![[externer Link]](../../../../images/link.gif)
www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.Wie jedes Mal habe ich wieder gespannt auf die Auswertung der <kes>-Sicherheitsheitsstudie gewartet. Leider bin ich nach der Lektüre nicht beruhigt, meine Hoffnungen haben sich nicht erfüllt. Kurz gesagt: "Wir haben ein fundamentales Sicherheitsproblem!" Und dieses Problem liegt weniger in der Technik oder den Angriffen begründet als vielmehr in den Köpfen jedes Einzelnen – von der Anwenderin und dem Anwender bis hin zu denen, die über die Gelder verfügen.
"Es fehlt an Geld!" haben 55 % der Teilnehmer angekreuzt und dies damit zum größten Hindernis für eine bessere Informationssicherheit gemacht. Gräbt man ein bisschen tiefer, findet man noch andere Aussagen, hinter denen letztendlich nichts anderes steckt als "zu wenig Geld". Hierbei gibt es einfache Zusammenhänge wie das Fehlen kompetenten Personals oder umsetzbarer (Teil-)Konzepte. Schon schwieriger zu erkennen wird es bei Anwendungen, die nicht für Informationssicherheit ausgelegt sind: Hier muss teilweise viel Geld zusätzlich investiert werden, um die schlimmsten Lücken zu schließen oder Zusatzfunktionen aufwändig zu entwickeln. Aber auch das Nicht-Umsetzen vorhandener Konzepte ist reine Verschwendung, denn dann hätte man sich das Konzept auch gleich sparen können und mit dem Geld lieber andere Sachen vorangebracht.
Es ist also schon erkennbar, was mit dem Geld gemacht werden (Personal einsetzen) und wo Geld gespart werden könnte (nachhaltig arbeiten). Allerdings verbirgt sich hinter dem Gesamtaspekt "Geld richtig ausgeben" ein grundsätzliches, viel schwierigeres Problem: das Erkennen und Ausbalancieren von Notwendigkeit und Verhältnismäßigkeit.
Die Menge der Themen, die um das gleiche Budget für Informationssicherheit konkurrieren, wächst ständig. Und die Menge derjenigen, die versuchen "ihr" Thema möglichst populär anzubringen, ebenso. In dieser Situation den Überblick zu behalten fällt sogar dann schwer, wenn man sich auf dieses Thema spezialisiert hat.
Allein eine konsequente Analyse, mit Einbeziehung aller Verantwortlichen, kann dieses Problem lösen. Als Ergebnis wird zwar in der Regel eine sehr lange Liste an möglichen Kostenpunkten herauskommen, allerdings ermöglicht es diese Strukturierung, Schwerpunkte zu setzen und ein stimmiges Gesamtkonzept zu entwickeln. Vor allem ist das Ergebnis dokumentiert und nachvollziehbar, bildet also die Basis für die weitere Diskussion. Dann bleibt zu guter Letzt "nur" noch, den eingeschlagenen Weg auch konsequent zu verfolgen und durchzusetzen.
Ungeachtet aller Planungen und detailliertester Betrachtungen kann man aber immer wieder beobachten, dass einige Probleme mehr Aufmerksamkeit – und damit Geld – erlangen, als zweckdienlich wäre. Hier spielt vor allem die Subjektivität der Bewertung eine große Rolle – bestimmen doch allzu leicht die (öffentliche) Berichterstattung sowie die Meinungsäußerungen weniger Experten, was gerade eben "wirklich wichtig" ist.
Ein derart von Dritten als "wirklich wichtig" bezeichnetes Thema – von irgendwoher mitgebracht – entwickelt mitunter große Eigendynamik. Und weil die Absicherung ein "Muss" darstellt, wird es häufig gleich mit hoher Priorität angegangen und zumindest von den verantwortlichen Entscheidern nicht mehr hinterfragt. Solche Eingriffe in bestehende Planungen helfen jedoch wenig, sondern stellen nichts anderes dar als Flickwerk oder Ablenkung.
Natürlich kann jeder Plan auch Anpassungen erfordern, und nicht zuletzt sind Computer Emergency Response Teams (CERTs) dafür bekannt, mit ihren Warnungen und Informationen tagesaktuell neue Probleme zu beleuchten. Doch solche Probleme sollten in einem guten Plan bereits bedacht worden sein. Und wenn tatsächlich der bisherige Plan überdacht werden muss, dann ist es am besten, dies möglichst objektiv nach den immer gleichen Regeln durchzuführen: Was brauchen wir neu? Was ist gut genug?
Unsicherheit wird vor allem subjektiv empfunden, genauso wie die Bedeutung oder Wirksamkeit von Sicherheitsmaßnahmen. So gesehen ist das größte Problem – und das sieht auch das Management so – eine mangelnde Nachvollziehbarkeit oder fehlende Objektivierung. Diese Lücke kann niemals vollkommen geschlossen werden, denn Sicherheit ist nie nur objektiv. Trotzdem muss jede Anstrengung unternommen werden, möglichst nahe an dieses Ziel heranzukommen.
Und hier kommt ein weiteres wesentliches Element für ein erfolgreiches Risikomanagement hinzu: die Nachhaltigkeit. Pläne und Konzepte aufzustellen ist leider nicht genug, wenn sich niemand – auch nicht das Management selbst – daran hält. Kontinuität wird gerade bei solchen Prozessen gebraucht, die ständig gleiche Fragestellungen und Entscheidungen bewerten müssen, wie dies im Risikomanagement nun einmal der Fall ist.
Daher, wie schon öfter an dieser Stelle vermerkt, müssen (auch) CERTs immer mehr dazulernen. Nur so können sie ihren Nutzen erhalten und Mehrwert bieten. In Bezug auf die obigen Ausführungen bedeutet dies vor allem: CERTs müssen Einblicke in die wirkliche Lage der Informationssicherheit bieten – und so helfen, das zur Verfügung stehende Geld möglichst sinnvoll und zielgerichtet auszugeben.
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#5, Seite 51
| 