IT-Security
Digitale Trutzburgen oder Luftschlösser im Cyberspace?
IT-Security
Das grundlegende Konzept der Verteidigung in der Tiefe ist seit Jahrhunderten bekannt, meint Neil Barrett. Weshalb ist es so schwierig, es auf Informationssicherheit anzuwenden?
Verteidigung in der Tiefe: eines der fundamentalsten und wichtigsten militärischen Konzepte. Egal, ob es um die Bewegung einer Infanterieabteilung oder einer ganze Division geht: Der Kommandant behält immer einen Teil der Truppe zurück, um sie gegebenenfalls nachzuschicken und die vorrückenden Einheiten zu unterstützen. Im Fall von Burgen wird dieses Prinzip zum Äußersten getrieben. Die äußeren Wälle werden von Wachtürmen verteidigt, die wiederum Etage für Etage verteidigt werden können. Innerhalb der Burg gibt es äußere und innere Wälle, Bereiche, in denen der Feind festgenagelt und getötet wird, und schließlich eine innerste Verteidigungszone als letzter Halt. Selbst das Aufkommen des Schießpulvers und der Kanone hat nicht viel an der Notwendigkeit von Burgverteidigungen geändert. Die äußeren Wälle wurden durch tiefe Gräben und Fallgruben ersetzt, die die angreifende Infanterie stoppen sollten. Sorgfältige platzierte Aushöhlungen lenkten Kanonenkugeln ab, Die Hügel der Umgebung – die von Angreifern genutzt werden konnten, um von dort ihre Kanonen abzufeuern – wurden selbst mit kleineren befestigten Stellungen versehen. Die Burgenbauer verstanden das Prinzip der Verteidigung in der Tiefe, und sie war das wesentliche Prinzip hinter allen ihren Bauten.
Mit einem ähnlichen Konzept werden viele Einrichtungen physisch geschützt, zum Beispiel durch CCTV, Wachen, Bildschirme, Tresore und Safes mit Zeitschlössern. Physisch werden Banken und gepanzerte Wagen bemerkenswert gut geschützt. Warum hat es diese Philosophie dann so schwer, sich in der Informationssicherheit durchzusetzen?
Zum Teil liegt das daran, wie Informationssicherheit immer als “Add-on” zu einem grundlegenden Entwurf gesehen wird. Zum anderen hat das mit der Art der Maßnahmen selbst zu tun. Alle wesentlichen Elemente der Informationssicherheit wurden entworfen, um den Angreifer am äußersten Wall aufzuhalten. Firewalls und Passwörter, Smartcards und Biometrik: Immer geht es darum sicherzustellen, dass nur diejenigen, die drinnen sein dürfen, dort auch sind. Die Mehrheit der Sicherheitsprobleme wird jedoch von denjenigen verursacht, die sich bereits innerhalb dieses Walls befinden. Angestellte, Auftragnehmer, Partner: Das sind die Leute, denen am meisten vertraut wird, und das sind auch diejenigen, die den größten Schaden anrichten. Trotzdem sind unsere Verteidigungsmaßnahmen wie Pralinen: harte Schale, weicher Kern. Wir müssen die Informationssicherheit mit größerer Tiefe versehen, mit Maßnahmen zur Verhinderung, Entdeckung und (vielleicht am wichtigsten) zur Abschreckung von Eindringlingen vor einem tieferen Vorrücken in die “Informationsburg”.
Wirklich jeder Server sollte als “Befestigung” gesehen werden, mit eigenen Verteidigungs- und Beobachtungslinien. Jeder Teil des Netzwerks sollte mit Firewall und Überwachung von den anderen Teilen abgetrennt sein. Und Systeme zur Entdeckung von Eindringlingen sollten jeden überwachen, der im Netzwerk arbeitet. Einige der wichtigsten Netzwerke, von denen wir alle abhängen – die Netzwerke für Finanzen und Transport etwa – sind nicht vor internem Missbrauch geschützt. Das zu ändern, wird dauern und Geld und Einsatzkraft erfordern, aber als Ergebnis wird man eine sichere Infrastruktur und eine sichere Nation erhalten. Man wird vielleicht immer noch nicht sicher sein vor Informationskrieg und Cyber-Terrorismus, aber zumindest wird es eine glaubwürdige Verteidigung geben.