Mit Sicherheit zum Erfolg

Auf dem Siemens Security Forum konnten sich Systemadministratoren und Manager über den aktuellen Stand der IT-Sicherheit informieren.

Von Nina Hesse

In vielen Unternehmen geht ohne die IT-Infrastruktur nichts mehr. Wenn der Server zusammenbricht, können viele Mitarbeiter nur noch Däumchen drehen. Neben dem wirtschaftlichen Schaden eines Viren- und Hackerangriffs schmerzt auch der Imageverlust, wenn die Firma sich als verletzbar herausgestellt hat. IT-Sicherheit, so sind sich Experten einig, ist ein Thema, das in Unternehmen einen hohen Stellenwert genießen sollte.

Dr. Udo Helmbrecht, Präsident der Bundesanstalt für Sicherheit in der Informationstechnik (BSI): "Softwarevielfalt statt Monokultur".

Wem vorher noch nicht klar war, wie wichtig das Thema IT-Sicherheit für ein Unternehmen ist, der hatte es spätestens nach dem "Live Hacking" am ersten Tag des Security-Forums von Siemens Business Services, Training and Services, begriffen. Fröhlich demonstrierte Diplom-Informatiker Sebastian Schreiber von der SySS GmbH aktuelle Angriffsszenarien und die neusten Tricks der Hacker - wie man zum Beispiel mit Hilfe der beliebten Suchmaschine Google in Unix-Server eindringen kann, wie man Warenkörbe von nicht optimal gesicherten Online-Shops manipuliert und per "DNS-Tunneling" selbst in gut gesicherte Firmennetzwerke hineinkommt. Einen Tag später, beim "War Driving" durch München, folgte dann der Anschauungsunterricht zum Thema W-LAN-Sicherheit. Erschreckend, wie viele ungesicherte Funknetzwerke sich fanden. Ein Eindringling hätte so manches Mal leichtes Spiel gehabt. So genannte "Skript Kiddies" und neugierige Studenten - die für 90 Prozent der Angriffe verantwortlich sind -, aber auch echte Hacker und Daten-Spione mit bösen Absichten haben keinerlei Bedenken, solche Sicherheitslücken auszunutzen und Unternehmen und Privatleuten mit Viren, Trojanern und dem Ausspionieren von Passwörtern das Leben schwer zu machen.

Immer heftigere Angriffe.

Drei Tage lang hatten die Teilnehmer beim Siemens Security Forum in München Gelegenheit, sich über die neusten Trends im Bereich IT-Sicherheit zu informieren, ihr Wissen von hochkarätigen Referenten vertiefen zu lassen und sich darüber auszutauschen, wie andere mit den Sicherheitsproblemen umgegangen sind, mit denen sie selbst zu kämpfen haben. Der volle Saal und die ausgebuchten Workshops zeigten, wie aktuell das Thema zur Zeit ist, aber auch, wie gut diese Security-Foren in den letzten Jahren angekommen sind. Schon zum vierten Mal wird diese Konferenz nun von Training and Services angeboten. Gut angekommen ist dabei die konsequente Ausrichtung auf zwei Zielgruppen: "Wir haben einen �Management Track' mit Vorträgen für Entscheider, aber auch einen �Technician Track', bei dem die Referenten stärker in die technischen Details einsteigen", berichtet Gerhard Gayer, der das Siemens Security Forum organisiert. Dass das Management die IT-Sicherheit ernst nimmt, war eine immer wieder geäußerte Forderung der Teilnehmer und Referenten. Denn an der IT-Sicherheit wird bei Einsparungen oft als Erstes der Rotstift angesetzt. Und das, obwohl die Bedrohung nicht geringer geworden ist - im Gegenteil.
"Fälle von Datenveränderung und Computersabotage sind in den letzten Jahren stark gestiegen", berichtet Michael Nagel vom Bundeskriminalamt (BKA) in seinem Einführungsvortrag über Kriminalitätsbekämpfung im Internet. Auch Johannes Strümpfel aus dem Corporate Security Office der Siemens AG, einst bei einer deutschen Sicherheitsbehörde zuständig für die Themen Cyberterrorismus und Information Warfare, zeigte sich besorgt über die Entwicklung: "Die Leistungsfähigkeit und Verfügbarkeit von Angriffstools steigen ständig. Die Bedienbarkeit von Hacker-Software wird immer einfacher. Heutzutage braucht man für den Angriff auf ein Unternehmen fast keine technischen Kenntnisse mehr."

Immer schnellere Ausbreitung.

Hinzu kommt, dass die Ausbreitungsgeschwindigkeit von Viren und Würmern ständig zunimmt. Dauerte es beim "I love you"-Virus noch 16 Stunden, bis er auf der anderen Seite der Welt angekommen war, so erreichte der SQL-Wurm vom Januar 2003 den Höhepunkt seiner Aktivitäten nach nur vier Minuten. Vorwarnzeit? Fehlanzeige. Auch die Zeit zwischen dem Bekanntwerden einer Sicherheitslücke in einer Software und dem Auftauchen von "Schadsoftware", wie der Fachmann sagt, nimmt ständig ab. Beim Virus CodeRed waren es noch sechs Monate, bei MSBlast im August 2003 betrug diese Karenzzeit nur noch vier Wochen.
Auch die psychologische Gestaltung von Viren wird immer raffinierter, mit einer Vielzahl von Betreffzeilen verführen sie unerfahrene Benutzer, die gefährlichen Mails zu öffnen. Ein Beispiel hatte Sebastian Schreiber dabei, es war gerade am Morgen davor in seinem Postfach gelandet: eine geschickt gefälschte Mail, die sich mit einer Adresse aus seiner eigenen Firma tarnte. Der Urheber hatte seine böse Überraschung in ein verschlüsseltes ZIP-Archiv verpackt, so dass der Virenscanner nicht angesprungen war.
Neben dem wirtschaftlichen Schaden, den solche Schadsoftware einem Unternehmen zufügen kann, schmerzt auch das angekratzte Image, wenn es einem Täter gelungen ist, die Firewalls zu überwinden und beispielsweise die Website zu verändern. Ein Großunternehmen musste sogar seine Hauptversammlung wiederholen, weil Hacker die elektronischen Abstimmungsanlagen manipuliert hatten.

Sicherheit muss gelebt werden.

Für die Netzwerkadministratoren der Firmen bedeuten diese Angriffe, dass sie ständig auf der Hut sein müssen. Wenn eine Sicherheitslücke erkannt ist, beginnt das bange Warten, bis endlich der passende "Patch" verfügbar ist und das Loch gestopft werden kann. Im schlimmsten Fall vergehen Monate, bis es so weit ist. Deshalb plädierte Dr. Udo Helmbrecht, Präsident der Bundesanstalt für Sicherheit in der Informationstechnik (BSI), in seinem Vortrag für Softwarevielfalt statt Monokultur und empfahl Prävention. Besonders bei den mittelständischen Unternehmen, die sich nicht wie Konzerne eigene IT-Sicherheitsexperten leisten können, sei der Stand der Technik oft erschreckend. Für diese Zielgruppe, aber auch für Privatleute und Großunternehmen bietet das BSI Hilfen und Leitfäden. Und natürlich bieten auch viele andere Organisationen und Unternehmen Anti-Viren-Tools an - einige davon konnten die Konferenzteilnehmer in der begleitenden Fachausstellung in Augenschein nehmen.
Doch mit der Technik ist es nicht getan. Auch manche IT-Abteilungen, die zur Verfügung stehende Patches zu spät einspielen, oder Benutzer, die zu lax mit ihren Passwörtern umgehen und ahnungslos Viren weiterverbreiten, spielen Hackern in die Hände. Auch aus diesem Grund glauben so viele IT-Experten, dass der Schutz vieler Firmen bisher noch mangelhaft sei - obwohl es viele verfügbare technische Lösungen gibt. "Oft fehlt ein durchgehendes IT-Sicherheitsmanagement. Ein systematisches Vorgehen statt Feuerlösch-Technik", meinte Helmbrecht. "Sicherheit ist mehr ein menschliches als ein technisches Problem." Zumal rund ein Viertel der Sicherheitszwischenfälle durch Mitarbeiter der eigenen Firma verschuldet wird. Johannes Strümpfel betonte: "Die Sensibilisierung ist ganz wichtig. Die besten Systeme nützen nichts, wenn sie nicht akzeptiert und gelebt werden." Und das grundlegende Dilemma bleibt: "Wir müssen kommunizieren und uns öffnen, aber wir müssen uns auch der Gefahren und Konsequenzen bewusst sein. Wer zu offen mit sensiblen Infos umgeht, ist nicht ganz dicht."

Zwischen Freiheit und Sicherheit.

Auch viele andere Themen wurden in den Übersichtsvorträgen der ersten Tage angesprochen. Abhörsicherheit, Verschlüsselung, Biometrie - in manchen Momenten wehte durch den Konferenzraum in München ein Hauch von James-Bond-Atmosphäre.
Aber auch kritische Fragen und Positionen wurden nicht ausgeklammert. Nachdenklich machte der Vortrag von Prof. Berthold Meyer (Hessische Stiftung für Friedens- und Konfliktforschung) über das prekäre Spannungsverhältnis zwischen dem Streben nach Freiheit und dem Wunsch nach Sicherheit. Denn jedes Mehr an Sicherheit engt Freiheiten ein. "Unsere postindustrielle Gesellschaft hat viel zu verlieren, daher ist sie bereit, viele Zumutungen zu akzeptieren, wenn sie der Sicherheit dienen", stellte Meyer fest. "Deshalb wirken Sicherheitsversprechen auch wie eine Droge - die von Politikern jeder Couleur eifrig genutzt wird."
Meyers Anregung: Damit Freiheitsrechte möglichst wenig eingeschränkt werden, sollte in jedem neuen Gesetz eine zweijährige Überprüfungsfrist eingebaut werden. Stellt man nach dieser Zeit fest, dass der Grund, aus dem das Gesetz beschlossen wurde, inzwischen weggefallen ist, oder dass sich das Gesetz als ineffektiv erwiesen hat, wird es außer Kraft gesetzt.

Zahlreiche Workshops.

In zahlreichen Vorträgen und Workshops konnten sich die Konferenzteilnehmer detaillierter mit Themen der IT-Sicherheit auseinander setzen. Während sich die anwesenden Manager über "Security Awareness, der unterschätzte Erfolgsfaktor", das "Management operationeller Risiken" und "Return on Security Investment" informierten, standen in anderen Räumen "Digitale Beweisführung", "Self Defending Networks", "W-LAN Security" und "Vulnerability Management - von der Schwachstellenerkennung bis zur intelligenten Patch-Verwaltung" auf dem Programm. Die Breite des Angebots spiegelte das umfangreiche Seminarprogramm "Security" wider, das Siemens Business Services, Training and Services, für Management, Consultants, IT-Profis und Anwender anbietet. Wenn nötig auch maßgeschneidert.

Nina Hesse ist freie Mitarbeiterin von changeX.

Kontakt:
gerhard.gayer@siemens.com
www.siemens.de/training

Zum changeX-Partnerportrait: Siemens Business Services, Training and Services.

© changeX Partnerforum [25.03.2004] Alle Rechte vorbehalten, all rights reserved.