Aus aktuellem Anlass „Milliardenverlust bei Société Générale“ beginne ich mit dem Thema IT Sicherheit. Dieses Thema ist so vielschichtig und steckt voller Trugschlüsse, dass dies nicht in einem Beitrag abgehandelt werden kann. An der Diskussion, ob ein Einzeltäter sämtliche Sicherheitsmaßnahmen einer Geschäftsbank umgehen konnte, werde ich einige entscheidende Aspekte von IT Sicherkeit erläutern.
IT Sicherheit hat keine Dimension, ihr kann keine physikalische Größe zugeordnet werden. Dies ist für den Umgang mit diesem Begriff von entscheidender Bedeutung. Zum besseren Verständnis ein kurzer Vergleich: Die Schönheit eines Menschen ist in diesem Sinne genauso ohne Dimension. Zwar könnte man die Relation „ist schöner als“ durch eine Befragung einer repräsentativen Gruppe definieren, jedoch würde sich diese Definition von dem Ergebnis einer Expertengruppe der Modeindustrie erheblich unterscheiden.
Mit diesem Hintergrundwissen können Sie schon Aussagen wie „ist 100%-ig sicher“ oder „das sicherste System der Welt“ sinnvoll einordnen. Sicherheit ist also relativ und hat viel mit der Branche zu tun, in der Sie unterwegs sind. Der Vergleich zum Mitbewerb „unser Model ist schöner als“ ist den Menschen leichter zugänglich, als eine ausgefeilte Studie über alle Branchen hinweg. Tatsächlich lassen sich von IT Security Experten Urteile fällen, wie „ist sicherer als“ oder „ist unsicher weil kein Industriestandard mehr“.
Weiterhin ist IT Sicherheit ein Kostenfaktor. Angreifer werden sich das schwächste Glied der Kette vornehmen, analysieren und einmal Eingedrungen hier einen Brückenkopf ausbauen. Für die IT Sicherheit bedeutet das: Die gesamte Lieferkette muss abgesichert werden. Dies zieht unter anderem Neuanschaffungen nach sich, denn Verschlüsselungsverfahren oder andere Sicherungskonzepte sind meist nach Jahren soweit analysiert, dass sie verbessert werden müssen. Auch steigt der Personalaufwand drastisch, während komplett ungesicherte Systeme auch von Studenten am Laufen gehalten werden können, erfordern abgesicherte Systeme Expertenwissen und viel Zeitaufwand für Routinetätigkeiten und Angriffsfälle.
Viele Rechenzentren und IT Abteilungen arbeiten deshalb sehr konzentriert an der Absicherung nach außen. Die eigene IT Infrastruktur wird wie durch einen Zaun geschützt, im Innersten selbst ist vieles leicht zugänglich. Die Gründe so vorzugehen sind meiner Ansicht nach absolut nachvollziehbar. Mehr dazu inweiteren Beitragen zur IT Sicherheit. Einer der Folgen ist, dass erfolgreiche Angreifer sehr schnell Zugriff auf viele Dienste erhalten und sich vor Entdeckung leicht schützen können.
Ein letze Betrachtung: Die Eigenschaft von IT Systemen Betriebsabläufe abzubilden, gepaart mit dem Glauben an Tools, wird beim Thema IT Sicherheit zu einer explosiven Mischung. Ein IT Tool kann nur die bestehenden Prozesse abbilden und rationalisieren. Technik wird nie die sozialen Probleme einer Organisation lösen können. Am extremsten wird dies Organisationen treffen, die bisher Geschäftsprozesse und Verfahren als unnütze Zusatzarbeit angesehen haben, die nur zu Zertifizierungszwecken durchgeführt wurde.
Stellen Sie sich einen Hauptabteilungsleiter (-in) in einer solchen Organisation vor. Ohne IT Technik musste er laut Verfahrensanweisungen jeden Urlaubsantrag einzeln unterschreiben. De facto wurde dies jedoch nie gemacht. Mit einem neu eingeführten Workflow-System wird er zu der Autorisierung gezwungen. Da der gesamte Urlaubs-Genehmigungsprozess vom ungeliebten Papier in ein IT System übertragen wurde, passt dieser nun nicht mehr zur Unternehmenskultur. Als Umgehungslösung gibt der Abteilungsleiter nach einigen Tagen Quälerei sein Passwort an seine Assistenz. Diese erhält mit dem Passwort nun auch Zugriff auf unternehmenskritische Autorisierungen. So etwas gibt es bei Ihnen nicht? Kennen Sie das SNAFU-Prinzip?
Die abschließende Frage, kann ein relativ kleiner Angestellter Zugriff auf das Allerheiligste einer Firma bekommen und diese Infrastruktur lange Zeit ohne Entdeckung nutzen? Aus Sicht einer fehl-gesteuerten IT Sicherheit in einem Unternehmen, muss ich das deutlich bejahen. Solche verkorksten Fälle sind bedauerlicherweise nicht selten, sowohl kleine Betriebe als auch große Konzerne sind betroffen, ja sogar manche Security-Zertifikate würde ich im Einzelfall hinterfragen. Die konkrete Situation bei Société Générale kann ich nicht beurteilen. Die kommenden Monate werden uns hoffentlich schlauer machen.
In meiner Tätigkeit habe ich aber auch schon einige positive Fälle gesehen. Auch bei den positiven Fällen spielt die Firmengröße keine Rolle. Manchmal sind auch in Familienbetrieben absolute Profis am Werk. Komischerweise protzen Profis nie mit ihrer IT Sicherheit oder dem erreichten Grundschutz 🙂
So der Artikel ist lang genug geworden, mehr Facetten der IT Sicherheit in den nächsten Wochen.
Quintessenz
- IT Sicherheit ist nicht in konkreten Zahlen fassbar. Orientieren Sie sich an „Industriestandards“, am besten auch an denen anderer Branchen.
- Machen Sie die Kosten für IT Sicherheit transparent und berechnen Sie Ihr Risiko. Viele Unternehmen fahren ein zu hohes Risiko, weil bisher immer alles gut gegangen ist. Ein Self Assessment ist ein geeigneter Einstieg.
- Lassen Sie sich nicht von Sicherheitsexperten der Softwarehersteller beeinflussen. Wenn Sie deren Expertise heranziehen, hören Sie sich mindestens die Argumente des Mitbewerbs an. Am besten unter Hinzuziehung eines unabhängigen Dritten.
- People, Processes, Tools ist kein hehrer Ansatz. Bilden Sie entweder die echten Abläufe in Ihrem Unternehmen in Tools ab oder starten Sie bei dem Umbau mit den Menschen.
Weiterlesen
Dieser Artikel ist Teil meiner Reihe IT Fundamentals. Auf diese Reihe können Sie sich gerne abonnieren, tragen Sie einfach Ihre E-Mail-Adresse ein, dann erhalten Sie stets einen Link zum neuesten Artikel.
Ich hoffe es hat Ihnen gefallen. Viele Grüße Werner Roth