Sicherheit als gutes Gefühl

SicherheitSicherheitsmanagement

Viele Unternehmen suchen bei IT-Projekten immer noch nach dem günstigsten Anbieter – und vernachlässigen dabei wichtige Details. Sparen bei der Sicherheit kann am Ende teuer zu stehen kommen. Martin Kuppinger über Sicherheit als gesellschaftliche Herausforderung.

Im Prinzip gibt es zwei Arten, seinen Blick auf »Sicherheit« im Allgemeinen zu richten. Entweder, man betrachtet Sicherheit als lästiges Übel, das nur Geld kostet, Projekte verzögert und sowieso alles umständlicher macht. Oder die Sicherheit stellt die Grundlage jedes Handelns dar, weil sie für Beständigkeit, Vertrauen und Wachstum das Fundament bietet. Je nachdem, welchen Lager man angehört – zum Beispiel dem knallhart kalkulierenden Geschäftsbereich, der eine neue Applikation plant oder der ewig »Weltuntergang« rufenden Gruppe der Bedenkenträger – überträgt sich diese Sichtweise auch auf andere Bereiche des Lebens.

Natürlich schließt ein »Bedenkenträger« eine Kaskoversicherung für seinen Neuwagen ab oder er ordert die Reiserücktrittsversicherung für den Frühbucher-rabattierten Urlaub im Frühjahr 2011. Aber tut das der kühl kalkulierende Geschäftsmann nicht auch? Natürlich prüft unser Sicherheitsfanatiker vor dem Antritt seiner Familien-Autoreise an den Gardasee die wichtigsten Punkte an der Familienkutsche auf Funktion. Vernachlässigt das etwa der Entwicklungsleiter für die neue Bankapplikation, wenn er seine Kinder ins Auto gesetzt hat? An einem generellen Unterschied in der Persönlichkeit kann das unterschiedliche Verhalten also nicht liegen – nur worauf basieren dann die Differenzen in der Sichtweise bestimmter Sicherheitsaspekte?

Kosten sind nicht gleich Kosten
Den meisten Menschen liegt es im Blut, sich über Schnäppchen zu freuen – weit weniger Individuen sind jedoch bereit zu feilschen, bzw. gut darin (Ausnahmen sitzen in den Einkaufszentralen der großen Konzerne und im nahen Orient). Zwei Beispiele zeigen, dass »billy billig« nicht immer die beste Wahl ist … Wer heute den oben angesprochenen Urlaub bucht, nutzt Portale zum Preisvergleich – man ist ja Schnäppchenjäger.

Die Homepage des Analystenunternehmens Kuppinger Cole.

Allzu oft entpuppen sich die gegenüber dem Reisebüro gesparten 50 – 100 Euro jedoch als recht kurzfristiges Vergnügen, wenn etwa der Hoteltransfer vor Ort nicht inklusive ist oder der gebuchte Bungalow in dritter Reihe statt am Strand steht – hier hilft nur der Griff ins Portemonnaie um das »Upgrade« oder den Transport vor Ort zu bezahlen – meist zu eher frechen Preisen der Hoteliers und Taxifahrer. Viel zu sehr haben wir uns wohl an die »all inclusive« Bedingungen gewöhnt, und erwarten bestimmte Teilleistungen einfach.

Zwanghafte Suche nach Sparpotenzialen
Ähnlich geht es vielen IT-Projekten: es wird zwanghaft nach Sparpotenzialen gesucht und der »günstigste« Anbieter für die Erstellung einer Web-Applikation, eines Individualprogramms oder einer IAM-Lösung ausgewählt. Viel zu oft werden hierbei jedoch Details und Vereinbarungen zu Qualität, Verfügbarkeit und Funktion »übersehen«, die sich später nur sehr teuer beheben lassen.

Die – für uns alle tragisch bedeutsame – Geschichte eines kleinen Redmonder Unternehmens zeigt dies nur zu deutlich. Und unsere kühl rechnenden Geschäftsleute waren davon genauso betroffen wie die Bedenkenträger – eine Welt voller Opfer.

Schaden in Millionenhöhe
Wer erinnert sich nicht an die dunkelsten Tage der IT, als Computerviren wie Melissa, I love you und Sasser es bis in die Tagesschau gebracht haben und sowohl die Herren in den dunklen Anzügen auf Chefetagen als auch die T-Shirt-Fraktion in den gut klimatisierten Serverräumen gemeinschaftliche Schweißausbrüche durchstehen mussten. Der wirtschaftliche Schaden dieser ausgenutzten Schwachstellen ist bis heute nicht konkret beziffert, weltweit gehen die Schätzungen jedoch in mehrstellige Millionenhöhe.

Seit etwa 2005 hatten diese medienwirksamen Katastrophen – zumindest in Redmond – ein radikales Umdenken zur Folge: die Etablierung des »Trustworthy Computing«. Zuerst als PR-Stunt abgetan hat sich das Programm zu einem festen Bestandteil der Unternehmens entwickelt – und zu immensen internen Kosten geführt. Also haben die Geschäftsleute doch recht: Sicherheit kostet nur Geld?

Für Sicherheit bezahlt man immer …
Mal mehr – mal weniger. Es kommt darauf an, wann man zahlen möchte. In Redmond hat man sich nach den sehr teuren »Aufräumarbeiten« Anfang des Jahrtausends dazu entschlossen, drastische Maßnahmen zu ergreifen. Man hat verstanden und akzeptiert, dass sichere Produkte, Lösungen und Code von hoher Qualität höhere Kosten verursachen, die durch ein übergreifendes Konzept, strenge Richtlinien und vor allem hohen Ausbildungsstand der Mitarbeiter verursacht werden.

Diese hohen Investitionen sind aber immer noch geringer als jene Kosten, die durch das nachträgliche Beheben von Schwachstellen in ausgelieferten Produkten entstehen würden. Allgemein wird davon ausgegangen, dass nachträgliches Patchen in etwa drei- bis vierfache Kosten gegenüber im Planungs- und Entwicklungsprozess abgefangenen Problemen verursacht. Diese Zahlen enthalten jedoch nicht die Imageschäden und den Vertrauensverlust, den man durch einen ständigen Fluss an Softwareflicken verursacht, um den Kunden halbwegs sicheren Betrieb seiner teuer bezahlten Systeme zu ermöglichen. Komplett fehlerfreie Produkte sind zwar utopisch, jeder in die Qualität und Sicherheit investierte Euro im Vorwege des Produkt-Launches ist jedoch eine Investition in die Zukunft des Unternehmenserfolgs – egal ob es um intern zu nutzende Tools oder zum Verkauf angebotene Software geht.

»Die Sicherheit unserer IT-Systeme ist eine gesellschaftliche Herausforderung.«

Das geringere Übel
Sind die Sicherheitsfanatiker also die besseren Mitarbeiter? Nicht unbedingt. Zwar sollten die kostenbewussten Manager der Geschäftsbereiche lernen, Qualität und Sicherheit als gleichberechtigten Teil Ihrer Anforderungen zu definieren, jedoch müssen diese Anforderungen auf das potenzielle Risiko des Projektes abgestimmt sein.

Generell sind Aktionismus und übertriebenes Abschotten auf Seiten der Sicherheitsspezialisten kontraproduktiv – eine Neuorientierung als »Risiko-Berater« für die Geschäftsbereiche bietet sehr viel mehr Spielraum und hilft dem gegenseitigen Verständnis. Bevor also hohe Anforderungen interne Hürden aufbauen und neue Sicherheitstechniken »blind« etabliert werden, muss Sicherheit den Grad an Verinnerlichung erreichen, der uns die Reiserücktrittsversicherung abschließen lässt.

Sicherheit muss also »das gute Gefühl« verursachen, für einen relativ geringen Aufpreis die richtige Entscheidung getroffen zu haben. Im Idealfall sollten die Anforderungen keine zusätzlichen Kosten verursachen, da sowohl Auftraggeber und Auftragnehmer das gleiche Grundverständnis für sichere Systeme haben.

Beispiele für gute Vorsorge
Soll ein neues Tool, eine neue Applikation oder ein individuelles Stück Code erstellt werden, so übergibt der Auftraggeber diese Arbeit an den Auftragnehmer im Glauben, dieser würde professioneller und effizienter arbeiten als er selbst. Ein Softwareentwickler sollte also aus seinem Berufsverständnis heraus beim Auftraggeber nach einer Risikobewertung bzw. einem Threatmodelling fragen, in dem der Auftraggeber die Kern-Risiken für das Tool betrachtet.

Die Vorarbeit liegt also Verantwortungsbereich der Auftraggeber. Im Gegenzug hat der Auftragnehmer seine Implementierung sauber zu planen und zu dokumentieren sowie die Vorgaben eines passenden Rahmenwerkes zur Softwareentwicklung zu beachten (etwa
den Microsoft Security Development Lifecycle, die Vorgaben der OWASP oder des BSI für Web-Applikationen, etc.). Regelmäßige Black- und Whitebox-Tests, Code-Reviews und Stress-Tests zählen hierbei zum guten Ton – natürlich sauber dokumentiert und für den Auftraggeber nachvollziehbar. Anforderungen wie die Verschlüsselung persönlicher Kundeninformationen in einer Datenbank müssen sich sowohl aus den Threatmodelling des Auftraggebers als auch aus der Risikobetrachtung des Entwicklungsteams ergeben.

Wird etwa eine neu entwickelte Web-Applikation an einen Hosting-Dienstleister zum Betrieb übergeben, muss festgelegt sein auf welcher Infrastruktur mit welchen Patchlevel getestet wurde. Dieser – möglichst aktuelle – Patchlevel für Betriebssystem, Middleware und Web-(Application)Server sollte als Vorgabe an den Hoster übergeben werden, kombiniert mit einem Auszug des letzten automatisierten Schwachstellen-Scans für Web-Applikationen. Qualitätssicherung ist hier geteilte aber gemeinsame Aufgabe, denn schon geringe Änderungen an betrieblichen Parametern oder Softwarekonstellationen können über die Un-Sicherheit einer Anwendung entscheiden.

Gemeinsam stark in die Zukunft
Die Sicherheit unserer IT-Systeme ist eine gesellschaftliche Herausforderung. Egal ob als Entwickler, Auftraggeber oder Anwender einer Applikation sollten wir »mitdenken« und unsere Anforderungen, Bedenken und Wünsche klar kommunizieren. Sicherheit darf rein volkswirtschaftlich kein kostenpflichtiges Add-on oder Extra mehr sein, sondern muss als »gutes Gefühl und Gewissen« unser Handeln prägen ohne als Last empfunden zu werden. Nur wer in seiner jeweiligen Rolle mitdenkt kann helfen, zukünftigen Schaden von sich und anderen fern zu halten. Hierbei reicht für eine erste Einschätzung oft gesunder Menschenverstand oder ein Bauchgefühl aus.

Um solche Bauchgefühle jedoch in Entscheidungen und Richtungsänderungen zu wandeln, bedarf einer »sicheren persönlichen Einstellung«. Denken Sie bei Ihrer nächsten IT-Entscheidung an Ihren Urlaub, die Reiserücktrittsversicherung und den Check Ihres Familienautos – Generationen von Anwendern, Administratoren und Kunden werden es Ihnen danken.
(Martin Kuppinger/mt)

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit Themen wie digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) Computing beschäftigt. Kuppinger Cole ist daneben Ausrichter der regelmäßig stattfindenden European Identity Conference. Martin Kuppinger hat darüber hinaus eine Vielzahl von IT-Fachbüchern und Fachartikeln veröffentlicht. Weitere Informationen finden Sie auf der Website.

Weblinks
Kuppinger Cole