Mit Sicherheit

Interesse an Sicherheit


IT-Sicherheit ist schon lange mein Steckenpferd. Das hängt damit zusammen, dass in meiner IT-Kariere die Administration von öffentliche IT-Systemen bei Internet Service Providern begonnen hat. Durch die ständige Bedrohung durch die böse Internet Welt und den Nutzern ist hier eine gute Absicherung wichtig. Gleichzeitig lernt man aber auch schnell, dass man trotzdem mit Vorfällen zu rechnen hat, sich auf nichts verlassen kann (man denke nur an die SSH Sicherheitsprobleme)

Für einen gute Administrator ist es selbstverständlich alle Systeme zu härten. D.h. die angebotenen Dienste auf ein Minimum zu beschränken. Alle Anwendungen nur mit den Privilegien auszustatten die unbedingt notwendig sind.

Diese Aufgabe ist erstaunlich überschaubar, klar zu analysieren und mit Logik und Erfahrung zu lösen. Paranoia wird bei vielen Sysadmins zur Passion. Treibt man diese Obsession auf die Spitze, so kommt man in den Bereich Firewalls und Bastion Systeme. Diese mit freier Software umzusetzen hat mich nicht ohne Grund lange Zeit interessiert (Projekt Freefire).

Aber das Feld IT-Security ist eher deswegen so spannend, weil es interdisziplinär ist, neben technischen Herausforderungen gibt es ebenso eine soziale, psychologische und kriminalistische Komponente. Vom Projektmanagement, dem Controlling und den rechtlichen Aspekten gar nicht zu reden. Und ich bin der festen Auffassung dass es sich um ein "unlösbares" Optimierungsproblem handelt.

Betrachtet man sich genauer, wo überall IT eingesetzt wird, ist schnell klar dass es hier nicht nur um Verstöße gegen Informelle Selbstbestimmung oder um wirtschaftlichen Schaden oder Vandalismus handelt, nein auch ganz konkret geht es um das Leben von Menschen (die USA sind der Meinung sogar Ihre Staatssicherheit steht auf dem Spiel: Homeland Security)

Risikomanagement

"Auch Fort Knox ist nur eine Bank" - Auric Goldfinger

IT-Sicherheit ist zu einem großen Teil Risikomanagement. Denn nicht nur in James Bond Action Streifen werden immer wieder die besten Sicherheitsmechanismen auf aberwitzige Art und Weise ausgehebelt. Es ist ein Gesetz, dass es keine 100% Sicherheit gibt.

Und bedingt durch den Faktor Mensch (Anwender, Entwickler, Administrator) gilt das Pareto-Prinzip: mit geringem Aufwand lässt sich ein Grundstock an Schutzmechanismen erreichen. Je größer der Schutzbedarf ist (je geringer also das Risiko wird), desto höher wird der Aufwand. Und dieser steigt nicht linear an, sondern nimmt unverhältnismäßig zu.

Wenn man also die absolute Sicherheit nie erreichen kann, und jede zusätzliche Risikominimierung erhebliche Zusatzaufwände erfordert, so muss irgendwo eine Grenze gezogen werden.

Die IT-Sicherheit steht dabei unter schwerem Druck: Wirtschaftlichkeitsüberlegungen (Opportunitätskosten sowie Time-To-Market, Investitionen, begrenzte Kapazitäten) oder Faktoren, die auch nur schwer über zusätzliche Ressourcen beeinflusst werden können: fehlendes Wissen, mangelnde Kommunikation, Bequemlichkeit - und nicht zuletzt eine unlösbare Systemkomplexität.

In der Praxis werden die Entscheidungen, welche Schutzmechanismen wirkungsvoll und ausreichend sind meist intuitiv getroffen. Dabei hängt es stark von der Erfahrung des Entscheidungsträgers ab, wie erfolgreich diese sind. Und hierbei kann eine Entscheidung für zuviel Aufwand genauso ein Fehlschlag sein, wie ein unterschätztes Risiko.

Mit den Methoden aus dem Risikomanagement lassen sich diese Entscheidungen übrigens etwas formalisieren. Die Risiken und Chancen werden dadurch transparenter, die Entscheidungen basieren auf Fakten und dokumentierten Abschätzungen. (Aber vorsichtig, bei all den Zahlen kann man leicht vergessen was dahinter steckt. Ob man nun sicher ist oder nicht entscheidet sich so gesehen immer im Nachhinein)

Der Ernstfall

Übrigens wird der Ernstfall nicht zu vermeiden sein. Und dabei ist Mutwilligkeit meist noch der seltenste Grund für Vorfälle.

Mit dem Ernstfall zu rechnen ist aber keinesfalls Resignation oder ein Aufruf zur Schlampigkeit, Vielmehr ist es ein wichtiger und hilfreicher Blickwinke davon auszugehen, dass die Schutzmechanismen versagen können (oder es schon haben):

Alles andere als Perfekt

Ein gutes Beispiel sind Desktop oder Mail/Web Content Viren Scanner. Die Erkennungsrate. Kritiker führen an, dass man sich die mit Virenscanner verbundenen sporadischen Probleme wie Instabilität sparen kann, da die Virenscanner sowieso keine 100%igen Schutz bieten, und den Anwender nur in falscher Sicherheit wiegen.

Meiner Beobachtung nach trifft dies aber nur auf den Fall zu, dass die Virenscanner unreflektiert eingesetzt werden. Alternativen dazu sind immer zu überlegen, wie z.B. Systeme ohne entfernbare Datenträger, ohne Online Zugang. Surfplätze mit strikter Trennung vom Produktivnetz, und ganz wichtig Schulung und Aufklärung der Anwender.

Jedoch lässt sich nicht jeder Anwender zum IT-Spezialisten ausbilden; Die Kommunikation lässt sich nicht beliebig einschränken; Zudem erzwingt der betriebliche Alltag immer Kompromisse: z.B. neue Mitarbeiter sollen ab dem ersten Tag produktiv arbeiten, und bekommen die Sicherheitsschulung erst am Quartalsende.

Die Bedrohung durch weit verbreitete und bekannte Viren und Mailwürmer ist von daher sehr hoch und real. Der Betrieb von Virenscannern gehört somit zu einer klassischen Methode, die mit wenig Aufwand einen hohen Nutzen erzielt (und wenn dieser nur darin begründet liegt das Postfach von der Mailflut sauber zu halten).

Die Virenscanner werden nicht vor böswillig ausgebrachten Mutationen oder Spionage Malware schützen können, aber das ist gar nicht ihre Aufgabe. Hier kann nur ein Backup Konzept und eine mehrschichtige Zugriffskontrolle (inkl. Klassifizierung) helfen.

Bernd Eckenfels

PS: haben Sie dieses Jahr schon ein Emergency Recovery geübt?

Trackbacks


Deprecated: Function create_function() is deprecated in /var/www/itblog.eckenfels.net/data/plugins/serendipity_event_markdown/lib/Michelf/Markdown.php on line 1502

Qbi's Weblog am : Interesse an Sicherheit by eckes

Vorschau anzeigen

Fatal error: Uncaught Error: Call to undefined function mb_convert_encoding() in /var/www/itblog.eckenfels.net/data/templates_c/2k11/b5/ec/fc/b5ecfc87d304c2e099898d2117cb5f736eee79ca_0.file.trackbacks.tpl.php:62 Stack trace: #0 /var/www/itblog.eckenfels.net/data/bundled-libs/Smarty/libs/sysplugins/smarty_internal_template.php(371): content_589e781fde6d88_91821900(Object(Smarty_Internal_Template)) #1 /var/www/itblog.eckenfels.net/data/bundled-libs/Smarty/libs/sysplugins/smarty_template_compiled.php(202): Smarty_Internal_Template->getRenderedTemplateCode() #2 /var/www/itblog.eckenfels.net/data/bundled-libs/Smarty/libs/sysplugins/smarty_internal_template.php(246): Smarty_Template_Compiled->render(Object(Smarty_Internal_Template)) #3 /var/www/itblog.eckenfels.net/data/bundled-libs/Smarty/libs/Smarty.class.php(820): Smarty_Internal_Template->render(true, false, false) #4 /var/www/itblog.eckenfels.net/data/include/functions_smarty.inc.php(81): Smarty->fetch('file:/var/www/i...', NULL, NULL, Object(Serendipity_Smarty), false) #5 in /var/www/itblog.eckenfels.net/data/templates_c/2k11/b5/ec/fc/b5ecfc87d304c2e099898d2117cb5f736eee79ca_0.file.trackbacks.tpl.php on line 62