Die rasant gestiegene, weltweite Vernetzung von IT-Infrastrukuren hat die Verletzlichkeit von Unternehmen erhöht. Neue Formen von Geschäftsprozessen und Wertschöpfungsketten machen es notwendig, dass die Daten- und Transaktionssicherheit in einem sich ständig ändernden Umfeld kompromisslos sicher gestellt ist. Auf dem
Weg zum «sicheren Unternehmen» braucht es daher nicht nur ausgeklügelte Technologien, sondern auch eine neue Denkhaltung und die Schärfung des Bewusstseins für die Risikopotenziale von heute und morgen.
Im Zuge der immer weiter zunehmenden Vernetzung der informationstechnischen Infrastrukturen und damit verbunden ihrer Komplexität ist die Frage nach dem «sicheren Unternehmen» nicht nur aus der Innensicht von Firmen zu beantworten. Permanenter Wandel und Marktdynamik, neue Formen der Zusammenarbeit mit Kunden, Lieferanten und Partnern sowie die Einbindung in die globale Wirtschaftsstruktur machen Sicherheit zu einem Thema, das alle angeht. Sicherheit zielt im unternehmerischen Kontext letztendlich auch auf die Schaffung von Vertrauen – in ein Produkt, eine Dienstleistung oder das Unternehmen selbst. Durch die Komplexität und die Interdependenzen der weltumspannenden IT-Infrastruktur lässt sich Vertrauen heute nur noch bedingt im Alleingang herstellen. Daher gilt es, einerseits Sicherheit und Vertrauen in die Informations- und Kommunikationstechnologien zu verbessern, anderseits im einzelnen Unternehmen sowohl
in technologischer Hinsicht wie auch im bewussteren Umgang mit IT-Mitteln Strukturen und Prozesse zu überdenken und permanent an neue Herausforderungen anzupassen.
Microsofts direkte Antwort
Verbunden mit einem umfassenden Anspruch auf (Wieder-) Herstellung des Vertrauens in Informationstechnologie formulierte Bill Gates im Januar 2002 mit einem E-Mail an alle 50 000 Mitarbeiter von Microsoft die «Trustworthy Computing Initiative». Eine Initiative, die von Anfang an auf den Einbezug und die Zusammenarbeit von IT-Industrie, staatlichen Institutionen, Medien, Wirtschaft und Heimanwender abzielte.
Damit sollten Verbesserungen in vier wesentlichen Bereichen erzielt werden: der eigentlichen Sicherheit von ICT-Infrastrukturen, dem Schutz der Privatsphäre von Anwender, der Verfügbarkeit und Zuverlässigkeit von vernetzten IT-Umgebungen sowie der Business Integrity.
Bei der internen Umsetzung von Trustworthy Computing setzte Microsoft einen ersten Schwerpunkt in der konzeptionellen Weiterentwicklung der Sicherheit, die für die anderen drei Säulen von Trustworthy Computing – insbesondere aber für die Privatsphäre – eine zwingende Voraussetzung darstellt. Den Anfang machte der «security-push» der Windows-Entwickler, die im Februar 2002 ihre Arbeit am Windows-Code für zwei Monate unterbrachen und den gesamten bislang realisierten Code auf Herz und Nieren überprüften. Diese und weitere Massnahmen hat Microsoft in den letzten Jahren methodisch weiterentwickelt und in das Konzept des «Trustworthy Computing Security Development Lifecycle» überführt, der bei Microsoft heute den gesamten Entwicklungsprozess für Software steuert und in verschiedenen Formen auch den Entwicklern anderer Firmen zur Verfügung steht. Dabei muss Software auf ein möglichst hohes Sicherheitslevel hin entworfen («Secure by Design») und konfiguriert («Secure by default») sein. Mit zu berücksichtigen ist zusätzlich Installation und Unterhalt («Secure in deployment»). Darüber hinaus sind Aufklärung, Information und Kommunikation ein wesentliches Standbein bei der Entwicklung, Implementierung und Nutzung von Informationstechnologien im Allgemeinen und Software im Besonderen, um Kunden und Partner, Unternehmen und Heimanwender, Behörden und die Öffentlichkeit besser zu informieren und für Sicherheitsbelange zu sensibilisieren.
Lokaler Support und Rückmeldungs-Schlaufe
Der letztgenannte Bereich bildet den Fokus der Sicherheitsbestrebungen der Länderorganisationen von Microsoft, auch in der Schweiz. Ein dediziertes Reaktions- und Supportteam übernimmt die Kommunikation mit Kunden und Partnern sowie die Koordination der konkreten Massnahmen vor Ort und betreibt laufend Information und Aufklärung im engen Kontakt zu den Sicherheitsbeauftragten der Kunden. Dabei zeigt es sich, dass es heute unumgänglich ist, dass Unternehmen ihren Teil der Verantwortung in Sachen IT-Sicherheit erkennen und eine Person konkret mit den diesbezüglichen Aufgaben betrauen.
Die Entwicklungsarbeit der Microsoft-Produkte wird wesentlich getrieben von Rückmeldungen von Kunden, die die Produkte täglich im Einsatz haben und darum die erstrangige Informationsquelle über sämtliche Produkteigenschaften, insbesondere aber über die Sicherheitsansprüche sind. Daraus sind mit der Zeit Konzepte entstanden, wie Sicherheit respektive Trustworthy Computing in der Praxis umgesetzt werden können.
Sicherheit im Unternehmen – die gute Praxis
Abgesehen von ihrem Prozesscharakter ist technische Computersicherheit ein allgemeiner Ausdruck für eine Vielzahl von Technologien, die in Bezug auf Daten- und Transaktionssicherheit verschiedene Aufgaben erfüllen. Eine durchgängige, von einem Hersteller angebotene Sicherheitslösung für Unternehmen gibt es nicht und wird es wohl auch nie geben. Zu unterschiedlich sind die Gegebenheiten im Einzelfall, zu individuell ist die konkrete Ausgestaltung von Sicherheitsniveau und –massnahmen. Und zu eng verzahnt ist IT-Sicherheit mit Geschäftsprozessen einerseits, mit dem Verhalten und der Einstellung der Mitarbeitenden anderseits. Für einen konsequenten Schutz der Unternehmens-IT wird daher immer gefordert sein, diese im Rahmen eines strukturierten Planungsprozesses aus verschiedenen Komponenten zusammenzuführen:
• Der Erarbeitung eines vertieften Verständnisses der möglichen Risiken und der Bedrohungslage. Dabei müssen sämtlichen Unternehmensaspekte auf allen Stufen einbezogen werden.
• Einer Analyse der Konsequenzen von Angriffen und der möglichen Gegenmassnahmen im Verhältnis zum Risiko können die verschiedenen Typen von Attacken gesondert betrachtet und nach verwendeten Angriffsmethoden differenziert werden. Daraus abzuleiten sind die proaktiven Massnahmen zur Minimierung des Angriffsrisikos, sowie die reaktiven zur Minimierung erlittener Schäden.
• Einer auf Basis der erarbeiteten Grundlagen zu entwickelnde, sorgfältige Implementierungstrategie, die alle Aspekte des Unternehmensnetzwerks berücksichtigt, ergänzt durch technische und Verhaltensrichtlinien sowie den Massnahmen fürs Controlling.
Aus dem Controlling wiederum ziehen die Unternehmen Erkenntnisse über die Bedrohungslage, was
in der Folge zu einem zirkulären Prozess der ständigen Anpassung der Sicherheitsmassnahmen führt.
Etablierung einer unternehmensweiten Sicherheitsarchitektur
Sicherheitsmassnahmen sind immer konkret, sichern immer spezifische Systeme oder Systemteile ab. Der Ansatz, in zu sichernden Einheiten zu denken und den Sicherheitsprozess über eine Stufenleiter letztlich auf die einzelnen zu sichernden Objekte zu führen, widerspiegelt sich konsequent in der Sicherheitsarchitektur, die jedes Unternehmen individuell für sich in Abhängigkeit von den konkreten Gegebenheiten entwickeln sollte. Sie gliedert sich in einzelne Blöcke, etwa nach dem folgenden Raster:
1. Endsysteme (alle Computerhardware mit eigenem Betriebssystem)
2. Lokale Kommunikationssysteme (Netzwerk)
3. Verwaltungszentrale, Systemadministration
4. Private Netzwerke (etwa ein von mehreren Unternehmen benutztes Netzwerk)
5. Internet
Dieses Vorgehen erlaubt es, jede zu schützende Einheit in jedem Block sauber zu identifizieren, zu isolieren und die geforderten Sicherheitsmassnahmen zu implementieren. Das Raster unterstützt es dabei, jeden Block als Erweiterung des vorhergehenden zu erkennen und die festgelegten Massnahmen quasi von innen nach aussen zu implementieren. Gleichzeitig können einzelne Schichten in der individuellen Ausgestaltung einer Sicherheitsarchitektur eines Unternehmens ausgelassen werden, falls sie nicht vorhanden sind.
Anwender bleibt schwächstes Glied
Immer im Kopf behalten müssen die Sicherheitsverantwortlichen in den Unternehmen, dass die technische Absicherung für sich nie genügen wird. Selbst wenn das technische Sicherheitslevel sehr hoch ist, das schwächste Glied in der Kette bleibt der einzelne Anwender sein. Daher sind Social-Engineering-Praktiken immer im Auge zu behalten. Die Aufklärung der Anwender über mögliche Bedrohungen sind und bleiben eine Daueraufgabe für jeden Security Officer in allen Unternehmen.
