IT Security
Alles Gute kommt von oben – auch die Sicherheit?

IT Security

Firmen kämpfen so lange umsonst für effektive Sicherheitsstrategien im
IT-Bereich, wie die führenden Köpfe des Betriebs das Thema nicht ernst
nehmen. Neil Barrett stellt am Beispiel eines idealisierten Szenarios
dar, warum Technologie allein nicht genügt.

Stellen Sie sich die
ideale Situation vor: Sie arbeiten für eine Firma, in der eine Menge
Sicherheitsmaßen im informationstechnischen Umfeld getroffen worden
sind. Auf jedem Desktop gibt es Antiviren-Software, die sich automatisch
aktualisiert; es gibt Firewalls und Abwehrmechanismen, die das
Netzwerkumfeld schützen; und hostbasierte Sensoren sind überall im
System an strategisch wichtigen Stellen verteilt. Die Leute am Helpdesk
sind auf die Risiken durch Social Engineering-Angreifer getrimmt worden,
und das Gebäude selbst wird über Videokameas und von einer gut
ausgebildeten Sicherheitstruppe im Eingangsbereich geschützt.

In
regelmäßigen Abständen wird das gesamte Sicherheitsprogramm von externen
Sicherheitsspezialisten überprüft, und auch das Patch-Management und die
Netzwerkwartung sind optimal organisiert. Darüber hinaus hat das
Unternehmen klare Sicherheitsrichtlinien, und ein
Sicherheitsbeauftragter berichtet regelmäßig an den Chef der internen
Sicherheitsüberwachung.

Eine optimale Situation, umso mehr, als
der Vorstand des Unternehmens großzügig noch weitere Mittel versprochen
hat, um einmal mehr in die Sicherheit zu investieren. Doch wofür sollte
dieses Geld nun am effektivsten eingesetzt werden?

Richtig, das
Problem ist ein relativ angenehmes, aber es ist eines. Die meisten
technischen Vorkehrungen sind getroffen und effizient im Einsatz gegen
unerwünschte Angreifer wie Hacker, Viren oder Würmer. Doch obwohl solche
Attacken gefährlich sind, zeigen die meisten Untersuchungen, dass die
größte Gefahr für die Datensicherheit von internen Benutzern ausgeht.
Ungeschickte, neugierige, bösartige oder gar kriminelle intern
Beschäftigte sorgen für eine Vielzahl von Problemen – einschließlich
entwendeter Datenbanken, schlecht konfigurierter Systeme und unsauberer
Informationsquellen. Sollte man die unverhoffte Budgeterweiterung also
einer verstärkten internen Überwachung zugute kommen lassen?

Nun,
die Firma hat bereits hostbasierte IDS-Sensoren (intrusion detection
system), die sofort einen Alarm auslösen, wenn ein Mitarbeiter oder
Angreifer auf frischer Tat bei einer unberechtigten Aktion ertappt wird.
Die notwendige Technologie ist also bereits im Einsatz.

Die
meisten Fachleute, die im IT-Sicherheitsbereich arbeiten, machen die
folgende wichtige Beobachtung: Verursacher von Problemen sind nicht die
Technologien, sondern die Menschen; die Technologien sorgen dann
lediglich für eine weitere Verbreitung. Es wäre also eine gute Idee, das
Zusatzbudget nicht in die Technologie, sondern in die Mitarbeiter zu
stecken. Ein Trainings- und Aufklärungsprogramm ist keineswegs
kostspielig: ein paar tausend Euro für Übungskurse, in denen einzelne
Leute in Schlüsselpositionen nicht nur mit den laufenden
Sicherheitsstrategien vertraut gemacht werden, sondern auf breiter Basis
für Fragen der Sicherheit sensibilisiert werden; sozusagen ein Ansatz
von Mensch zu Mensch, der letztlich auf Hilfe zur Selbsthilfe abzielt.

Vielleicht könnte man das übrige Geld aber noch effektiver einsetzen: nämlich
für eine Bewusstmachungskampagne beim Vorstand und in der obersten
Chefetage. Wie weit der Angestellte der unteren Ebene Sicherheitsaspekte
überhaupt beachtet, hängt in jeder Organisation erheblich davon ab, wie
das Thema Sicherheit in der oberen Liga überhaupt wahrgenommen wird.
Wird es hier missachtet, werden alle anderen sich ebenfalls um das
Problem herumwinden. Nimmt man es an der Führungsspitze jedoch ernst,
wird man “unten” nicht nur die Vorgaben erfüllen, sondern einen
positiven Beitrag dazu leisten wollen. Sicherheit funktioniert nicht,
wenn sie einfach verordnet wird. Sie muss als Notwendigkeit wahrgenommen
werden.