Angriff ist die beste Verteidigung

Angriff ist die beste Ver­tei­digung – Eine Sicher­heits­eva­luation zeigt Schwach­stellen früh­zeitig auf und ermög­licht ein pro-aktives Handeln, sie schafft Trans­parenz für eva­lu­ierte Pro­dukte und ist eine ver­trau­ens­bil­dende Maßnahme 

Dass die Durch­dringung der Gesell­schaft mit Infor­­ma­­tions- und Kom­mu­ni­ka­ti­ons­technik (IKT) und vor allem der Wirt­schaft vor­an­schreitet, ist eine Ent­wicklung, die mitt­ler­weile Jedermann bewusst ist. IKT-Systeme sind das Fun­dament, auf dem die alle heu­tigen Geschäfts- sowie Pro­duk­ti­ons­pro­zesse auf­gebaut sind. Ohne funk­tio­nie­rende IKT-Infra­­struktur könnten viele Unter­nehmen heute kaum arbeiten. Während die meisten Unter­neh­mens­lenker dem vor­be­haltlos zustimmen würden, würden sie bei der Frage nach der Sicherheit ihrer Systeme sehr viel zurück­hal­tender reagieren. Denn – und das zeigen nicht nur regel­mäßig Studien des BITKOM – die IT-Sicherheit ist für viele Unter­nehmen, ins­be­sondere kleine und mit­tel­stän­dische Unter­nehmen noch ein schwie­riges Thema.

Zur Bedeutung der IT-Sicherheit ist hier auf den DsiN-Seiten schon einiges gesagt worden. Auch tech­nische wie auch orga­ni­sa­to­rische Maß­nahmen zur Erhöhung der IT-Sicherheit sind bereits aus­führlich besprochen und Tipps für das Ver­halten nach einem Scha­densfall sind gegeben worden. Diese sind sehr wertvoll und nützlich, reichen jedoch nicht aus, um zu beur­teilen, ob die Systeme des eigenen Unter­nehmens aus­rei­chend vor Sabotage‑, Spionage oder Hacker­an­griffen geschützt sind, oder um zu beur­teilen, wie sicher die eigenen Pro­dukte und Software-basierten Anwen­dungen sind, und ob sie ggf. für die eigenen Kunden eine Gefah­ren­quelle dar­stellen oder auch ob sie miss­braucht und mani­pu­liert werden können. Hinzu kommt, dass viele Mit­tel­stands­un­ter­nehmen – besonders kleinere mit weniger als 500 Mit­ar­beiter – die IT aus­lagern bzw. stark IT-Dienst­­leis­­tungen von Dritt­an­bietern beziehen – meist aus Kos­ten­gründen oder weil sie nicht genügend Fach­kräfte für eine eigene IT-Abteilung finden.

Unter­nehmen inter­es­sieren sich dann bei­spiels­weise für Fragen wie „Wie sicher ist ein Cloud-Angebot, das man in seine eigenen Geschäfts­pro­zesse ein­binden möchte?“ oder „Sind die Rechner im Unter­neh­mens­netzwerk frei von Schad­software?“, oder auch „Kann ich der Software oder ggf auch der Hardware eines Anbieters, die ich in meine Unter­­nehmens-IT ein­binde, ver­trauen?“ All­ge­meine Ant­worten auf solche Fragen wird man auf­grund der Kom­ple­xität heu­tiger IT-Systeme, der vielen offenen Schnitt­stellen sowie der Ver­netzung nicht erhalten können. 

Ver­trauen ist gut… 

Unter­nehmen dürfen nicht darauf ver­trauen, dass die ein­ge­setzte Software keine Angriffs­punkte und Ver­wund­bar­keiten auf­weist. Auch ist eine ver­meintlich rei­bungslos funk­tio­nie­rende IT kein Garant dafür, dass nicht auf ver­steckten Kanälen, unter­neh­mens­re­le­vante Daten bspw. an Kon­kur­renten oder Pro­dukt­pi­raten abfließen. In den Medien wurden immer wieder Sicher­heits­vor­fälle bekannt, durch die unau­to­ri­sierte Zugriffe auf sen­sible Unter­neh­mens­daten ermög­licht wurden. Unter­nehmen benö­tigen vor allem Infor­mation und Hand­lungs­emp­feh­lungen bezüglich der Sicher­heits­qua­lität genutzter Hard- und Soft­ware­pro­dukte und natürlich auch der ein­ge­setzten Sicher­heits­tech­no­logie. Zer­ti­fi­zierte Pro­dukte oder Lösungen, die einem offen­ge­legten und nach­voll­zieh­baren Sicher­heitstest unter­zogen wurden, sind erfor­derlich, so dass durch neu­trale oder spe­ziell akkre­di­tierte Instanzen den Unter­nehmen, die diese Pro­dukte nutzen oder die selber Pro­dukte ver­markten möchten, mit nach­voll­zieh­baren Aus­sagen die Sicher­heits­qua­lität der Pro­dukte bestätigt wird. Für Unter­nehmen, die tes­tierte Pro­dukte anbieten, könnte dies zu einem wich­tigen Wett­be­werbs­vorteil werden. Zudem sollten Unter­nehmen auch ihre gesamte Infra­struktur kon­ti­nu­ierlich einem Sicher­heits­check unter­ziehen, um mög­liche Sicher­heits­lecks früh­zeitig zu iden­ti­fi­zieren und mit gezielten Maß­nahmen abzudichten.

So führt bei­spiels­weise das Münchner Fraun­­hofer-Institut AISEC für seine Kunden maß­ge­schnei­derte Sicher­heits­eva­lu­ie­rungen durch. Diese werden jeweils zuge­schnitten auf die zu ana­ly­sie­rende Hardware- bzw. Software-Pro­­­dukte des Kunden kon­zi­piert, wobei die neu­esten wis­sen­schaft­liche Methoden und Erkennt­nisse über Schwach­stellen und Angriffs­mög­lich­keiten, sowie bei Bedarf auch Spe­zi­al­geräte aus den eta­blierten Ana­ly­se­la­boren, wie bei­spiels­weise ein Laser­mess­platz oder eine EMA-Sonde, zum Einsatz kommen. Für die tief­ge­henden Ana­lysen nutzt Fraun­hofer AISEC diverse, unter Ein­be­ziehung neu­ester For­schungs­er­geb­nisse stetig weiter ent­wi­ckelte, eigene Analyse-Wer­k­­zeuge. Ein Thema, das die Unter­nehmen derzeit stark beschäftigt, ist die Mobile Sicherheit. Vor allem die Frage, wie sicher die auf Fir­men­ge­räten instal­lierten Anwen­dungen sind, z.B. Apps auf mobilen End­ge­räten. Können sie ver­trau­liche Fir­men­mails mit­lesen? Führen sie sonst Funk­tionen aus, die mit der fir­men­ei­genen Sicher­heits­po­litik nicht im Ein­klang stehen? Hier können die Unter­nehmen bei­spiels­weise auto­ma­ti­sierte Ana­ly­se­ver­fahren nutzen, bei den auf­ge­zeigt wird, auf welche sen­siblen Daten die App zugreift und über welche Pfade die Daten ggf wei­ter­ver­ar­beitet und an unbe­rech­tigte Dritte wei­ter­ge­leitet werden.

ASi­cher­heits­eva­lu­ie­rungen ermög­lichen es, früh­zeitig Schwach­stellen in den Pro­dukten selbst oder in den kon­fi­gu­rierten IKT-Stru­k­­turen zu iden­ti­fi­zieren und durch gezielte Maß­nahmen, diese Schwach­stellen abzu­schaffen. Damit wird die Angriffs­fläche sub­stan­tiell redu­ziert. Die für die Schaffung eines ange­mes­senen Sicher­heits­ni­veaus erfor­der­lichen Mehr­aus­gaben eines Unter­nehmens sind trans­parent und nach­voll­ziehbar für die Geschäfts­leitung dar­stellbar und tes­tierte Pro­dukte sind ver­trau­ens­bil­dende Maß­nahmen für die eigenen Kunden.

Bild: © Baran Özdemir / iStock.com