IT-Security: Technologie alleine löst keine Sicherheitsprobleme

Die Herausforderungen an die IT-Sicherheit haben sich erheblich verschärft. Wie können Unternehmen reagieren?

Im Gespräch mit SearchSecurity.de erklärt Margaret Dawson, zuständig für Global Product Marketing bei Red Hat, die aktuellen Herausforderungen an die IT-Sicherheit. Dies insbesondere im Hinblick auf Cloud Computing und das Sicherheitsbewußtsein der Anwender – Stichwort Schatten-IT.

Wo sehen Sie die größten Herausforderungen für die IT-Sicherheit beim Zusammenspiel zwischen IT-Abteilung und Fachabteilungen?

Margaret Dawson: Menschen sind immer das größte Sicherheitsrisiko. Sie schleusen – bewusst oder unbewusst – Malware oder andere Sicherheitsrisiken in ein Unternehmen ein. Entweder sie klicken einen Link an, mit dem ein Trojaner aktiviert wird, updaten Systeme nicht, wenn Patches verfügbar sind, oder setzen ein infiziertes externes Laufwerk ein: all das ist Alltag. Ihr Verhalten ändern sie nicht, und das ist bedenklich, denn die Bedrohungen, die sie verursachen, nehmen in Quantität und Qualität deutlich zu.

Abgesehen von den durch Mitarbeiter verursachten Risiken entstehen erhebliche Gefahren dadurch, dass Unternehmen aus Gründen eines wachsenden Wettbewerbsdrucks oder der Marktdynamik einerseits zu Aktionismus neigen, notwendige Sicherheitsmaßnahmen aber andererseits außen vor lassen. Das gilt beispielsweise dann, wenn ein Unternehmen Daten, die bislang durch eine Enterprise-Firewall geschützt waren, in die Public Cloud verlagert – das geschieht immer wieder, wenn sie schnell handeln wollen, um Kosten zu sparen oder agiler zu werden.

Unternehmen sollten sich dann aber wichtige Fragen nach der Einschätzung der damit verbundenen Risiken, den Rollen und Verantwortlichkeiten innerhalb der Organisation sowie dem Provider stellen und dafür sorgen, dass sie immer genau wissen, wer, wann und wie auf Informationen zugreift. Noch wichtiger: Was passiert, wenn eine bislang unbekannte Sicherheitslücke auftritt oder eine Schwachstelle nicht geschlossen wird? Die Kommunikation und die Beziehung zum Provider spielen hier eine entscheidende Rolle. Zudem wird unterstellt, dass die IT-Abteilung von der Nutzung der Public Cloud durch eine Fachabteilung weiß und dies nicht völlig an der IT vorbei geschieht.

Man denke in dem Zusammenhang aber auch an scheinbar harmlose Beispiele wie den Einsatz von SaaS-Applikationen oder Collaboration-Tools durch Fachabteilungen, ohne dass dieser von der IT-Abteilung genehmigt wurde oder sie davon Kenntnis hat.

Angenommen, die Marketingabteilung hat eine neue Agentur mit der Awareness-Kampagne für ein neues Produkt beauftragt. Sie nutzen dabei für den Dokumentenaustausch ein beliebtes Collaboration-Tool wie Dropbox. Die Dokumente können Informationen über neue Produkte und Features, interne Kontaktinformationen und andere Daten enthalten, die dann die IT-Umgebung des Unternehmens ohne Sicherheitsvorkehrungen und rechtlichen Schutz verlassen. Dadurch entsteht nicht nur ein IT-Sicherheitsrisiko,  sondern möglicherweise auch eine Gefährdung des geistigen Eigentums.

Ein weiteres Beispiel ist ein neues SaaS-basiertes CRM-Tool, mit dem Vertriebsmitarbeiter unter anderem sowohl Daten von Kunden und Interessenten als auch Informationen zum Umfang eines Vertrages erfassen. Sind keine angemessenen Zugangskontrollen implementiert, besteht die Gefahr, dass diese Daten entwendet werden können. Möglicherweise entsteht daraus kein unmittelbarer Schaden. Was aber wäre, wenn es sich um ein börsennotiertes Unternehmen handelt und mit diesen Daten der Aktienkurs beeinflusst werden könnte oder gar E-Mails von Kunden mit personenbezogenen Daten verloren gehen?

Der entscheidende Punkt: Wenn ein Unternehmen in Technologie investiert, ist es auch für deren IT-Sicherheit verantwortlich.

Wie hat die Cloud-Nutzung dies verändert – Stichwort offizielle Cloud-Angebote, die aus Fachabteilungen gebucht werden, sowie inoffizielle Schatten-IT?

Dawson: Durch eine Public-Cloud-Infrastruktur und SaaS-Applikationen ist es heute für jedermann – egal ob Fachabteilung oder Entwickler – viel einfacher möglich, sich per Kreditkarte eine ansonsten im Unternehmen nicht zugelassene Technologieumgebung oder ein Tool zu beschaffen. Ich frage oft CIOs oder andere IT-Führungskräfte, ob sie überhaupt wissen, wo ihre Daten sind; fast immer lautet die Antwort: Nein. Das sollte einem eigentlich schlaflose Nächte bereiten. Man kann Daten nicht schützen und die Einhaltung der Compliance überwachen, wenn man nicht einmal weiß, wo sich die Daten überhaupt befinden.

Durch den Einsatz der Cloud hat sich für die IT in den Unternehmen die Angriffsfläche deutlich vergrößert, es gibt zahlreiche potenzielle Ansatzpunkte, wenn Datenbanken oder Applikationen an verschiedenen Orten verteilt sind, von denen die IT nicht immer etwas weiß. Es ist schon schwierig genug, in einer bekannten Umgebung konsistente Regeln, Zugangs- und Sicherheitskontrollen in einer hybriden Multi-Cloud aufrechtzuerhalten, geschweige denn dann, wenn die IT-Abteilung nicht weiß, wo die Daten gespeichert sind.

„Man kann Daten nicht schützen und die Einhaltung der Compliance überwachen, wenn man nicht einmal weiß, wo sich die Daten überhaupt befinden.“

Margaret Dawson, Red Hat

Daher haben sehr viele IT-Abteilungen in Unternehmen und Behörden Private Clouds mit den Services und dem Bedienkomfort von Public Clouds kombiniert, damit sie die IT-Infrastruktur und die -Sicherheit überwachen können. Andere IT-Organisationen können nicht schnell genug agieren oder verfügen nicht über die nötigen IT-Budgets für den Aufbau von Private Clouds, so dass sie die Fachabteilungen einfach gewähren lassen oder zumindest versuchen, informiert zu werden und einige Richtlinien zum Einsatz von Public Clouds weiterleiten und empfehlen.

Aus unseren Befragungen unter IT-Entscheidern wissen wir, dass die Mehrheit der IT-Abteilungen erfolgreich mit den Fachbereichen zusammenarbeitet. Gleichzeitig erlaubt nahezu ein Viertel der Befragten ihren Kollegen den Einsatz einer Public Cloud: Sei es, weil sie nicht in der Lage sind, die benötigten Services bereitzustellen, weil sie den Bedarf nicht abdecken können oder weil sie nicht über die Ressourcen für eine Unterstützung verfügen.

Abbildung 1: Die beiden wichtigsten Punkte zur Bekämpfung der Shadow IT: Eine partnerschaftliche Zusammenarbeit mit den Fachabteilungen und die Bereitstellung von flexiblen sowie skalierbaren Infrastrukturen und Applikationen.

Welche Rolle spielt das Sicherheitsbewusstsein - im gesamten Unternehmen und des Einzelnen?

Dawson: Das Sicherheitsbewusstsein ist von entscheidender Bedeutung; das funktioniert aber nur dann, wenn Mitarbeiter auch achtsam sind. Viele erhalten zahlreiche sicherheitsrelevante Mittteilungen, fühlen sich aber oft überfordert oder haben einfach resigniert. Das gilt beispielsweise auch für unsere Familienangehörigen, die nie wissen, ob sie ein Security-Update installieren sollen oder nicht oder die alle Warnungen zu den von ihnen genutzten Antiviren- oder -Malware-Tools ignorieren – vorausgesetzt, sie haben überhaupt welche installiert.

Möglicherweise fallen sie auch auf eine gefälschte E-Mail zu einem angeblich zu bestätigenden vergessenen Passwort rein, klicken auf den beigefügten Link und infizieren dann ihr System mit Malware. Außerdem wundere ich mich immer wieder, wie viele Menschen und Unternehmen sich immer noch intelligenten Passwortverfahren verweigern. Ich weiß, dass es schwierig und aufwendig ist, aber so ist es nun einmal. Unternehmen müssen Regeln für den Gebrauch von Passwörtern aufstellen und deren Einsatz überwachen; das gilt insbesondere dann, wenn sie den Einsatz von Single-Sign-On (SSO) und anderen Funktionalitäten für eine einfachere Bedienung erlauben. Wir alle wissen, wie einfach es ist, in die WLANs von Unternehmen einzudringen. Man mag sich gar nicht vorstellen, was im Hinblick auf die IT-Sicherheit ansonsten noch alles vernachlässigt wird.

Wir müssen mehr in die grundlegende Bildungs- und Aufklärungsarbeit investieren, aber wir können Mitarbeiter natürlich nicht zwingen, das Richtige zu tun. Ein Teil des Problems besteht auch in der Preisgabe der Privatsphäre in den vielen sozialen Netzwerken und der gesamten Menge an Zugriffen auf Informationen im Web. In der jüngeren Generation ist eine völlige Missachtung der Privatsphäre zu beobachten. Es werden öffentlich zugängliche Informationen von Reisen oder von den Orten, an denen man sich gerade aufhält, gepostet. Wenn jemand einen anderen oder dessen Eigentum schädigen wollte, wäre das sehr einfach dadurch möglich, indem er dessen Posts auf Facebook oder in anderen sozialen Medien liest.

Eine interessante Analogie ist die sexuelle Erziehung und Schwangerschaftsverhütung. Wir können Kinder immer wieder vor Sex warnen. Eltern wissen, dass dies nicht funktioniert. Wenn wir uns aber darauf konzentrieren, wie man sich schützt und nicht die Sache als solche „schlecht“ macht, stehen die Chancen auf Erfolg viel besser. Die Daten sprechen für sich und ich persönlich kann das bestätigen, denn ich habe vier Söhne und – zumindest bislang – keine Enkel.

In anderen Worten: Man sollte davon ausgehen, dass jeder einmal Fehler macht und unter dieser Annahme Sicherheitsregeln aufstellen und Aufklärungsarbeit betreiben.

Identity Management oder Identity Governance wird oft über die IT-Abteilung abgebildet, ist dies noch zeitgemäß?

Dawson: Im Grunde genommen sind dies zwei Fragen: erstens, ob die eingesetzte Technologie auf dem aktuellen Stand ist, und zweitens, ob die eingesetzten Verfahren up-to-date sind. Die Antwort auf die erste Frage lautet: ja; im Markt sind leistungsfähige, für den unternehmensweiten Einsatz geeignete Lösungen für Identity Management und Identity Governance verfügbar. Viele davon sind in das Betriebssystem eingebaut oder in eine Management-Plattform integriert. Red Hat Enterprise Linux beispielsweise enthält umfangreiche Identity-Management-Funktionalitäten, die eigenständig oder auch zusammen mit Microsoft Active Directory eingesetzt werden können. Darüber hinaus ist auch eine Integration in die Management-Plattform Red Hat CloudForms möglich und Administratoren können dann Dashboards und Reports nutzen.

Mit Technologie alleine lassen sich die Probleme aber nicht lösen. Zunächst einmal muss die Technologie korrekt implementiert und konfiguriert werden und die Methoden und Prozesse müssen vorhanden sein. An dieser Stelle kommt häufig der Bruch und damit ist auch die zweite Frage beantwortet: Die Verfahren und Prozesse sind oft nicht auf dem aktuellen Stand. Bei so vielen neuen Applikationen und Geräten, wie sie die Mitarbeiter nutzen, wenden viele IT-Abteilungen ihre Identity-Management-Verfahren und -Prozesse noch nicht auf das gesamte Ecosystem an.

Wie sollte angesichts der veränderten Situation IT-Sicherheit über das gesamte Unternehmen hinweg abgebildet werden?

Dawson: Für Unternehmen sollten Investitionen in IT-Sicherheit einen für alle erkennbar hohen Stellenwert einnehmen. Wer keinen Chief Information Security Officer (CISO) hat oder sich keinen leisten kann, sollte einen Sicherheitsbeauftragten als allseits anerkannte und sichtbare Autorität positionieren. Ich denke, dass jedes Unternehmen einen CISO ernennen sollte, der direkt an den CEO oder CIO berichtet. Der CEO muss ebenso wie er die Mitarbeiter über die Geschäftsentwicklung, Innovation und den Customer Service unterrichtet, auch über die Bedeutung der IT-Sicherheit informieren. Es sollten verpflichtende IT-Security-Trainings für alle Mitarbeiter geben und die Schulungen sollten in regelmäßigen Abständen aufgefrischt werden. Zu oft noch sehen die Mitarbeiter IT-Security als Produktivitätskiller oder als zu kompliziert. Unternehmen sollten nach Möglichkeiten suchen, wie sie IT-Sicherheit zur Angelegenheit aller Mitarbeiter machen.

Um ein hohes IT-Sicherheitsniveau – insbesondere in regulierten Branchen – einzuhalten, empfehle ich Unternehmen, ein Anreizsystem für Mitarbeiter einzuführen. Quartalsmäßige Bonuszahlungen könnten an die Einhaltung von IT-Sicherheitszielen gekoppelt sein, es könnten Preise an herausragende Teams verliehen werden, Sicherheitsbotschafter ernannt oder ein Sicherheitsrat eingerichtet werden, bei dem Mitarbeiter neue Verfahren und Prozesse vorschlagen, für deren Einhaltung sie dann auch verantwortlich sind. IT-Sicherheit muss zu einem Teil der Unternehmenskultur werden.

Darüber hinaus sollte jede Führungskraft für die Einhaltung der IT-Security verantwortlich sein, nicht nur der CISO oder der CIO. Dies wird zu spürbaren Verhaltensänderungen führen, wenn Compliance und Security zu einem Bestandteil der KPIs (Key Performance Indicators) des Führungsteams werden und der Bonus sich an der Zielerreichung orientiert.

Eine positive Entwicklung, die ich sehe, ist die Schaffung von Business Information Security Officers (BISOs). Auch wenn dies noch ziemlich neu ist, gibt es bereits einige Unternehmen, die diese Position geschaffen haben, bei der die BISOs in die Fachabteilung eingebettet sind und direkt an den CISO berichten. Damit ist sichergestellt, dass in den Projekten der Fachabteilungen der Fokus auf IT-Security gewährleistet ist und die Sicherheitsanforderungen in Einklang mit den Geschäftsanforderungen implementiert werden.

Auch die IT-Abteilung sollte zu Kompromissen bereit sein. Sie sollte den Fachabteilungen den Einsatz eines neuen Collaboration-Tools oder einer SaaS-Applikation erlauben und dabei die Einhaltung der IT-Security-Regeln sicherstellen. Die IT kann nicht immer nur nein sagen, denn dann finden die Mitarbeiter Mittel und Wege, Vorschriften zu umgehen. Die Mitarbeiter ihrerseits müssen erkennen, dass IT-Security nicht mehr länger eine Pflicht ist, sondern eine Frage der Wettbewerbsfähigkeit und manchmal sogar zur Frage des Überlebens wird. Unternehmen, die eine größere Datenpanne hatten, können dies bestätigen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im August 2016 aktualisiert

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close