Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Angriff ist die beste Verteidigung
Angriff ist die beste Verteidigung – Eine Sicherheitsevaluation zeigt Schwachstellen frühzeitig auf und ermöglicht ein pro-aktives Handeln, sie schafft Transparenz für evaluierte Produkte und ist eine vertrauensbildende Maßnahme
Dass die Durchdringung der Gesellschaft mit Informations- und Kommunikationstechnik (IKT) und vor allem der Wirtschaft voranschreitet, ist eine Entwicklung, die mittlerweile Jedermann bewusst ist. IKT-Systeme sind das Fundament, auf dem die alle heutigen Geschäfts- sowie Produktionsprozesse aufgebaut sind. Ohne funktionierende IKT-Infrastruktur könnten viele Unternehmen heute kaum arbeiten. Während die meisten Unternehmenslenker dem vorbehaltlos zustimmen würden, würden sie bei der Frage nach der Sicherheit ihrer Systeme sehr viel zurückhaltender reagieren. Denn – und das zeigen nicht nur regelmäßig Studien des BITKOM – die IT-Sicherheit ist für viele Unternehmen, insbesondere kleine und mittelständische Unternehmen noch ein schwieriges Thema.
Zur Bedeutung der IT-Sicherheit ist hier auf den DsiN-Seiten schon einiges gesagt worden. Auch technische wie auch organisatorische Maßnahmen zur Erhöhung der IT-Sicherheit sind bereits ausführlich besprochen und Tipps für das Verhalten nach einem Schadensfall sind gegeben worden. Diese sind sehr wertvoll und nützlich, reichen jedoch nicht aus, um zu beurteilen, ob die Systeme des eigenen Unternehmens ausreichend vor Sabotage‑, Spionage oder Hackerangriffen geschützt sind, oder um zu beurteilen, wie sicher die eigenen Produkte und Software-basierten Anwendungen sind, und ob sie ggf. für die eigenen Kunden eine Gefahrenquelle darstellen oder auch ob sie missbraucht und manipuliert werden können. Hinzu kommt, dass viele Mittelstandsunternehmen – besonders kleinere mit weniger als 500 Mitarbeiter – die IT auslagern bzw. stark IT-Dienstleistungen von Drittanbietern beziehen – meist aus Kostengründen oder weil sie nicht genügend Fachkräfte für eine eigene IT-Abteilung finden.
Unternehmen interessieren sich dann beispielsweise für Fragen wie „Wie sicher ist ein Cloud-Angebot, das man in seine eigenen Geschäftsprozesse einbinden möchte?“ oder „Sind die Rechner im Unternehmensnetzwerk frei von Schadsoftware?“, oder auch „Kann ich der Software oder ggf auch der Hardware eines Anbieters, die ich in meine Unternehmens-IT einbinde, vertrauen?“ Allgemeine Antworten auf solche Fragen wird man aufgrund der Komplexität heutiger IT-Systeme, der vielen offenen Schnittstellen sowie der Vernetzung nicht erhalten können.
Vertrauen ist gut…
Unternehmen dürfen nicht darauf vertrauen, dass die eingesetzte Software keine Angriffspunkte und Verwundbarkeiten aufweist. Auch ist eine vermeintlich reibungslos funktionierende IT kein Garant dafür, dass nicht auf versteckten Kanälen, unternehmensrelevante Daten bspw. an Konkurrenten oder Produktpiraten abfließen. In den Medien wurden immer wieder Sicherheitsvorfälle bekannt, durch die unautorisierte Zugriffe auf sensible Unternehmensdaten ermöglicht wurden. Unternehmen benötigen vor allem Information und Handlungsempfehlungen bezüglich der Sicherheitsqualität genutzter Hard- und Softwareprodukte und natürlich auch der eingesetzten Sicherheitstechnologie. Zertifizierte Produkte oder Lösungen, die einem offengelegten und nachvollziehbaren Sicherheitstest unterzogen wurden, sind erforderlich, so dass durch neutrale oder speziell akkreditierte Instanzen den Unternehmen, die diese Produkte nutzen oder die selber Produkte vermarkten möchten, mit nachvollziehbaren Aussagen die Sicherheitsqualität der Produkte bestätigt wird. Für Unternehmen, die testierte Produkte anbieten, könnte dies zu einem wichtigen Wettbewerbsvorteil werden. Zudem sollten Unternehmen auch ihre gesamte Infrastruktur kontinuierlich einem Sicherheitscheck unterziehen, um mögliche Sicherheitslecks frühzeitig zu identifizieren und mit gezielten Maßnahmen abzudichten.
So führt beispielsweise das Münchner Fraunhofer-Institut AISEC für seine Kunden maßgeschneiderte Sicherheitsevaluierungen durch. Diese werden jeweils zugeschnitten auf die zu analysierende Hardware- bzw. Software-Produkte des Kunden konzipiert, wobei die neuesten wissenschaftliche Methoden und Erkenntnisse über Schwachstellen und Angriffsmöglichkeiten, sowie bei Bedarf auch Spezialgeräte aus den etablierten Analyselaboren, wie beispielsweise ein Lasermessplatz oder eine EMA-Sonde, zum Einsatz kommen. Für die tiefgehenden Analysen nutzt Fraunhofer AISEC diverse, unter Einbeziehung neuester Forschungsergebnisse stetig weiter entwickelte, eigene Analyse-Werkzeuge. Ein Thema, das die Unternehmen derzeit stark beschäftigt, ist die Mobile Sicherheit. Vor allem die Frage, wie sicher die auf Firmengeräten installierten Anwendungen sind, z.B. Apps auf mobilen Endgeräten. Können sie vertrauliche Firmenmails mitlesen? Führen sie sonst Funktionen aus, die mit der firmeneigenen Sicherheitspolitik nicht im Einklang stehen? Hier können die Unternehmen beispielsweise automatisierte Analyseverfahren nutzen, bei den aufgezeigt wird, auf welche sensiblen Daten die App zugreift und über welche Pfade die Daten ggf weiterverarbeitet und an unberechtigte Dritte weitergeleitet werden.
ASicherheitsevaluierungen ermöglichen es, frühzeitig Schwachstellen in den Produkten selbst oder in den konfigurierten IKT-Strukturen zu identifizieren und durch gezielte Maßnahmen, diese Schwachstellen abzuschaffen. Damit wird die Angriffsfläche substantiell reduziert. Die für die Schaffung eines angemessenen Sicherheitsniveaus erforderlichen Mehrausgaben eines Unternehmens sind transparent und nachvollziehbar für die Geschäftsleitung darstellbar und testierte Produkte sind vertrauensbildende Maßnahmen für die eigenen Kunden.
Bild: © Baran Özdemir / iStock.com
Prof. Dr. Claudia Eckert, Fraunhofer AISEC

Prof. Dr. Claudia Eckert ist Leiterin des Fraunhofer AISEC in München und Professorin der Technischen Universität München, wo sie den Lehrstuhl für IT-Sicherheit am Informatik-Fachbereich inne hat. Als Mitglied verschiedener nationaler und internationaler industrieller Beiräte und wissenschaftlicher Gremien berät sie Unternehmen, Wirtschaftsverbände sowie die öffentliche Hand in allen Fragen der IT-Sicherheit.

Neueste Kommentare