2007: Jahr der Informationssicherheit?

Ich habe im vergangenen Jahr regelmäßig über technische Securityaspekte berichtet und möchte als Neueinstieg für heuer den Begriff IT-Security auf Informationssicherheit fokussieren. Der sichere Umgang mit Information ist das Ziel!

In einem ersten Schritt ist zu definieren: Welche Informationen sind firmenkritisch? Drohen bei einem Verlust oder wenn sie in falsche Hände geraten für ein Unternehmen große Probleme bis zum Konkurs?

In der Folge muss analysiert werden, welche technischen und organisatorischen Schwachstellen es gibt, durch deren (gewollte oder ungewollte) Ausnutzung kritische Informationen in Gefahr geraten können. Erst jetzt kann man die einzelnen Schwachstellen gezielt angehen und beheben.

Wie weit Theorie und Praxis leider auseinander gehen, zeigt ein kleines Beispiel: Man hat sich heute daran gewöhnt, dass der E-Mail-Dienst funktioniert. Auf die Frage: "Wie lange darf die EDV in ihrer Firma stehen?" kam die Antwort "24 Stunden ohne Probleme". Aber wehe, der Fall tritt ein, dass eine "wichtige" E-Mail auch nur um eine oder zwei Stunden verzögert wird oder ein Webzugriff tatsächlich nicht möglich ist - dann ist Feuer am Dach!

Wir steuern weltweit auf einen kritischen Punkt zu: IT-Systeme werden immer komplexer - im Gesamten und im Einzelnen - es treten Probleme im Zusammenspiel auf, da es nahezu unmöglich wird, alle kombinatorischen Möglichkeiten VOR Inbetriebnahme zu testen.

Auch hier ein Beispiel aus der Praxis: eine Novell-Lösung (iChain und eDirectory) soll mit LDAP und SAMBA (installiert auf eine IBM-Z-Series mit SuSe/VM) zusammenwirken - theoretisch kein Problem - aber in der Praxis treten unbekannte Timing- und Tree-Probleme beim "Login" auf...

Daran erkennt man deutlich ein neues Ziel der Informationssicherheit: Nach IT-Security und Verfügbarkeit kommt Performance ins Spiel. Eine IT-Funktionalität ist nur gegeben, wenn die Antwortzeit akzeptabel ist!

Gesamtheitliche Sicht ist wichtig

Aus diesen Gründen ist eine gesamtheitliche Sicht der Informationssicherheit unabdingbar - denn so wichtig jeder einzelne Aspekt für sich ist, eine einseitige Gewichtung stört das Gesamtsystem. Zum Beispiel ist es notwendig technische Details zu betrachten, aber die Organisation darf deshalb nicht unbeachtet bleiben. Wem eine firmeninterne Umsetzung der ISO27001 zu komplex (oder zu kostenintensiv) erscheint, kann - in Anlehnung an diese Norm - kleine Schritte in der Dokumentation starten. Dazu zählen Arbeitsanweisungen (z. B. "HowToDo" im Krisenfall), Checklisten, aber auch Sammlungen von Fragen und Antworten ("FAQs"), die die IT-Infrastruktur betreffen und vom User oft gestellt werden.

Eine andere Facette der beschriebenen Thematik ist auch die Frage, wo überall transparent (für den Benutzer unerkannt) EDV-Systeme im Einsatz sind. Wie sieht es da mit der Informationssicherheit aus? Dabei denke ich gar nicht an bekannte Bereiche wie Handy-Telefonie (Verbindungsdaten, in welcher Funkzelle hat sich das Handy bewegt), sondern auch an die Stromversorger ("Stromausfall durch Fehlverhalten der EDV") oder andere, vernetzte Infrastrukturbetreiber.

Mit einem Wort: lohnende Hackerziele nehmen zu, die Abhängigkeit von funktionierenden Systemen steigt für (fast) jeden von uns. Wir können nur hoffen, dass sich die Verantwortlichen der Gefahren bewusst sind und entsprechend agieren.

Dr. Manfred Wöhrl ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger. Manfred.Woehrl@rics.at