelles Element versteht, kommt nicht umhin, diese Teams bei ihrer Arbeit zu unterstützen – und offensiv bestimmte Sicherheitsstandards zu fordern. Es bedarf der gemeinsamen Anstrengung aller, diese Entwicklung zu fördern, Informationen zu kommunizieren und für mehr Transparenz zu sorgen.

Sicherheit beginnt im Kopf. Bei jedem einzelnen Mitarbeiter, jedem einzelnen Bürger. Aber um zu wissen, was Sicherheit ist, braucht der Einzelne, brauchen Unternehmen, Behörden und Institutionen vor allem Informationen. Eine Kulturgesellschaft benennt ihre Gegner öffentlich – und verschanzt sich nicht hinter Technik und Mauern des Schweigens. Hysterie, Panik und Aktionismus sind schlechte Ratgeber. Als demokratische Bürger sollten wir begreifen und akzeptieren, dass wir alle im Zustand des "Low Intensity Conflict" leben. Um die offene Gesellschaft zu verteidigen, müssen wir alle sie – jeder immer ein bisschen und manchmal in konzertierter Aktion – vor ihren Feinden schützen.

Klaus-Peter Kossakowski (kpk@presecure.de) ist Geschäftsführer der PRESECURE Cosulting GmbH. Thomas Schindler (schindler@fuenf-freunde.de) ist Senior Consultant Communications

Web-Links

[1]
Forum of Incident Response and Security Teams (FIRST), internationaler Dachverband der CERTs[externer Link] www.first.org
[2]
The CERT Coordination Center, [externer Link] www.cert.org
[3]
Trusted Introducer for CSIRTs in Europe, europäisches CSIRT-Verzeichnis, [externer Link] www.ti.terena.nl

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/3, Seite 6