RAMSS:"Sicherheit" ist weit mehr als nur IT-Security (Teil 1)

Konkret im Bereich der Informationssicherheit haben sich fünf Begriffe herauskristallisiert, die bei richtiger Behandlung (zum Beispiel durch ein "gelebtes" ISMS = Informationssicherheitssystem) die EDV-Infrastruktur eines Unternehmens weitgehend vor unangenehmen Überraschungen schützen kann:

Die englische Abkürzung RAMSS steht ins Deutsche übertragen für Verlässlichkeit, Verfügbarkeit, Wartbarkeit und den sicheren Umgang mit der Technik. Wie man sieht, ist die der Einsatz technischer Komponenten nur ein Teil der Gesamtsicht und in der Abkürzung (nicht zufällig) zuletzt gereiht, obwohl in der Praxis meist damit begonnen wird.

Denn Informationssicherheit sollte mit grundlegenden Überlegungen beginnen und wie im alt-bekannten Wasserfallmodell immer wieder überdacht werden: je später ein Fehler erkannt wird, umso teurer ist dessen Behebung.

Als kleines Beispiel sei hier die sichere Netzwerk-Verkabelung erwähnt: Wer in der Bauphase eine Fehlentscheidung trifft, hat später hohe Kosten bei der Umstellung auf eine sichere, strukturierte Verkabelung.

Der Realisierung des ersten Begriffs - der Verlässlichkeit von Systemen - ist sehr oft eine Kostenfrage und hängt mit den anderen Begriffen eng zusammen. In erster Linie ist es eine Frage der Qualität der eingesetzten Komponenten. Bei einer Reihe von Security-Checks haben wir festgestellt, dass Server auf einfacher "PC-Hardware" betrieben werden, an und für sich kein technisches Problem - wenn allerdings IDE-Platten im Einsatz sind, ist das ein grober Fehler, diese sind nicht für einen Dauerbetrieb konzipiert!

Verlässlichkeit hat auch einen Nachteil, weil sie automatisch die trügerische Erwartungshaltung erweckt, dass das System nie ausfallen wird. Wenn sich jemand mit dem Thema Verlässlichkeit komplexer Systeme beschäftigen möchte - der russische Mathematiker Markov hat sehr genau die statistischen Ausfallswahrscheinlichkeiten und deren Abhängigkeiten ("Markov-Ketten") unter die Lupe genommen. Diese trockene Theorie lässt sich an einem trivialen Beispiel erläutern:

Wenn ein Router zu 90% verfügbar ist und eine Firewall dahinter ebenfalls zu 90%, dann ist die "Kombination" (....also der Internet-Zugang) nur mehr zu 81% verfügbar. Verwende ich noch einen Switch und dahinter einen WLAN-Zugang mit ebenfalls 90% Verfügbarkeit, dann "surfe" ich mit nur mehr 65,61% Wahrscheinlichkeit. Jetzt könnte ich noch die Leitung zum Provider hineinrechnen usw.

Natürlich sind heutige Komponenten so verlässlich, dass ihre Verfügbarkeit weit höher als 90% liegt. Darum streben IS-Experten zu der magischen "5-Neuner-Verfügbarkeit" von 99,999% - doch darüber später mehr.

(Die Fortsetzung dieses Artikels erfolgt in der nächsten Ausgabe.)

Dr. Manfred Wöhrl, ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger. Manfred.Woehrl@rics.at

Sie haben Security-Probleme - Fragen Sie Dr.Wöhrl

Sollten Sie Fragen zum Thema "Security" haben, senden Sie eine kurze E-Mail an die MONITOR-Redaktion, troger@monitor.co.at, wir leiten Ihre E-Mail gerne an Dr. Manfred Wöhrl weiter.