Statische Sicherheit

Was gestern teuer war, ist schon morgen nicht mehr sicher

Jemand sagte einmal "Ein dummer Mann lernt aus seinen Fehlern, ein weiser Mann lernt aus den Fehlern anderer". Man sollte daraus entnehmen können, dass der beste Lehrmeister eigentlich die Praxis ist und nicht das Lehrbuch. Für den Bereich der Datensicherheit stimmt dies jedenfalls. Wieviele teure Sicherheitssysteme die in Unternehmen eingeführt waren, wurden in der Vergangenheit von sogenannten DAUs (Dümmster Anzunehmender User) ad absurdum geführt, da kein System wirklich idiotensicher sein kann, weil doch Idioten so genial sind. Um es mit einem Zitat von Rich Cook zu sagen: "Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning."
Aber vielleicht ist es für den einen oder anderen ein Trost, dass es auch Systeme gab (und gibt), die nur von entsprechenden Spezialisten geknackt werden können. Um aus der Praxis zu lernen, ist es für jeden Sicherheitsfachmann wichtig die sogenannten "Case Studies" (Vorfälle in der Praxis) genau zu studieren. Der Aha-Effekt ist manchmal wirklich enorm.

Nehmen wir z.B. das Internet und den Drang der Unternehmen mit Electronic Commerce daran teilhaben zu wollen. In den meisten Budgets für die Einführung von Electronic Commerce sind keine oder nur geringe Posten für die Sicherheit der entsprechenden Server und der angebotenen Funktionen vorgesehen. Noch interessanter wird es aber, wenn Sicherheitsmaßnahmen einmal angeschafft und dann vergessen werden.

So geschehen bei einer Firma die bereits seit 1994 im Internet Web-Seiten und diverse Dienstleistungen anbietet. Die damals angeschaffte Firewall mußte noch unter UNIX mühsam zusammengestellt und kompiliert werden. Fertige Out-Of-The-Box-Systeme gab es damals noch nicht. Auch die Spezialisten, welche die Firewall installierten, waren recht teuer. Also musste diese Lösung sehr sicher sein, wenn sie schon teuer war. So sicher, dass bis 1998 kein Verantwortlicher in dem Unternehmen auf den Gedanken kam, die 1994 angeschaffte Firewall auf ihre zeitgemäße sichere Funktion hin zu überprüfen.

Selbst als die Firewall durch zwischenzeitlich eingeführte technische Neuerungen im Unternehmen löchrig wurde wie ein Schweizer Käse und selbst als die Anzeichen für eine ausgedehnte Hackeraktivität im unternehmensinternen Netzwerk kaum noch zu übersehen waren, war der Glaube beim Management an die Sicherheit ihrer Firewall nicht zu erschüttern. Erst als interne Unternehmensdaten in der Öffentlichkeit auftauchten und dadurch nicht nur ein Großauftrag verloren ging, sondern auch anderweitiger Schaden angerichtet wurde, war man beim Management plötzlich versucht, massive Schadensbegrenzung zu betreiben.

Besonders erstaunt war man dann, als die herbeigerufenen Sicherheitsspezialisten dem Management erklärten, dass Sicherheit kein statischer Zustand ist, der sich mit der einmaligen Einführung von entsprechenden Maßnahmen erreichen und halten lässt.

Wie sehr man auf statische Sicherheit in dem Unternehmen setzte, zeigte dann sehr anschaulich die Tatsache, dass man nicht einmal wußte, wo sich der Firewall-Rechner befand. Der Systemadministrator, der lange genug im Unternehmen gewesen war, um zu wissen, wo sich die Firewall befand, hatte 8 Monate zuvor das Unternehmen verlassen. Der Rest der EDV-Mannschaft schwärmte nun aus, den Firewall-Rechner zu suchen.

Die Bestandsaufnahme der Sicherheitsmaßnahmen zeigte dann schließlich ein katastrophales Bild. Die Sicherheit, an die man all die Jahre im Unternehmen geglaubt hatte, hatte zu keinem Zeitpunkt bestanden. Die Liste der Beanstandungen zeigt die Fehler, aus denen man lernen kann.

Es wurde kein Sicherheitskonzept bzw. keine Sicherheitsrichtlinie erarbeitet nach denen die Funktionen der Firewall konfiguriert werden.
Das Sicherheitssystem wurde keinem regelmäßigen Audit unterzogen.
Weiterhin wurde das Sicherheitssystem über Jahre hinweg nicht aktualisiert, d.h. neuen technischen Gegebenheiten und Erkenntnissen angepaßt.
Aktuelle Warnungen von Herstellern bzw. des CERT (Computer Emergency Response Team) wurden ingnoriert.
Es war kein fachlich qualifiziertes Personal im Unternehmen vorhanden, dass auf akute Sicherheitsprobleme hätte richtig reagieren können.
Es exisitierte kein Budget in der Finanzplanung des Unternehmens oder der einzelnen Abteilungen um externe Sicherheitsexperten anzufordern oder neue Sicherheitstechnologie anzuschaffen.
Für den Bereich Sicherheit waren im Unternehmen keine verbindlichen Verantwortlichkeiten definiert. Die daraus resultierende Verantwortungsneutralität der Betroffenen verhinderte über Jahre die wirksame Bekämpfung der Hackerangriffe.

Der unter Buchhaltungsmaßstäben bezifferbare Schaden für das Unternehmen bewegt in einem Bereich von ca. 8 Mio. DM. Es mußten ca. 250 000 DM aufgewendet werden, um entsprechende Sicherheitsmaßnahmen wirksam im gesamten Unternehmen einzuführen (inkl. einer neuen Firewall).

Unter wirtschaftlichen Gesichtspunkten (Cost of Ownership usw.) wäre es für das Unternehmen wirklich billiger gewesen, Sicherheit nicht als statischen Zustand anzusehen.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.