Jede Organisation strebt nach einem Mindestmaß an Sicherheit, um die eigene Existenz nicht zu gefährden. Sicherheit spielt auch im täglichen unternehmerischen Leben eine Rolle, damit Geschäfte ohne Schwierigkeiten und Hindernisse ausgeführt werden können. Sicherheit schafft das Vertrauen und damit die Basis für alle Geschäftsabläufe.
Sicherheit ist ein Gefühl und im Grunde nicht messbar. Das ist einerseits eine gute Eigenschaft, da man auch mit wenigen gezielten Maßnahmen das Sicherheitsgefühl der Akteure positiv beeinflussen kann, ohne dass sich an der eigentlichen Situation etwas ändern muss. Nichts anderes ist gemeint, wenn man vom "Pfeifen im Walde" spricht: Der Wald bleibt dunkel, aber durch das selbstbewusste Auftreten ist man wieder Herr der Lage und die vermeintliche Gefahr ist erstmal abgewendet – zumindest dem Gefühl nach.
Andererseits wird auch auf dem Sicherheitsmarkt nicht selten mit dem Gefühl der Kunden gespielt, wenn durch "Fear, Uncertainty and Doubt" (FUD) für die Einführung teurer Sicherheitstechnologie geworben wird. Wie dem auch sei: Zielführend und professionell ist es nicht, Geschäftsentscheidungen alleine auf Gefühlsbasis zu tätigen!
Es gibt zwar durchaus Ansätze "Sicherheit" zu messen, doch sie sind aufgrund der prinzipiellen Nichtmessbarkeit zum Scheitern verurteilt beziehungsweise bleiben immer im Bereich ungenauer Aussagen. Sehr wohl messbar ist zwar die Wirksamkeit von Sicherheits-Maßnahmen mithilfe von Key-Performance-Indikatoren (KPI). Welche Maßnahme jedoch einzusetzen ist, hängt auch dann im Wesentlichen vom "Risikoappetit" des Unternehmens ab.
In der Diskussion um Informationssicherheit sollte man daher die Betrachtung auf das Risiko lenken: Risiko als Maßzahl für Verwundbarkeit und Auswirkung hilft, die Sicht weg von einem Gefühl hin zu einer Einschätzung der Situation zu führen, die auf der Betrachtung von Maßnahmen und ihrer Wirksamkeit basiert. Mit einer risikoorientierten Sicht auf die Geschäftsabläufe und der dazu passenden Einführung von Sicherheitsmaßnahmen kann jedes Unternehmen am Ende dasjenige Maß an Sicherheit für sich definieren, das den eigenen (Geschäfts-)Bedürfnissen entspricht.
Ein solcher risikoorientierter Ansatz setzt sich vermehrt durch und hilft Unternehmen, Maßnahmen nach den tatsächlichen Bedingungen und Geschäftszielen zu planen, umzusetzen und zu betreiben.
Peter Wirnsperger ist Senior Manager im Bereich Enterprise Risk Services bei Deloitte ( www.deloitte.com/de/).
Sind wir sicher? Beim Autofahren passieren Unglücke, der ICE hat Probleme mit den Achsen und die Zahl der Einbrüche soll im letzten Jahr wieder gestiegen sein. Doch der Bürger fühlt sich sicher, weil er das richtige Auto fährt und seine Haustür gut abschließt und der Bahn vertraut, dass die das Problem mit den Achsen schon in den Griff bekommt. Sicherheit scheint eine subjektive Empfindung zu sein und mit der Bereitschaft zusammenzuhängen ein Risiko einzugehen.
Unternehmen gehen Risiken ein, um handlungsfähig zu sein: Das Werksgelände wird aber gemäß einer Risikoabschätzung geschützt und präpariert – mit Zugangskontrollen, Zäunen und Security-Personal.
In der virtuellen Welt ist der Begriff der Sicherheit weniger greifbar – eine Firewall ist nicht so offensichtlich wie ein Pförtner oder ein Zaun. Es werden zwar Sicherheitsvorkehrungen ergriffen, etwa durch den Einsatz von Security-Gateways und Anti-Viren-Lösungen, aber reichen diese? Die virtuelle Welt bietet aufgrund ihrer verteilten Struktur nicht nur Vorteile für die Unternehmen, sondern auch für die Angreifer: Der Aktionsradius erweitert sich auf die ganze Welt, während bei einem "physischen" Angriff die Anwesenheit am Zielobjekt notwendig war. Damit steigt auch die Zahl der potenziellen Angreifer.
Wird diesem Risikopotenzial mit geeigneten Mitteln entsprochen? Die Antwort auf diese Frage lautet fast überall: Nein! Dafür gibt es mehrere Gründe: Die digitalen Medien sind den meisten Nutzern noch nicht so vertraut, wie es für die Vielzahl von Anwendungen notwendig wäre. Der Mensch ist demnach die größte Fehlerquelle, wie es in der realen Welt meist ebenso der Fall ist. Durch die rasante Entwicklung und die unendlich scheinenden Möglichkeiten gab es bisher nicht genügend Zeit, um Erfahrungswerte aufzubauen – wie beispielsweise bei der Sicherheit von Autos oder dem Verhalten im Straßenverkehr. Es gibt (bislang) keine "digitale" Sicherheitskultur! Das gilt für alle digitalen Einsatzformen und insbesondere für das Internet.
Ein gutes Beispiel ist eine Umfrage, die das Institut für Internet-Sicherheit if(is) vor Kurzem durchgeführt hat: Auf der Straße wurden Passanten unter einem Vorwand nach ihren Passwörtern gefragt und mehr als 90 % der Befragten gaben ein oder mehrere Passwörter heraus. Auf Nachfrage wurden zusätzlich auch Adressdaten und zugehörige Accounts genannt und es war erschreckend einfach, an diese Informationen zu kommen. Hätte man die Menschen nach ihrem Haustürschlüssel gefragt, wäre das Ergebnis ganz sicher anders ausgefallen. Die Sensibilisierung spielt also eine entscheidende Rolle für die Sicherheit im digitalen Umfeld. Ziel muss es daher sein, eine Sicherheitskultur für die neuen Medien aufzubauen!
Auf technologischer Ebene gibt es heute bereits gute Lösungen, um Sicherheit zu implementieren: Hier bleibt jedoch festzustellen, dass das Bewusstsein, dass digitale Sicherheit Geld kostet, bei den meisten Firmen noch nicht vorhanden ist. Es wird zu wenig investiert, wahrscheinlich nicht zuletzt, weil digitale Sicherheit schwer zu sehen ist und man nicht gerne Geld für etwas ausgibt, dass man nicht sehen kann. Meist richtet man entscheidende Sicherheitsvorkehrungen erst ein, wenn zum ersten Mal etwas passiert ist. Diese Einstellung muss sich ändern!
Wichtig ist die Installation von garantierter Vertrauenswürdigkeit. Die kann nur erreicht werden, wenn wir sichere Zustände herstellen und kontrollieren können, ob diese sich verändert haben. Nicht nur Anwender, auch Geräte müssen sich vertrauenswürdig darstellen: Erreichbar ist dieses Level an Vertrauenswürdigkeit über Messwerte. Technologie wie Trusted Computing bietet diese Möglichkeiten frei nach dem Motto: "You can manage it, if you can measure it." Hierin liegt ein Schritt von reaktiver Sicherheit zu "proaktiver" Sicherheit, wie sie mit dem Einbau eines Airbags oder von ESP in der Automobilwelt vergleichbar ist.
Um in der digitalen Welt sicher zu sein, bedarf es einer Sicherheitskultur, welche die Bewusstseinsbildung der Anwender ebenso umfasst wie die Einsicht, notwendige finanzielle Maßnahmen zu ergreifen. Dazu zählen einerseits Investitionen in digitale Technik und Infrastruktur, andererseits Investitionen in den Einsatz neuer Technologie, die Sicherheit messbar macht und so Vertrauenswürdigkeit herstellt.
Markus Linnemann (markus.linnemann@internet-sicherheit.de) ist Geschäftsführer des if(is) – Instituts für Internet-Sicherheit an der Fachhochschule Gelsenkirchen.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2009#2, Seite 24
tag:kes.info,2007:lp:2009-2-B