Wie baue ich eine sichere IT?

Sichere Systeme

Jedes IT-System besitzt Schwach­stellen. Warum muss das so sein? Solange es IT-Systeme gibt, gibt es auch Angreifer, die vor­handene Schutz­systeme über­winden und in fremde Systeme ein­dringen, IT-Systeme miss­brauchen, Daten ent­wenden oder zer­stören. Gibt es keine Mög­lichkeit ein IT-System so zu bauen, dass es „wirklich” sicher ist? 

Das führt zu der Frage: „Was ist ein sicheres IT-System? Wie defi­niere ich sicher?” Ein Infor­ma­tiker wird bei diesen Fragen ver­mutlich mit dem „turing­schem Hal­te­problem”  argu­men­tieren. Demnach ist es schon von der Theorie her nicht möglich Software sicher zu pro­gram­mieren. Wie kann ich dann aber die größt­mög­liche Sicherheit für meine Daten erreichen?

Kann ich meine Sicherheit dadurch erhöhen, indem ich kom­pli­ziertere oder mehrere Sicher­heits­systeme verwende?

Die Antwort darauf ist… ja! Wenn ich die Anzahl von Zeichen eines Pass­worts ver­größere, ver­bessere ich (messbar!) die Sicherheit des Pass­worts. Wenn ich meine Datenbank hinter mehrere Stufen von Fire­walls instal­liere ver­bessere ich den Zugriffs­schutz auf die Daten. Wenn ich Infor­ma­tionen über meine IT-Lan­d­­schaft nicht jedem zugänglich mache, ver­bessere ich die Sicherheit des Gesamt­systems — auch wenn manche dies als „Security by Obscurity” ablehnen.

Warum ist das so?

Weil ich die Zeit ver­größere, die ein Angreifer für die Beschaffung von Infor­ma­tionen und die Über­windung der Schutz­maß­nahmen braucht. Ich erreiche damit keine 100% Sicherheit, aber das ist auch gar nicht not­wendig. Ich brauche die Hürden nur so hoch zu machen, dass ent­weder der Angreifer sich abwendet um sich ein leich­teres Ziel aus­zu­suchen oder die Über­windung der Hürden so lange dauert, dass die zu schüt­zenden Daten für den Angreifer wertlos geworden sind.

Wenn sichere IT-Security so „einfach” zu erreichen ist, warum macht das dann nicht jeder?

Es ist meist unklar welche und wie viele Schutz­maß­nahmen ich brauche, um die Hürde hoch genug zu legen.

Mehrere oder stärkere Schutz­maß­nahmen ver­schlechtern die Usa­bility bei Admi­nis­tra­toren und Anwendern. Ein drei­stel­liges Passwort ist leichter zu merken als ein 24-stel­­liges. Kein Admi­nis­trator möchte sich vier mal authen­ti­fi­zieren, bis er den Server admi­nis­trieren kann.

Mehrere Schutz­maß­nahmen müssen auch admi­nis­triert werden. Der Aufwand für Instal­lation und Betrieb kostet Zeit und ver­langsamt Produktionsprozesse.

Und ver­mutlich der wich­tigste Grund: Für die Beschaffung und den Betrieb dieser Schutz­maß­nahmen sind Inves­ti­tionen not­wendig. Wenn die Sicher­heits­maß­nahmen mehr Kosten ver­ur­sachen als der Wert der Daten, wäre das unwirtschaftlich.

Wenn wir über Maß­nahmen zur IT-Sicherheit reden, sprechen wir also immer über „wirt­schaftlich adäquate” Maß­nahmen. Dazu ist es wichtig den Wert seiner Daten bzw. seiner IT-Systeme zu kennen. Das ist aber keine neue Aufgabe und wird genauso wie bei der Gefährdung von Objekten oder Per­sonen durch das Schlagwort „Risi­ko­ma­nagment” beschrieben. Bevor sie also daran gehen ihre IT-Sicherheit zu ver­bessern, sollte zuerst eine Risi­ko­analyse ihrer IT erfolgen. Auf Basis dieser Risi­ko­analyse lassen sich dann auch wirt­schaftlich pas­sende Maß­nahmen bei der Beschaffung und dem Betrieb von Sicher­heits­maß­nahmen ableiten.

Das alles ist leichter gesagt als getan. Beim Risi­ko­ma­nagement gibt es Unter­stützung durch das BSI .Bei der Umsetzung der Maß­nahmen jedoch hat man die Qual der Wahl zwi­schen ver­schie­denen käuf­lichen bzw. frei ver­füg­baren Pro­dukten und der Mög­lichkeit durch Ände­rungen an der Kon­fi­gu­ration oder sogar der Orga­ni­sation der Pro­zesse Ver­bes­se­rungen zu bewirken. Die Aus­wir­kungen der Pro­dukte oder Ände­rungen lässt sich aber teil­weise nur schwer abschätzen. Ich kann also meine IT-Sicherheit am effek­tivsten ver­bessern, wenn ich meine Orga­ni­sation, Systeme und Abläufe und auch die Pro­dukte gut kenne. 

Wissen ist hier nicht unbe­dingt Macht aber ohne Wissen macht eine Ver­än­derung der IT-Sicherheit wenig Sinn.