Methoden von gestern

Mangelhafte IT-Sicherheit durch veraltete Revisionsmaßnahmen

Wie schon öfters erwähnt, Maßnahmen zur Datensicherheit dienen der aktiven und kontrollierten Risikominimierung im Unternehmen und sind damit ein kontinuierlicher Prozess, der sich nicht auf eine einmalige Tat reduzieren lässt. Damit muss der Datensicherheit im alltäglichen Arbeitsprozess ein gewisser Raum zur Verfügung gestellt werden, mit der dafür notwendigen Arbeitspriorität. Dadurch kann im Rahmen von Arbeitsprozessen sichergestellt werden, dass die Datensicherheit in den einzelnen Prozessen eine gewisse Berücksichtigung findet und damit ein integraler Bestandteil des Arbeitsprozesses wird. Erst wenn in den Unternehmen verstanden wird, dass Datensicherheit ein Bestandteil eines Arbeitsprozesses werden muss um effektiv und effizient sein zu können, werden viele Datensicherheitspannen der Vergangenheit angehören, die heute noch die Schlagzeilen füllen.

Im Rahmen von eingeführten Datensicherheitsmaßnahmen, vom automatisierten Backup-Procedere bis hin zur Firewall, ist die regelmäßige Überprüfung der Wirksamkeit der eingesetzten Mittel absolut notwendig, bedingt durch den beständigen, schnellen technischen Fortschritt sowohl bei Produkten als auch bei Verfahren. Wie die Erfahrung der letzten Internet-Jahre zeigt, lernt der Computeruntergrund ebenso schnell, wie die Industrie neue, vielleicht sogar innovative Produkte auf den Markt wirft. Es ist deshalb absolut notwendig die eingeführten Datensicherheitsmaßnahmen ebenso einer regelmäßigen IT-Revision zu unterziehen, wie die für Arbeitszwecke eingesetzten "normalen" IT-Resourcen.

In Fachkreisen geht das Repertoir an Möglichkeiten vom Sicherheits-Audit bis hin zum genehmigten Einbruchsversuch (Penetrationstest durch Tiger-Teams). Die Datensicherheitsbranche ist da sehr eifrig im Erfinden neuer Dienstleistungen und neuer Schlagworte. Verlässt man diese Pfade, stehen einem die Mittel der eher konservativen IT-Revision zur Verfügung. Gerade in Unternehmen, die bereits eine lange IT- und vor allem EDV-Tradition haben, ist die IT-Revision bevorzugtes Mittel zum Zweck. Es sind überwiegend große Unternehmen aus dem Forschungs-, Industrie- und Finanzdienstleistungsbereich, die auf die IT-Revision setzen, haben diese doch bereits seit den 60er Jahren Erfahrung mit Computern sammeln können.

Doch auch bei der IT-Revision steckt der Teufel im Detail. Verschiedene Überprüfungen von firmeninternen Revisionsrichtlinen wie auch von Ausbildungs- und Handbüchern zur IT-Revision haben zu Tage gefördert, dass in diesen Niederschriften -bedingt durch Überalterung- falsche Verfahren, Methoden und Vorgehensweisen beschrieben wurden. Das führte in der Praxis dazu, dass an Stellen nach möglichen Fehlern gesucht wurde, die es nicht mehr gab (Stellen wie auch Fehler) und die aktuellen Problemfelder überhaupt nicht identifiziert geschweige denn untersucht wurden. Zurückzuführen ist dies auf die Tatsache, dass bei den Revisionshandbüchern die technische Weiterentwicklung nicht berücksichtigt wurde. Die Revisionshandbücher selbst unterlagen teilweise über 7 Jahre lang keiner eigenen Revision. Obwohl in den Unternehmen selbst schon lange Server und Clients auf Windows NT bzw. 98 Basis liefen waren z.B. die vorgeschlagenen Verfahren zur Revision des Antivirenschutzes auf dem Niveau von 1994 und beschrieben eindeutige Vorgehensweisen für das Betriebssystem MS-DOS.

Grundsätzlich stellt dies kein Problem dar. Wird eine Verfahrensweise zur IT-Revision für ein spezifisches Produkt definiert, kann diese Verfahrensweise auch noch in den IT-Revisionsrichtlinien aufgeführt sein, wenn es bereits veraltet ist. Dies hat sogar den Vorteil, dass noch Systeme notfalls einer Revision unterzogen werden können, die es eigentlich schon lange nicht mehr im Unternehmen geben dürfte. Aber die beschriebene Verfahrensweise darf nicht mehr auf neueren Systemen angewandt werden. Eine Verfahrensweise für DOS muss als solche eindeutig gekennzeichnet sein und darf auch nur auf DOS-Rechnern zur Anwendung kommen und nicht auf einen NT-Server durch einfache Adaption "portiert" werden. Gleiches gilt für die im Handel erhältlichen Fachbücher.

Die Buchmesse ist gerade vorbei und die ersten Rezensionsexemplare trudeln per Post ein. Darunter auch ein Revisionshandbuch, welches nach Aussage des Verlags regelmäßig mit Ergänzungen versehen wird. Bereits bei dem ersten Durchblättern stellte sich heraus, dass die letzte Ergänzung im Juni 2000 erschienen war. Der neueste Teil des Handbuchs war also bereits über ein Jahr alt. Schlimmer noch, beim zweiten Durchblättern stieß ich auf Empfehlungen, mit welchen Produkten eine IT-Revision zweckmäßigerweise durchzuführen ist. Abgesehen davon, daß alle beschriebenen Produkte für die DOS / Windows 3.0 Plattform waren, sind viele der Hersteller heute nicht mehr am Markt und damit auch ihre Produkte verschwunden. Dieses Kapitel war so katastrophal veraltet, dass es mir schon fast wie die gute alte Zeit vorkam, denn ich wurde mit Wehmut an Produkte wie Xtree Gold oder PC-Tools erinnert. Weiter ging es im Bereich Firewalls. Ein kurzes Überfliegen des Textes ergab bereits auf der ersten Seite des Kapitels, dass hier Techniken und Vorgehensweisen beschrieben wurden, die im Jahr 1995 vielleicht noch aktuell waren, aber heute nichts mehr mit modernen Firewalls zu tun haben. Dies sind nur zwei Beispiele von vielen, wo der technische Fortschritt das Handbuch überholt und damit obsolet gemacht hat. Es ist gefährlich, wenn veraltetes Material für die Ausbildung oder als Handbuch zur Durchführung einer IT-Revision Verwendung findet, denn es erhöht nicht die Sicherheit, sondern gibt nur ein falsches Sicherheitsgefühl.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.