| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Obwohl es eigentlich eine Binsenweisheit sein sollte, dass man ohne Strategie nur taktieren kann, hatten auch in der letzten <kes>-Sicherheitsstudie im Jahre 2002 nur 56 % der Teilnehmer eine schriftliche fixierte Strategie zur Informationssicherheit vorzuweisen. Dabei ebnet erst ein umfassendes Konzept den Blick auf "strategische Werkzeuge" wie ein Meta-Directory, das als zentraler Datenspeicher etliche sicherheitsrelevante Aufgaben erfüllen hilft.
Mit Investitionen in Sicherheitstechnik allein ist es schlichtweg nicht getan. Erst ein ganzheitliches Sicherheitskonzept, das auf die individuelle Gefahrenlage der einzelnen Geschäftsdatenbestände und -prozesse eingeht, eröffnet einen bedarfsgerechten Schutz und vermeidet, Geld für unnötige IT-(Sicherheits-)Investitionen buchstäblich zum Fenster hinauszuwerfen oder für den Betrieb von Sicherheitssystemen zuviel auszugeben. Nur durch eine ganzheitliche Strategie wird ein Unternehmen oder eine Behörde auf ein in sich stimmiges Sicherheitssystem bauen können, das sich flexibel an veränderte Geschäftsziele und Gefahrenszenarien anpassen lässt.
Zum Anfang kommt man nicht umhin, den Risiken auf den Grund zu gehen: Dazu müssen erst einmal die einzelnen Geschäftsabläufe sowie die daran beteiligten Daten und Prozesse genau analysiert werden – inklusive der Daten- und Prozessanforderungen von Partnern. Erst hierdurch werden Abfolge und Abhängigkeiten innerhalb der Geschäftsprozessketten sowie ihr jeweiliger Stellenwert für das Unternehmen klar. Diese Analyse macht zudem deutlich, welche Systeme an welchen Schnittstellen vor wem und in welchem Maße zu schützen sind. Eine detaillierte Gegenüberstellung innerhalb einer Matrix verschafft dabei Überblick.
Von dieser Recherche und Gegenüberstellung dürfen auch die eigenen Administratoren, Operatoren und Helpdesk-Mitarbeiter nicht ausgenommen werden. Auch ihnen gegenüber gilt es, getreu der Devise "soviel wie nötig, aber nicht mehr als notwendig", die richtigen Sicherheitsvorkehrungen einzurichten. Nicht vernachlässigen darf man dabei Hochverfügbarkeitsanforderungen sowie den räumliche Schutz von Daten und Systemen, sowohl gegenüber Dritten als auch gegenüber den eigenen Mitarbeitern.
Das tatsächlich notwendige Absicherungsmaß entlang der einzelnen Geschäftsprozessketten werden Entscheider allerdings nur dann konkretisieren können, wenn sie dabei eng mit den Fachabteilungen zusammenarbeiten: Die Mitarbeiter dort wissen am besten, welchen Stellenwert die einzelnen Daten und Prozesse für sie haben. Außer zum Ist-Soll-Abgleich ist der Einbezug der Fachabteilungen ins Projekt auch wichtig, um die dortigen Verantwortlichen und Mitarbeiter frühzeitig für notwendige Sicherheitsmaßnahmen zu sensibilisieren. Denn Sicherheit wird nur dann verlässlich greifen, wenn sie von den Mitarbeitern "gelebt" wird.
Natürlich müssen sich auch die Entscheider ihrer eigenen Geschäftsziele – im Zuge von Marketing-, Vertriebs- und Servicestrategie – bewusst sein, um die notwendige Sicherheitsmaßnahmen daran ausrichten zu können. Die Ziele sollten kritisch in Form eines Business-Case nachgerechnet werden. Denn was nutzen zu hoch gesteckte Geschäftsziele in einem hart umkämpften Markt? Zumal wenn sie womöglich nicht einmal umsetzbar sind?! Darüber hinaus gilt für die Sicherheitsstrategie: So viel Veränderungen wie nötig, aber nicht mehr als für die Organisation verkraftbar. Andernfalls drohen Reibungsverluste und dadurch wiederum Sicherheitseinbußen und unnötige Kosten. Das gesamte Sicherheitsprojekt sollte deshalb in klar überschaubaren Etappen auf einer realistischen Zeitschiene ablaufen.
Doch auch die beste Sicherheitsstrategie genügt noch nicht, solange sie nur auf dem Papier steht. Erst wenn es gelingt, den gesamten Sicherheitsschirm mit allen darunter angesiedelten Teilnehmern, Systemen und Ressourcen konsequent zu führen, ist eine umfassende Sicherheitsstrategie auch umsetzbar. Konsequente Führung heißt dabei, alle Einträge zu den Teilnehmern – eigene Mitarbeiter, Mitarbeiter der Geschäftspartner, bekannte Internet- und mobile Teilnehmer – sowie Systemressourcen nebst Zugriffsrechten stets konsistent zu halten. Dies auf jedem einzelnen System – und damit mehrfach – zu erfassen, zu pflegen und bei Bedarf zu löschen, muss zwangsläufig zu Dateninkonsistenzen führen, gleichbedeutend mit Löchern innerhalb des Sicherheitsschirms. Parallel dazu drohen die Administrationskosten zu explodieren – umso eher, je mehr Systeme mit eigenem, herstellerspezifischen Verzeichnis im Einsatz sind.
Der Weg aus diesem Dilemma: übergreifende Management-Systeme, zum Beispiel mithilfe eines Meta-Directory. In ein solches "Überverzeichnis" integriert, müssen alle Teilnehmer, Systemressourcen und Berechtigungen nur einmal erfasst, gepflegt und bei Bedarf gelöscht werden. Ausgangspunkt der Erfassung sollte die Personalabteilung sein, die als erste neue Mitarbeiter begrüßt und scheidende Kollegen verabschiedet. Die Einträge des Meta-Directory werden dann automatisch mit den jeweiligen (proprietären) Systemverzeichnissen synchronisiert.
Allerdings ist die Planung und Umsetzung einer Meta-Directory-Struktur eine echte Projektherausforderung. Dafür müssen sowohl alle Einträge auf den aktuellen Stand gebracht als auch die Zuständigkeiten der Administration neu geregelt werden, was leicht zu Kompetenzgerangel führen kann. Hinzu kommt die technische Realisierung: Entscheidend dafür ist die Abdeckungsbreite der so genannten Konnektoren, um darüber möglichst viele der installierten Systemverzeichnisse einbinden zu können. Dazu sollten nach Bedarf Konnektoren für die installierten Telefonanlagen und zur Einbindung mobiler Teilnehmer über Verfahren wie WAP/WML, iMode/cHTML oder XML/XSL gehören. Auch wenn diese meist spezifisch angepasst werden müssen, ist das immer noch besser, als für diesen Zweck zeit- und damit kostenaufwändig neue Konnektoren eigens entwickeln zu lassen.
Wichtig ist für das Unternehmen, sich bei der Etablierung eines solchen Management-Systems nicht zu "überheben". Deshalb sollten in der ersten Etappe lediglich die Zielsysteme integriert werden, die für das Geschäft sowie die Sicherheit von Daten und Prozessen die größte Bedeutung haben. Die Integration weiterer Systeme kann man später anpacken, wenn sich das Meta-Directory an sich im Unternehmen etabliert hat. Auf die Einbindung von Zielsystemen, deren Integration sich mit Blick auf das Geschäft und die Sicherheit nicht lohnt, sollten Entscheider gänzlich verzichten, um unnötige Kosten zu vermeiden. Übrigens gibt es Meta-Directory-Lösungen auch als modulare Open-Source-Produkte, für die keine Lizenzkosten anfallen.
Ein weiteres stichhaltiges Argument für den Meta-Directory-Einsatz liefert die Verwaltung des kompletten Teilnehmerkreises an Unternehmensprozessen im Sinne eines Identity-Management. Die zu erwartende Schar von Benutzern mobiler datenfähiger Geräte im Rahmen der dritten Mobilfunkgeneration (Universal Mobile Telecommunications System, UMTS) sowie per Wireless LAN dürfte zusätzlich Druck in diese Richtung bewirken. Aufbauend auf der sicheren Identifikation aller Teilnehmer kann über die im Meta-Directory hinterlegten Regeln und Rollen für alle integrierten Systemverzeichnisse eine verlässliche Authentifizierung (Zugangsschutz) und Autorisierung (Zugriffskontrolle) etabliert werden, über ein Zusatzprodukt gegebenenfalls kombiniert zu einem Single Sign-on (SSO), das sowohl den Teilnehmer von der allzu üblichen Passwortflut entlastet als auch Sicherheitsvorteile für das System mit sich bringt (ggf. für höhere Sicherheitsanforderungen auch mit Hardware-Token oder Chipkarten).
----------Anfang Textkasten----------
Chipkarten ermöglichen einem Unternehmen ein hohes Maß an Sicherheit und Zugriffskontrolle. Doch wie kann man Mitarbeiter zum konsequenten Einsatz ihrer Chipkarte motivieren? Das beste Mittel dazu ist eine multifunktionale Smardcard, die auch Zutritts- und Bezahlfunktionen umfasst (beispielsweise für das Betriebsrestaurant oder eine Automatenstraße). Über ein solches System ist es zudem möglich, unterschiedliche Preise zu berücksichtigen, etwa Subventionen für eigene Mitarbeiter und "Normalpreise" für freie Mitarbeiter – die Preisstaffeln lassen sich direkt aus dem Rechte- und Rollenmanagement ableiten. Der Vorteil für den Chipkarten-Inhaber ist in jedem Fall das unkomplizierte Bezahlen. Der positive Nebeneffekt: Man umgeht das Risiko, dass der Mitarbeiter beim Verlassen seines Arbeitsplatzes die Chipkarte vergisst oder aus Bequemlichkeit zurücklässt.
----------Ende Textkasten----------
Selbst der Ausbau zur Public-Key-Infrastruktur (PKI) lässt sich mittels Meta-Directory plus Zusatzprodukt bewerkstelligen. Die Abwicklung von Authentifizierung und Autorisierung über deren Zertifikate erschließt dann Sicherheit gleich in dreifacher Hinsicht: Authentizität der Teilnehmer, Integrität der Übertragungsdaten durch elektronische Signaturen sowie Vertraulichkeit der Übertragungsdaten durch Verschlüsselung. Allerdings sollten Entscheider darauf achten, ob SSO und PKI durch den Hersteller der Meta-Directory-Lösung selbst oder durch einen Dritthersteller umgesetzt werden. Im zweiten Fall kann ein erhöhter Integrationsaufwand drohen. Auch die unterstützten Lösungen für die notwendigen Certification Authorities (CA) einer PKI sollte man genau untersuchen.
Firewalls und Virtual Private Networks (VPN) sollten ebenfalls im gesamtheitlichen Sicherheitskonzept aufgehen. Voraussetzung dafür ist, dass sich auch die Teilnehmer ins zentrale Benutzermanagement überführen lassen, die bis dato innerhalb der Firewall-Administration verwaltet wurden. Dazu hat man im Prinzip drei Alternativen: Spezielle Konnektoren (wie für Symantec-Systeme) oder Normierungsansätze (wie Check Points OPSEC-Schnittstelle) sind leider die Ausnahme. So bleibt als dritte Möglichkeit meist nur ein eigens für das spezifische Firewall-System zu programmierender Adaptor. Bei der VPN-Lösung sollte man zudem auf die Standardkonformität gemäß IPSec(urity) und Internet-Key-Exchange (IKE) achten; mit Unterstützung von Zertifikaten – die wenigsten Firewall-Hersteller offerieren das – kann man zudem auch die VPNs in eine sichere PKI einbinden.
Wie schon angesprochen, gehört auch die Steuerung der Zutrittskontrolle für Gebäude und Räume zur ganzheitlichen Sicherheitsstrategie – sie sollte dementsprechend ebenfalls unter dem Schutzschirm und in das Meta-Directory integriert werden. Aus den Rechten und Rollen jedes Mitarbeiters lassen sich auch seine Zutrittsrechte zu bestimmten physischen Zonen inklusive der zugehörigen Türen und Zeiten ableiten, welche die Datenbank des Zutrittskontrollsystems verwaltet. Die Kunst des Zusammenspiels beider Systeme besteht darin, die individuellen Rechte und Rollen aus dem Meta-Directory in eine für das Zutrittskontrollsystem verständliche Syntax zu konvertieren, um sie dort in der geforderten Form hinterlegen zu können. Das können einige wenige Meta-Directories für vereinzelte herstellerspezifische Zutrittskontrollsysteme per Konnektor erledigen, alternativ muss ein zu entwickelnder Adaptor diese Aufgabe übernehmen.
Sicherheit ist nicht teilbar. Deshalb hilft den Unternehmen lediglich ein ganzheitliches Sicherheitskonzept weiter, das sich ebenso ganzheitlich in Form eines Schutzschirms über die gesamte eingesetzte Sicherheitstechnik spannt. Nur dann ist Sicherheit in der komplexen Konstellation von Intranet, Extranet, Internet und mobilen Teilnehmern weitgehend lückenlos umsetzbar, über die Zeit beherrschbar, flexibel an veränderte Geschäftszielen anzupassen sowie auf der Aufwand- und Kostenseite vertretbar.
Bernd Redecker ist Leiter des Compentence Teams E/M Technologies bei Siemens Business Services (SBS) in Paderborn.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#1, Seite 30
|