How to resolve AdBlock issue? Am 13. Mai diskutierten Experten aus Wirtschaft und Verwaltung über leistbare Security, Privacy und Transparenz in Wirtschaft und Verwaltung. Der Report-Talk fand im Bundesrechenzentrum statt.
Ob Wirtschaftsspionage oder offene Türen im Gerätepool: Sichere Verwaltung und die Speicherung von Daten sind zu großen Herausforderungen für Unternehmen geworden. Fünf Experten diskutierten am 13. Mai in Wien zu den Fragen, wie leistbare IT-Security aussieht – und mit welchem technischen und organisatorischen Aufwand Datensicherheit gewährleistet werden kann. Fazit: Pauschallösungen gibt es nicht. Im Idealfall setzen Unternehmen auf das Kerngeschäft angepasste Sicherheitsmaßnahmen um.
Die Partner der Report-Podiumsdiskussion waren das BRZ, Bacher Systems, AIT und CSC. BRZ-Geschäftsführer Roland Jabkowski begrüßte die rund 90 Gäste: »Informationssicherheit, Cybersecurity und Datensicherheit – diese Begriffe haben in den letzten beiden Jahren deutlich an Bedeutung gewonnen. Das BRZ ist mit seinen Kunden einig, dass Sparmaßnahmen die IT-Sicherheit nicht beeinträchtigen dürfen. Cybersecurity kostet Geld. Doch keine Cybersecurity zu haben, kostet noch mehr Geld.«
Report: Worin bestehen die Vorteile, Daten in ein Rechenzentrum auszulagern? Warum machen sich Unternehmen bei einer Auslagerung an Dritte in Sachen Datensicherheit trotzdem nicht angreifbarer?
Johannes Mariel, Bundesrechenzentrum: Wir erleben tagtäglich ausgetüftelte Angriffe und haben es mit einer Vielzahl an unterschiedlichen Schwachstellen zu tun. Sicherheit bedeutet einen hohen Aufwand, um sie auch professionell zu gewährleisten. Das müssen sich auch kleine Unternehmen oder Organisationen leisten können. Um das an einem praktischen Beispiel festzumachen: Der Aufwand an Schwachstellenmanagement, um zehn Windows-Server zu betreiben, entspricht im Wesentlichen dem gleichen Aufwand bei einem Betrieb von 100 oder 500 Servern. Dieser Aufwand ist in größeren Rechenzentren besser skalierbar.
Jeder unserer Mitarbeiter ist persönlich zur Amtsverschwiegenheit verpflichtet. Wir haben ein eigenes BRZ-CERT (Anm. »Computer Emergency Response Team«). Und wir haben die richtigen Leute mit den richtigen Qualifikationen, die sich ausschließlich mit IT-Sicherheit beschäftigen.
Auch bewegen wir uns als Organisation in einem Rahmenwerk, das größtmögliche Sicherheit garantiert. Im Frühjahr wurde das Informationssicherheits-Managementsystem des BRZ nach der jüngsten Version 2013 der ISO 27001 rezertifiziert. Die wesentlichste Neuerung dieser Norm ist der Schritt von einer maßnahmengetriebenen zu einer risikogetriebenen Sicherheit. Wurden früher in einem Katalog mehr oder weniger gleichrangig unterschiedliche Sicherheitsmaßnahmen aufgelistet, ist die Erfüllung dieser kategorischen Vorgaben nun nicht mehr das alleinige Ziel. Sie werden jetzt als Werkzeuge betrachtet, mit dem Unternehmen die jeweils eigenen Unternehmensrisiken bewältigen sollen. Dieser Schritt zur Eigenverantwortung und zu der Überlegung, wie meine schützenswerten Daten eigentlich aussehen und mit welchen Mitteln sie effizient geschützt werden, war ganz wesentlich.
Als Sicherheitsverantwortlicher muss ich mir stets überlegen, welche Sicherheitsvorgaben für die User zumutbar sind. Beim Thema IT-Sicherheit könnten wir technisch und organisatorisch alles Mögliche umsetzen, doch irgendwann ist die Akzeptanz der Benutzer am Ende. Wichtig ist eine ausgewogene Kommunikation, um Awareness und Sicherheitsvorgaben zu schaffen.
Report: Herr Hofbauer, welche Bedrohungen sehen Sie bei Ihren Kunden?
Markus Hofbauer, Bacher Systems: Wir merken bei den Unternehmen, dass nach wie vor Angriffe auf sehr einfacher Ebene stattfinden. Dazu kommen anspruchsvolle, aufwendig programmierte und ausgeführte Attacken auf Applikationsebene. Die Kombination dieser unterschiedlichen Angriffsvektoren lässt die Anzahl möglicher Bedrohungsszenarien nahezu ins Unendliche steigen. So kann ein Angreifer beispielsweise versuchen, ein Kundennetzwerk auf breiter Basis zu attackieren. Das Unternehmen ist in Folge darauf fokussiert, diesen Angriff abzuwehren. In einem zweiten Schritt wird ein Parallelangriff gestartet, der in den Aktivitäten rund um die erste Attacke quasi untergeht und leicht übersehen wird. Erst viel später muss man dann feststellen, dass Daten verschwunden sind.
Report: Was sind die wichtigsten Maßnahmen, um diese Bedrohungen zu adressieren? Sind diese eher technischer oder eher organisatorischer Natur?
Markus Hofbauer: Es ist eine Kombination aus beiden Dingen. Unternehmen brauchen einerseits ein solides, technisches Fundament an Schutzmechanismen. Auf der anderen Seite ist eine gewisse Awareness der betroffenen Personen zu ihren Handlungen und Gewohnheiten nötig. Basisschutzmechanismen wie Security-Scans, Penetration-Tests, Vulnerability-Management, Mitarbeiterschulungen – all diese Dinge bilden das Fundament für weitere Maßnahmen. Doch gibt es eine sehr hohe Dunkelziffer an Unternehmen, die angegriffen werden und die möglicherweise nicht verpflichtet sind, diese Datendiebstähle zu melden. In vielen Unternehmen herrscht eine Verschwiegenheitspflicht. Dadurch kann oder will man oft nicht einmal Hilfe von außen in Anspruch nehmen.
Abgesehen von den Unmengen an Bedrohungen, die auch medial kolportiert werden: Eine konkrete Gefahr entsteht erst dann, wenn durch Unternehmen eine konkrete Angriffsfläche geboten wird. Damit haben Unternehmen auch die Wahl, einzelne Schutzmechanismen besonders ausgeprägt einzurichten. Dazu muss man aber erst einmal wissen, welche Daten und Geschäftsprozesse überhaupt fürs Geschäft relevant sind.
Report: Herr Reiser, interessieren sich denn die Nutzer überhaupt für die Gefahren aus der Datenleitung oder auch den Schutz ihrer Daten?
Christian Reiser: Ich frage mich wirklich, ob wir nicht unsere Zeit und unsere Nerven über das letzte Vierteljahrhundert schlichtweg vergeudet haben. Die meisten interessieren sich doch gar nicht für den Schutz ihrer Privatsphäre und ihrer Daten. Wenn ich mir ansehe, was die Leute auf Facebook oder ähnlichen Plattformen posten – wo ist hier die Grenze? Informationssicherheit ist da jedenfalls kein Thema. Auch in der öffentlichen Wahrnehmung sehe ich keine Unterschiede in der Bewusstseinsbildung zu Schutzmaßnahmen im persönlichen Nutzerbereich und Bereichen auf Industrie- oder staatlicher Ebene. Wie kann es sonst sein, dass niemand vor Gericht zitiert wird, wenn Schüler- und Lehrerdaten öffentlich im Netz auftauchen oder personenbezogene Daten großflächig gestohlen werden können, wie es auch in Österreich immer wieder vorkommt?
Für mich ist wesentlich, dass zunächst immer der einzelne User geschützt werden muss. Wenn ich keine Sicherheit des einzelnen Mitarbeiters, des einzelnen Menschen habe, dann werde ich auch in der Organisation darüber letztendlich keine Sicherheit bekommen. Egal, ob das dann ein Social-Engineering-Angriff auf ein System ist oder ob man wieder einmal mit einer Datenbank zu tun hat, die nicht dem Datenschutzgesetz entspricht. Trotzdem, muss ich sagen, bei der ganzen Diskussion zu den technischen Möglichkeiten: Die von allen Maßnahmen leistbarste Investition in Sicherheit ist ein gutes Firmenklima. Ich habe noch nie erlebt, dass ein Mitarbeiter, der sich in seinem Unternehmen wohl fühlt, absichtlich und bewusst dem Unternehmen schadet.
Report: Gerade groß angelegte Cyberattacken sind meist nicht auf einzelne User oder auch einzelne Unternehmen beschränkt. Wie gut funktionieren bereits der Informationsaustausch und die Zusammenarbeit bei Attacken?
Thomas Bleier, AIT: Gerade in diesem Bereich stehen wir noch ganz am Anfang. Gerade bei großflächigen Cyberangriffen können selbst versierte Experten noch nicht auf langjährige Erfahrung zurückgreifen. Hier müssen sich noch Strukturen zum Informationsaustausch etablieren, sowohl auf einem technischen Level als auch organisatorisch – derzeit hängt hier sehr viel von einer persönlichen Vertrauensbasis der involvierten Personen ab. Es gibt zwar schon Ansätze dazu, aber da gibt es noch sehr viel zu tun. Ich gebe Herrn Reiser zu 50 % Recht, dass auch auf Userseite noch viel Aufklärungsarbeit zu leisten ist. Genauso sehe ich aber auf der anderen Seite auch ein Versagen der IT-Security. Die gängigen Sicherheitsmechanismen sind oft eine zu große Hürde für den Menschen. Ein Beispiel ist die Absicherung von Systemen über Passwörter. Der IT-Forschung ist in den vergangenen 60 Jahren nicht gelungen, einen vernünftigen Mechanismus zu entwickeln, den die Menschen auch bedienen können. Da gehen wir als IT-Security-Experten wenig auf die Bedürfnisse des Menschen ein. Weiters sehe die Notwendigkeit, den Fokus weg von einzelnen Sicherheitsmaßnahmen wie einer Firewall hin zu einer gesamtheitlichen Betrachtung der Risiken zu lenken. Wir müssen beispielsweise dem Monitoring des aktuellen Sicherheitszustandes der Infrastruktur genügend Aufmerksamkeit schenken – die beste Firewall ist nutzlos, wenn ich nicht erkennen kann, wenn sie kompromittiert wurde.
Report: In welche Bereiche der Sicherheit soll investiert werden, woran erkennen Kunden die »Quick Wins«?
Christian Fötinger, CSC: Das ist die Frage, die wir immer wieder von unserem Kunden auch hören. Wo fange ich an? Was kostet mich das? Das ist so, wie wenn im Restaurant das Menü schon fertig sein sollte, ohne vorher zu wissen, ob der Gast Vegetarier ist oder nicht. Um diese Frage zu beantworten, muss ich also erst einmal den Fragesteller kennenlernen. Ich muss wissen, welche Infrastruktur vorhanden ist, wie sein Geschäft aussieht, wer seine Nutzer sind. Wenn dagegen Einheitslösungen über Organisationen gestülpt werden, dann haben wir ein Problem.
Früher haben die Menschen ihre Städte mit Stadtmauern geschützt. Wollte man mehr Schutz, hat man die Mauer relativ einfach um einen Meter verstärkt. Heute leben wir in Städten, die keine physischen Barrieren haben und offen sind. Die Gesellschaft hat es geschafft, eine Sicherheit zu erzeugen, die keine Stadtmauer mehr braucht. Genau das müssen wir nun auch im Internet schaffen. Es gilt in der derzeit herrschenden Ambivalenz ein richtiges Maß zu finden zwischen einer offenen Welt, die barrierefrei benützt werden will, und einer IT, die noch schützende Mauern bauen muss.
Report: Welche Lücken darf eine leistbare IT-Sicherheit am Ende offen lassen? Wie sehen diese Lücken aus?
Christian Fötinger: Jedes Unternehmen benötigt andere Sicherheitslösungen. Ich demonstriere Ihnen das anhand eines Gefäßes, das ich mitgebracht habe (Christian Fötinger zeigt dem Publikum einen durchlöcherten Spielzeugkübel.) Sehen Sie die Löcher in den Wänden? Nehmen wir an, mein Unternehmen ist im Transportgeschäft tätig. Äpfel werde ich damit weiterhin transportieren können. Die Löcher sind ja zu klein, dass etwas durchrutschen könnte. Bei der Feuerwehr hätte ich mit diesem Kübel allerdings keine Chance mehr. Um Wasser damit zu tragen, ist er völlig ungeeignet.
Ich muss mich auf mein Kerngeschäft konzentrieren und genau überlegen, welche Lücken ich stopfen will. Die IT-Sicherheit muss sich dem Geschäft anpassen und das Geschäft die Risiken der offenen Kommunikation abwägen.
Fotos unter www.flickr.com/photos/award2008/sets/72157644662769114/
{youtube}qqb_AhaBXPU{/youtube}
