Innentäter außen vor

Ein Großteil der Unternehmen hat die Hausaufgaben in Bezug auf die externe Sicherheit gemacht. Was ist aber mit eventuellen Übergriffen von innen? Mehr und mehr Organisationen stellen wertvolle und vertrauliche Informationen in Intranets, Extranets oder auch VPNs zur Verfügung. Mit dem Anwachsen der Datenbestände steigt auch potenziell die Gefahr des Missbrauchs kritischer Daten.

Eine gemeinsam vom Computer Security Institute (CSI) und dem US-amerikanischen FBI erstellte Studie ergab, dass bei rund drei Viertel der befragten Unternehmen interne Mitarbeiter für Sicherheitsübergriffe verantwortlich sind [1]. Dabei soll ein durchschnittlicher Schaden in Höhe von 140 000 US-$ entstanden sein. Erstaunliche Zahlen! Sind also nicht die vielbesagten Hacker für die schwerwiegendsten Angriffe verantwortlich? Nein. Findet ein Hacker trotz externer Schutzmaßnahmen ein Schlupfloch und dringt in das Netzwerk ein, ist der entstandene Schaden meist relativ gering. Viel schwerer wiegt die Bedrohung von innen, da solche Angreifer die internen Prozesse kennen und daher die unternehmenskritischen Informationen lukrativer verwerten können.

Ein Beispiel: Ein Mitarbeiter mit einem zeitlich befristeten Vertrag erhält von einem Konkurrenten eine unbefristete Anstellung angeboten. In der Hoffnung, sich dort einen guten Start zu verschaffen, kopiert er wichtige Kundendaten. Mögliche Gründe für Sabotage sind aber auch Ärger über Vorgesetzte und Kollegen, Unzufriedenheit mit der Entlohnung oder der Position im Unternehmen. In den Führungsetagen herrscht hinsichtlich der Gefahr von "innen" trotzdem häufig eine gewisse Sorglosigkeit vor. Lückenhafte oder gar nicht vorhandene Sicherheitskonzepte untermauern dies.

KonTraG & BDSG

Diese Probleme hat auch der Gesetzgeber erkannt und als Reaktion das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) geschaffen. (Zumindest börsennotierten) Unternehmen wird darin nahe gelegt ihre geschäftskritischen Daten zu schützen. Das Gesetz fordert einerseits, präventive Maßnahmen zur Risikoerkennung zu ergreifen, andererseits muss durch unabhängige Werkzeuge oder Kontrollinstanzen aktiv Vorsorge zur IT-Risikobegrenzung geschaffen werden. Das Gesetz macht somit IT-Sicherheit klar zum Vorstandsthema. Auch die unabdingbare Berücksichtigung von Datenschutzrichtlinien bei der Erstellung eines Sicherheitskonzeptes untermauert dies.

Im Bundesdatenschutzgesetz (BDSG) ist der Protokollierung bei der automatisierten Datenverarbeitung eine besondere Rolle zugeordnet, ohne Ablaufdaten ist eine Kontrolle des ordnungsgemäßen Ablaufs meist nicht möglich. Der Gesetzgeber hat daher eine Zweckbindung personenbezogener Daten vorgeschrieben. Damit soll eine anderweitige Verwendung, etwa zur Leistungs- und Verhaltenskontrolle, ausgeschlossen werden. Bei Verstößen gegen die Datenschutzvorschriften sind Bußgelder und daneben Unterlassungs- und Schadenersatzansprüche der Betroffenen denkbar. Die Protokollierung und Auswertung von Arbeitnehmerdaten ist zudem mitbestimmungspflichtig (§ 87 Abs. 1 Nr. 6 BetrVG). Es empfiehlt sich, die Speicherung und Auswertung solcher Daten in einer Betriebsvereinbarung zu regeln.

Sicherheitskonzepte

Die eigentliche Fragestellung lautet also nicht: Warum sollte ein Unternehmen sein IT-Netzwerk nach innen absichern? Sondern: Wie kann es unberechtigte Übergriffe auf die IT-Infrastruktur verhindern? Grundlage hierfür ist ein ausgeklügeltes Sicherheitskonzept. Darin finden sich die individuellen Bedürfnisse und Anforderungen eines Unternehmens detailliert und trotzdem komprimiert wieder. Es wird festgelegt, wer was wann wo und mit welchen Informationen machen darf. Allerdings führt das beste Sicherheitskonzept nicht zum Erfolg, wenn nicht gleichzeitig ein Maßnahmenkatalog aufgestellt wird, der genau dokumentiert, wer bei Übergriffen welche Aufgaben auszuführen hat.

Laut META Group existiert nur in jedem fünften Unternehmen ein umfassendes und aktuelles schriftliches Regelwerk. "Nach unseren Erkenntnissen erfolgen sowohl Konzeption als auch Umsetzung und Kontrolle der organisatorischen Sicherheitsmaßnahmen lückenhaft und pragmatisch", erklärt Wolfram Funk, Consultant bei der META Group. Deutlich besser, aber lange nicht zufriedenstellend, zeigt sich die Situation bei den üblicherweise besonders sicherheitssensitiven Teilnehmern der KES/KPMG-Sicherheitsstudie [2]: Immerhin 56 % der Befragten gaben an, eine schriftlich fixierte Strategie zur IT-Sicherheit zu haben, die zugehörigen Sicherheitsmaßnahmen basieren bei über 70 % der befragten Unternehmen auf schriftlichen Formulierungen.

Klar muss allerdings sein: Es kann bei Sicherheitskonzepten keine Pauschallösung geben. Kein Unternehmen gleicht dem anderen, man muss dementsprechend auf eine Vielzahl einzelner Aspekte und individueller Vorgänge eingehen. Im Vordergrund sollte dabei der wirtschaftliche und administrative Rahmen stehen, der die Gestaltung der IT-Sicherheit absteckt. Das erforderliche Sicherheitsniveau muss unter Berücksichtung aller Prozesse – auch externer Zugriffsmöglichkeiten – ermittelt und unter Abwägung des Kosten-Nutzen-Faktors festgelegt werden. Gleichzeitig sollte der strategische und operative Wert einzelner IT-Komponenten differenziert bewertet und entsprechend abgesichert werden.

Aus diesem Grund sollte man anhand einer strukturierten Systemanalyse ermitteln, welche Unternehmenswerte und Prozesse es zu schützen gilt. Nach erfolgter Analyse werden diese dann so genannten Schutzklassen zugeordnet, die in der Regel die Anforderungen an Geheimhaltungsgrad und Verfügbarkeit reflektieren.

Die nächste Stufe widmet sich der Bedrohungs- und Schwachstellenanalyse. Hierbei empfiehlt sich ein schrittweises Vorgehen, wie es das IT-Grundschutzhandbuch [3] des Bundesamts für Sicherheit in der Informationstechnik (BSI) vorsieht. Ergänzend kann eine empirische Lösung zum Einsatz kommen. Entsprechende Software protokolliert dabei sämtliche IT-Ereignisse im Unternehmensnetz und stellt diese – unter anderem nach der Häufigkeit ihres Auftretens sortiert – zur Auswertung bereit (vgl. Kasten). Die Analyse der gesammelten Daten und Vorgänge bietet erste Richtwerte, welche Ereignisse in einem Unternehmen der Routine entsprechen und somit vermutlich zu erlauben sind.

Auch wenn Aufbau und Pflege der Sicherheitsrichtlinien Teamarbeit sind, so müssen die Verantwortung für den Einsatz der Sicherheitslösungen und die Überwachung des Netzwerkes doch bei einem zentralen Ansprechpartner liegen. Um den Aufwand gering zu halten und Arbeitsprozesse so weit wie möglich zu rationalisieren, ist dabei der Einsatz einer automatischen Auditing-Lösung zu erwägen.

----------Anfang Textkasten----------

Filter fürs Grundrauschen

Die Daten der verschiedenen Sicherheitsprodukte wie Firewalls, Virenprüfprogrammen und Intrusion Detection Systems (IDS) sowie rechnerspezifische Sicherheits-Ereignisse von Servern, Mainframes und Anwendungsplattformen ergeben zusammen eine immense Flut an Information. Um in einem solchen Rauschen noch wichtige Meldungen zu entdecken, empfiehlt sich der Einsatz von Software-Tools, die diese Vielzahl von Daten aus unterschiedlichsten Quellen in eine Standardsprache übersetzen, abgleichen (korrelierien) und in Bezug auf ihren Schweregrad analysieren. Bei schweren Sicherheitsverletzungen sollte ein sofortiger automatischer Alarm generiert werden; sonstige auditierte Daten sollten in Berichtform zusammengefasst werden.

Die Lösung Consul/eAudit zerlegt beispielsweise in seinem zum Patent angemeldeten "Policy Generator" alle gesammelten Ereignisse in sieben Bestandteile: Wer (Benutzer, Prozess), Was (Aktion), Wann (Zeit), Wo, Woher, Wohin (Systeme), und Worauf (Zielobjekt). Durch die plattformübergreifende Korrelation von Sicherheitsereignissen und Zusammenführung in einem einzigen Bericht können die für die IT-Sicherheit zuständigen Mitarbeiter Analogien im Benutzerverhalten, beim Zugriff auf Plattformen und Ressourcen und in bestimmten Zeitfenstern erkennen und verfolgen. So lassen sich die Wirksamkeit der Sicherheitsrichtlinien bewerten, Sicherheitsvorschriften optimieren und Lücken schließen, noch bevor ein bedrohliches Sicherheitsereignis auftritt.

Analyse-Tools helfen dabei, unübersichtliche Massen von Sicherheits- und Systemereignissen in verwertbare Information umzuwandeln.

----------Ende Textkasten----------

Konsens und Vertrauen

Neben den Faktoren Technik, Unternehmensprozesse und Organisation gilt es bei der Erstellung einer Sicherheitsstrategie unbedingt die Mitarbeiter einzubinden. Tut man dies nicht, ist ein praxistaugliches Regelwerk von vornherein zum Scheitern verurteilt.

Auf die Bedürfnisse und Anforderungen der einzelnen Abteilungen und ihrer Mitarbeiter muss ohnehin eingegangen werden. Es bietet sich daher an, die Mitarbeiter an der Basis bereits zu Beginn des Projekts einzubinden. Sie verfügen häufig über wertvolles Know-how, da sie die täglichen Arbeitsabläufe und auftretenden Probleme am besten kennen. Zudem wirkt sich ihre Beteiligung an der Projektentwicklung positiv auf die gegenseitige Vertrauensbasis und die Akzeptanz von Richtlinien aus. Die Mitarbeiter fühlen sich ernst genommen. Ein Verdacht im Sinne von "Big Brother is watching you" kommt so gar nicht erst auf.

Schließlich trifft man – gerade in Deutschland – auf eine gewisse Skepsis, wenn es um den Einsatz von "Kontrollapparaten" geht. Die Gründe hierfür sind sicherlich in der Geschichte zu suchen. Oft bleibt unklar, wovor die Mitarbeiter eigentlich Angst haben. Ist es das Lesen und Schreiben von privaten E-Mails, das individuelle Surf-Verhalten am Arbeitsplatz? Viele können ihre Ängste auch selbst nicht wirklich konkretisieren – es ist wohl eher eine Urangst vor der Kontrolle. Daher gelten Offenheit, Transparenz und Vertrauenswürdigkeit als oberstes Gebot. Die Aussage "wer nichts zu verbergen hat, muss auch keine Angst haben" greift zu kurz.

Das Interesse der Unternehmen ist in der Regel jedoch nicht, ihre Mitarbeiter auszuspionieren. Daher gilt es in erster Linie, Verständnis für die Sicherheitsmaßnahmen zu schaffen und die Belegschaft für dieses Thema zu sensibilisieren. So genannte "weiche Maßnahmen" wie die Heranbildung eines Sicherheitsbewusstseins führen hierbei zum Erfolg.

Schulungen, in denen die Mitarbeiter über Entwicklungen und Gefahren aufgeklärt werden und gleichzeitig auch lernen, Sicherheitssysteme anzuwenden stellen einen wichtigen Baustein im Gesamtkonzept dar. Die Unwissenheit ist eines der Hauptprobleme für die Skepsis der Mitarbeiter. Diesen Aspekt muss das Projektteam immer im Auge behalten. Es darf nicht den Fehler machen, sein eigenes Fachwissen als Maßstab anzusetzen.

Sicherheitsbewusstsein

Auf der anderen Seite ist der sorglose Umgang mit der Datensicherheit ein typisches Phänomen in vielen Unternehmen. Man mag den Angestellten nicht einmal böse Absicht unterstellen, doch beim leichtfertigen Umgang mit sensitiven Daten und Systemen droht Gefahr. Auch die Organisation für Wirtschaft und Entwicklung (OECD) hat darauf reagiert und ein Grundsatzpapier verabschiedet [4]. Es müsse eine Art Sicherheitskultur entwickelt werden, damit Informationssysteme und Netzwerke einem geringeren Risiko ausgesetzt sind. Der Maßnahmenkatalog umfasst neun Leitsätze, wie alle Beteiligten (Arbeitgeber und Arbeitnehmer) ein erhöhtes Bewusstsein, aber auch Verständnis für die Gefahren im Bereich der Informationstechnik entwickeln (vgl. Kasten).

----------Anfang Textkasten----------

OECD will Sicherheitskultur

Die OECD möchte mit ihren jüngst überarbeiteten ITK-Sicherheitsrichtlinien [4] eine neue Sicherheitskultur fördern, die sich durch die gesamte Gesellschaft ziehen soll. Sicherheitsgedanken sollen von Anfang an bei der Entwicklung von Informations- und Netzwerksystemen einfließen und sich bis hin zum (auch privaten) Endanwender fortsetzen: "Jeder Teilnehmer ist ein wichtiger Akteur, um Sicherheit durchzusetzen."

Zur Umsetzung dieser Sicherheitskultur hat die OECD neun Prinzipien formuliert: "In einem Umfeld der weltweiten Abhängigkeit von Informationssystemen und Netzwerken demonstrieren die Leitlinien die Verpflichtungen der OECD-Regierungen zu einer stabilen und produktiven Entwicklung der Online-Kommunikation. Sie fordern alle Anwender der Informationstechnologie, einschließlich Regierungen, Wirtschaft und Individuen dazu auf, die neun Basisgrundsätze, die sich auf Gebiete wie Sicherheitsbewusstsein und Verantwortlichkeit sowie Respekt vor ethischen und demokratischen Werten beziehen, zu befolgen und umzusetzen", hieß es im August 2002 hierzu in einer OECD-Pressemitteilung. Frei übersetzt fordern die Richtlinien:

Sicherheitsbewusstsein (Awareness): Netzteilnehmer sollten sich der Notwendigkeit von Sicherheit für Informationssysteme und Netzwerke sowie ihrer Möglichkeiten zur Verbesserung der Sicherheit bewusst sein.
Verantwortliches Handeln (Responsibility): Alle Teilnehmer sind für die Sicherheit von Informationssystemen und Netzwerken verantwortlich.
Verantwortliche Reaktionen (Response): Teilnehmer sollten zeitnah und kooperativ handeln, um Sicherheitsvorfällen vorzubeugen, sie zu erfassen und darauf zu antworten.
Verhaltenskodex (Ethics): Teilnehmer sollten die rechtmäßigen Interessen anderer respektieren.
Demokratiegrundsatz (Democracy): Die Sicherheit von Informationssystemen und Netzwerken sollte mit den grundlegenden Werten einer demokratischen Gesellschaft im Einklang stehen.
Risikobewertung (Risk Assessment): Teilnehmer sollten Risiken bewerten.
Sicherheits-Design und -Implementierung: Teilnehmer sollten Sicherheit als ein lebensnotwendiges Element von Informationssystemen und Netzwerken ansehen.
Sicherheits-Management: Teilnehmer sollten ein umfassendes Sicherheits-Management einführen.
Neubewertung von Risiken (Reassessment): Teilnehmer sollten die Risiken von Informationssystemen und Netzwerken regelmäßig überprüfen und neu bewerten; Security Policies, Verhaltensweisen, Maßnahmen und Abläufe sollten angemessen angepasst werden.

----------Ende Textkasten----------

Fehlendes Verständnis zur Etablierung von Sicherheitslösungen rührt häufig auch daher, dass die Gefahren vielen Menschen als zu abstrakt erscheinen. Doch die direkte Gefahr ist manchmal näher, als man sich es vorstellen kann. Ein Beispiel: Ein anonymer Anrufer erklärt, dass eine Person aus der Entwicklungsabteilung interne Dokumente an die Öffentlichkeit gegeben hat. Jeder der zehnköpfigen Abteilung gilt nun als potenzieller Täter. Keiner kann dem anderen mehr trauen – Gift für das Arbeitsklima! Was häufig aber noch viel schlimmer wiegt, ist der Vertrauensverlust zwischen Vorgesetztem und potenziellem Täter. Auch wenn der Verdacht letztendlich ausgeräumt werden kann, bleibt immer ein fader Beigeschmack haften.

Die ausgefeilteste Sicherheitskonzeption bringt jedoch nichts, wenn sie nicht in die Praxis umgesetzt werden kann. Daher besteht eine der Hauptaufgaben darin, dass ein Sicherheitskonzept auch "gelebt" wird. Das Management muss hierbei eine Vorbildfunktion einnehmen. Die Mitarbeiter müssen erkennen, dass sich auch alle anderen vom Geschäftsführer oder Vorstandsvorsitzenden bis zum direkten Vorgesetzen an die Sicherheitsregeln zu halten haben. Nur so kann man das Ziel erreichen, dass das Sicherheitskonzept in die Unternehmenskultur/-philosophie wie selbstverständlich integriert ist. Dies ist der Idealzustand, den man natürlich nicht von heute auf morgen erreicht. Aber unter Berücksichtigung der Leitlinien Offenheit, Transparenz und Vertrauenswürdigkeit kommt man diesem Ziel sehr nahe.

Dietmar Meding ist Geschäftsführer von Consul risk management Deutschland ( [externer Link]

Bedrohung

Innere Sicherheit