Skip to content

Mit Sicherheit

Interesse an Sicherheit


IT-Sicherheit ist schon lange mein Steckenpferd. Das hängt damit zusammen, dass in meiner IT-Kariere die Administration von öffentliche IT-Systemen bei Internet Service Providern begonnen hat. Durch die ständige Bedrohung durch die böse Internet Welt und den Nutzern ist hier eine gute Absicherung wichtig. Gleichzeitig lernt man aber auch schnell, dass man trotzdem mit Vorfällen zu rechnen hat, sich auf nichts verlassen kann (man denke nur an die SSH Sicherheitsprobleme)

Für einen gute Administrator ist es selbstverständlich alle Systeme zu härten. D.h. die angebotenen Dienste auf ein Minimum zu beschränken. Alle Anwendungen nur mit den Privilegien auszustatten die unbedingt notwendig sind.

Diese Aufgabe ist erstaunlich überschaubar, klar zu analysieren und mit Logik und Erfahrung zu lösen. Paranoia wird bei vielen Sysadmins zur Passion. Treibt man diese Obsession auf die Spitze, so kommt man in den Bereich Firewalls und Bastion Systeme. Diese mit freier Software umzusetzen hat mich nicht ohne Grund lange Zeit interessiert (Projekt Freefire).

Aber das Feld IT-Security ist eher deswegen so spannend, weil es interdisziplinär ist, neben technischen Herausforderungen gibt es ebenso eine soziale, psychologische und kriminalistische Komponente. Vom Projektmanagement, dem Controlling und den rechtlichen Aspekten gar nicht zu reden. Und ich bin der festen Auffassung dass es sich um ein "unlösbares" Optimierungsproblem handelt.

Betrachtet man sich genauer, wo überall IT eingesetzt wird, ist schnell klar dass es hier nicht nur um Verstöße gegen Informelle Selbstbestimmung oder um wirtschaftlichen Schaden oder Vandalismus handelt, nein auch ganz konkret geht es um das Leben von Menschen (die USA sind der Meinung sogar Ihre Staatssicherheit steht auf dem Spiel: Homeland Security)

Risikomanagement

"Auch Fort Knox ist nur eine Bank" - Auric Goldfinger

IT-Sicherheit ist zu einem großen Teil Risikomanagement. Denn nicht nur in James Bond Action Streifen werden immer wieder die besten Sicherheitsmechanismen auf aberwitzige Art und Weise ausgehebelt. Es ist ein Gesetz, dass es keine 100% Sicherheit gibt.

Und bedingt durch den Faktor Mensch (Anwender, Entwickler, Administrator) gilt das Pareto-Prinzip: mit geringem Aufwand lässt sich ein Grundstock an Schutzmechanismen erreichen. Je größer der Schutzbedarf ist (je geringer also das Risiko wird), desto höher wird der Aufwand. Und dieser steigt nicht linear an, sondern nimmt unverhältnismäßig zu.

Wenn man also die absolute Sicherheit nie erreichen kann, und jede zusätzliche Risikominimierung erhebliche Zusatzaufwände erfordert, so muss irgendwo eine Grenze gezogen werden.

Die IT-Sicherheit steht dabei unter schwerem Druck: Wirtschaftlichkeitsüberlegungen (Opportunitätskosten sowie Time-To-Market, Investitionen, begrenzte Kapazitäten) oder Faktoren, die auch nur schwer über zusätzliche Ressourcen beeinflusst werden können: fehlendes Wissen, mangelnde Kommunikation, Bequemlichkeit - und nicht zuletzt eine unlösbare Systemkomplexität.

In der Praxis werden die Entscheidungen, welche Schutzmechanismen wirkungsvoll und ausreichend sind meist intuitiv getroffen. Dabei hängt es stark von der Erfahrung des Entscheidungsträgers ab, wie erfolgreich diese sind. Und hierbei kann eine Entscheidung für zuviel Aufwand genauso ein Fehlschlag sein, wie ein unterschätztes Risiko.

Mit den Methoden aus dem Risikomanagement lassen sich diese Entscheidungen übrigens etwas formalisieren. Die Risiken und Chancen werden dadurch transparenter, die Entscheidungen basieren auf Fakten und dokumentierten Abschätzungen. (Aber vorsichtig, bei all den Zahlen kann man leicht vergessen was dahinter steckt. Ob man nun sicher ist oder nicht entscheidet sich so gesehen immer im Nachhinein)

Der Ernstfall

Übrigens wird der Ernstfall nicht zu vermeiden sein. Und dabei ist Mutwilligkeit meist noch der seltenste Grund für Vorfälle.

Mit dem Ernstfall zu rechnen ist aber keinesfalls Resignation oder ein Aufruf zur Schlampigkeit, Vielmehr ist es ein wichtiger und hilfreicher Blickwinke davon auszugehen, dass die Schutzmechanismen versagen können (oder es schon haben):
  • System auch auf Versagen hin optimieren (mehrstufige Sicherheit, Host Security, Audit Logs, Backups, Notfallpläne, ...)
  • Sicherheit lässt sich nicht verordnen, kaufen oder in einem Projekt umsetzen. Es ist ein fortwährender Prozess, der optimiert werden will. Das Umfeld muss kultiviert werden.
  • Der Benutzer ist nicht das größte Risiko, sondern der Grund für all die Schutzmaßnahmen. Seine Daten und die Verfügbarkeit der Systeme für Ihn sind das oberste Ziel
  • Keine 100%ige Sicherheit zu haben ist der Normalzustand, aber er muss bewusst und kontrolliert sein.

Alles andere als Perfekt

Ein gutes Beispiel sind Desktop oder Mail/Web Content Viren Scanner. Die Erkennungsrate. Kritiker führen an, dass man sich die mit Virenscanner verbundenen sporadischen Probleme wie Instabilität sparen kann, da die Virenscanner sowieso keine 100%igen Schutz bieten, und den Anwender nur in falscher Sicherheit wiegen.

Meiner Beobachtung nach trifft dies aber nur auf den Fall zu, dass die Virenscanner unreflektiert eingesetzt werden. Alternativen dazu sind immer zu überlegen, wie z.B. Systeme ohne entfernbare Datenträger, ohne Online Zugang. Surfplätze mit strikter Trennung vom Produktivnetz, und ganz wichtig Schulung und Aufklärung der Anwender.

Jedoch lässt sich nicht jeder Anwender zum IT-Spezialisten ausbilden; Die Kommunikation lässt sich nicht beliebig einschränken; Zudem erzwingt der betriebliche Alltag immer Kompromisse: z.B. neue Mitarbeiter sollen ab dem ersten Tag produktiv arbeiten, und bekommen die Sicherheitsschulung erst am Quartalsende.

Die Bedrohung durch weit verbreitete und bekannte Viren und Mailwürmer ist von daher sehr hoch und real. Der Betrieb von Virenscannern gehört somit zu einer klassischen Methode, die mit wenig Aufwand einen hohen Nutzen erzielt (und wenn dieser nur darin begründet liegt das Postfach von der Mailflut sauber zu halten).

Die Virenscanner werden nicht vor böswillig ausgebrachten Mutationen oder Spionage Malware schützen können, aber das ist gar nicht ihre Aufgabe. Hier kann nur ein Backup Konzept und eine mehrschichtige Zugriffskontrolle (inkl. Klassifizierung) helfen.

Bernd Eckenfels

PS: haben Sie dieses Jahr schon ein Emergency Recovery geübt?

Trackbacks

IT Blog am : Security Management

Kris Köhntopp hat in Karlsruhe zum Geekend geladen. Neben Star Wars gab es von Ihm Vorträge zum Thema "Security Management" und zum Thema "Vortrag halten". Die Folien sind in seiner Blog-Zusammenfassung zu dem Event verfügbar. Ein besonders interessant

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Um einen Kommentar hinterlassen zu können, erhalten Sie nach dem Kommentieren eine E-Mail mit Aktivierungslink an ihre angegebene Adresse.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA