"Von 'Roten Zonen' in der IT"
„Ihr Betriebsgelände liegt in der Roten Zone. Die Pegel der Donau steigen, bereiten Sie jetzt die Evakuierung vor!“
In den letzten Jahrzehnten wurde viel gebaut und nicht immer hat sich der Standort als klug gewählt erwiesen. Auch die IT der Firmen wurde ausgebaut: Teile davon sind historisch gewachsen, Teile wurden quasi auf die grüne Wiesen gestellt. Und immer mehr stellt sich heraus, dass wir den Großteil unserer IT-Infrastruktur in der roten Zone der IT-Sicherheit gebaut haben: Es braucht keinen besonders trickreichen Angreifer, um die notdürftig aufgestellten Sicherheitsmaßnahmen zu überwinden.
Die medienwirksamen Anonymous-Hacks auf bekannte Webseiten vom Sommer 2011 sind jetzt lange vorbei, die Aufmerksamkeit lässt nach und die bekannte österreichische Wurstigkeit in Sachen IT Security breitet sich wieder aus. Doch so ruhig ist es dann doch nicht: Laufend werden internationale Advanced Persistent Threat (APT) Kampagnen bekannt („Aurora“, „Stuxnet“, „Duqu“, „Flamer“, „Red October“, ...) und auch die österreichische Politik hat das Thema aufgegriffen. Die österreichische Strategie für Cyber Sicherheit wurde im März 2013 verabschiedet und soll Bewegung in das Thema bringen.
Aber wo liegt eigentlich das Problem? Wissen wir zu wenig über IT Sicherheit? Braucht es neue Forschung über selbstlernende Firewalls oder cloud-gesteuerte, adaptive Antiviren-Software? Auf welche innovativen Produkte aus der Sicherheitsforschung warten die Firmen, damit alles besser und endlich sicher wird?
Die Antwort ist – in dem meisten Fällen – viel trivialer: Das theoretische Wissen und die nötigen Werkzeuge sind vorhanden. Es scheitert aber oft schon an den "Basics" der Umsetzung: In der täglichen Arbeit des CERTs sehen wir laufend Sicherheitsprobleme, die durch die Missachtung von altbekannten Handlungsempfehlungen entstanden. Ob die OWASP Top10 für Web-Applikationen, der IT-Grundschutz des BSI oder das österreichische Sicherheitshandbuch ist egal: die meisten Punkte aus diesen Dokumenten sind nicht Rocket-Science, sondern besserer IT-Hausverstand. Die konsequente Umsetzung ist das Problem: Vieles davon ist Routinearbeit, die regelmäßig und zuverlässig durchgeführt werden sollte. Das ist nicht sexy. Das hilft der IT-Abteilung nicht bei der Erfüllung von Deadlines und Projektplänen. Das ist schlicht die lästige Arbeit, die widerstrebend „halt auch“ gemacht wird, wenn es denn ein Audit so fordert.
In anderen Bereichen ist das akzeptiert: Der Sicherheitsdienst, der in der Nacht durch das Werksgelände patrouilliert, der Verantwortliche für die Baustellenabsicherung, der 7x24 Portier: da wird Personal dediziert für Sicherheitsroutineaufgaben abgestellt. In der IT sieht man das leider viel zu selten, und wenn, ist das oft ein Chief Information Security Officer (CISO), der für die eigentliche Umsetzung erst recht wieder auf die Arbeitszeit der IT-Fachkräfte zurückgreifen muss. In der kleinteiligen österreichischen Firmenlandschaft ist selbst das oft zu viel gewünscht: Ein 15-Personen Hightech-KMU wird sich keine Vollzeit IT-Sicherheitskraft leisten können.
Eigentlich ist aber genau diese nötig, denn das simple Abhaken von Beschaffungslisten („Firewall“, „Virenschutz“, „IDS“, „SIEM“, ...) reicht nicht. Diese Technologien brauchen alle ein kompetentes Operating – ohne eine sinnvolle Konfiguration und ohne einen regelmäßigen Blick in die Ergebnisse sind sie wertlos. Sicherheit entsteht nicht durch Dinge die wir kaufen, sondern durch Dinge die wir tun – oder unterlassen. Alle diese defensiven Maßnahmen sind aber kein Garant, dass nicht doch der Spion ins Netz eindringen kann: Dann stellt sich die Frage, ob und wie schnell man das erkennen kann. Doch hier schließt sich der Kreis: Welche Firma stellt regelmäßig die Ressourcen bereit, neben einem Penetration-Test (dem Versuch, ob ein Einbruch einfach machbar ist), auch ohne konkreten Anlass einen Test auf einen vorhandenen Einbruch durchführen zu lassen?
Was bedeutet das konkret? Für KMUs empfehlen wir, die IT-Security nicht „einfach so“ als gegeben anzusehen, sondern sie explizit - wie z.B. die Lohnverrechnung - an spezialisierte Dienstleister auszulagern, die sich auch regelmäßig und unabhängig von einem konkreten Anlass dafür Zeit nehmen. Dass das nicht gratis ist, sollte klar sein. Und nicht alle Handlungsempfehlungen des Fachmanns werden willkommen sein - aber glauben Sie, dass es wirklich eine gute Idee ist, wenn die Kinder der Geschäftsführung am Buchhaltungs-PC online auf Monster-Jagd gehen?
Den größeren Unternehmen legen wir folgendes ans Herz: Testen, Testen, Testen. Und Testen lassen. Und beraten lassen, auch wenn die Conclusio oft nicht angenehm umzusetzen ist. So könnte die Entscheidung zwischen dem Beibehalten einer internen Applikation, die ein veraltetes Java voraussetzt und dem Internet-Zugang der entsprechenden Arbeitsplatzrechner zu treffen sein. Die Kombination aus beiden ist keine gute Idee. Andererseits: Wer diese Entscheidung einmal ehrlich getroffen hat, der wird bei der nächsten Softwarebeschaffung mehr auf die langfristige Wartbarkeit schauen und vielleicht nicht den Billigstanbieter nehmen. Das kann auch zu einem radikalen Umbau der gewohnten IT Strukturen und Prozesse führen. Und das alles wegen einer Gefahr, die für viele Entscheidungsträger noch sehr abstrakt und nicht greifbar ist.
Für alle gilt: Die Absicherung der IT-Infrastruktur ist eine Basisaufgabe für jede Firma. Wird das Thema ignoriert, dann ist es keine Frage des "ob", sondern nur eine Frage des "wann" ein entsprechender Schaden eintreten wird, und wie gut man damit umgehen kann. Aus menschlich allzu verständlichen Gründen (Budget, Erreichung der nächsten Quartalszahlen, Produktzyklen, Bequemlichkeit, „wird schon nichts passieren, es wär ja schlimm, wenn doch“, ...) wird die IT-Sicherheit gerne auf morgen verschoben.
Morgen ist es aber zu spät.
Und wenn dann der Spion im eigenen Netz gefunden wird, dann wird die Sache erst richtig spannend: Wie gut ist die Firma aufgestellt, mit so einer Krise umzugehen, und den Vorfall sowohl von der technischen und juristischen Seite als auch von der internen und externen Krisenkommunikation richtig zu bewältigen?
Aber da sind wir wieder beim Hochwasser: Wenn die Werksanlage schon in der roten Zone steht und nicht abgesiedelt werden kann, dann sollte man sich wenigstens Gedanken darüber machen, wie man mit den Wassermassen umgeht. Denn das nächste Hochwasser kommt bestimmt.
https://www.owasp.org/index.php/Top_10_2013-Top_10
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
https://www.sicherheitshandbuch.gv.at/