Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Wie baue ich eine sichere IT?
Sichere Systeme
Jedes IT-System besitzt Schwachstellen. Warum muss das so sein? Solange es IT-Systeme gibt, gibt es auch Angreifer, die vorhandene Schutzsysteme überwinden und in fremde Systeme eindringen, IT-Systeme missbrauchen, Daten entwenden oder zerstören. Gibt es keine Möglichkeit ein IT-System so zu bauen, dass es „wirklich” sicher ist?
Das führt zu der Frage: „Was ist ein sicheres IT-System? Wie definiere ich sicher?” Ein Informatiker wird bei diesen Fragen vermutlich mit dem „turingschem Halteproblem” argumentieren. Demnach ist es schon von der Theorie her nicht möglich Software sicher zu programmieren. Wie kann ich dann aber die größtmögliche Sicherheit für meine Daten erreichen?
Kann ich meine Sicherheit dadurch erhöhen, indem ich kompliziertere oder mehrere Sicherheitssysteme verwende?
Die Antwort darauf ist… ja! Wenn ich die Anzahl von Zeichen eines Passworts vergrößere, verbessere ich (messbar!) die Sicherheit des Passworts. Wenn ich meine Datenbank hinter mehrere Stufen von Firewalls installiere verbessere ich den Zugriffsschutz auf die Daten. Wenn ich Informationen über meine IT-Landschaft nicht jedem zugänglich mache, verbessere ich die Sicherheit des Gesamtsystems — auch wenn manche dies als „Security by Obscurity” ablehnen.
Warum ist das so?
Weil ich die Zeit vergrößere, die ein Angreifer für die Beschaffung von Informationen und die Überwindung der Schutzmaßnahmen braucht. Ich erreiche damit keine 100% Sicherheit, aber das ist auch gar nicht notwendig. Ich brauche die Hürden nur so hoch zu machen, dass entweder der Angreifer sich abwendet um sich ein leichteres Ziel auszusuchen oder die Überwindung der Hürden so lange dauert, dass die zu schützenden Daten für den Angreifer wertlos geworden sind.
Wenn sichere IT-Security so „einfach” zu erreichen ist, warum macht das dann nicht jeder?
Es ist meist unklar welche und wie viele Schutzmaßnahmen ich brauche, um die Hürde hoch genug zu legen.
Mehrere oder stärkere Schutzmaßnahmen verschlechtern die Usability bei Administratoren und Anwendern. Ein dreistelliges Passwort ist leichter zu merken als ein 24-stelliges. Kein Administrator möchte sich vier mal authentifizieren, bis er den Server administrieren kann.
Mehrere Schutzmaßnahmen müssen auch administriert werden. Der Aufwand für Installation und Betrieb kostet Zeit und verlangsamt Produktionsprozesse.
Und vermutlich der wichtigste Grund: Für die Beschaffung und den Betrieb dieser Schutzmaßnahmen sind Investitionen notwendig. Wenn die Sicherheitsmaßnahmen mehr Kosten verursachen als der Wert der Daten, wäre das unwirtschaftlich.
Wenn wir über Maßnahmen zur IT-Sicherheit reden, sprechen wir also immer über „wirtschaftlich adäquate” Maßnahmen. Dazu ist es wichtig den Wert seiner Daten bzw. seiner IT-Systeme zu kennen. Das ist aber keine neue Aufgabe und wird genauso wie bei der Gefährdung von Objekten oder Personen durch das Schlagwort „Risikomanagment” beschrieben. Bevor sie also daran gehen ihre IT-Sicherheit zu verbessern, sollte zuerst eine Risikoanalyse ihrer IT erfolgen. Auf Basis dieser Risikoanalyse lassen sich dann auch wirtschaftlich passende Maßnahmen bei der Beschaffung und dem Betrieb von Sicherheitsmaßnahmen ableiten.
Das alles ist leichter gesagt als getan. Beim Risikomanagement gibt es Unterstützung durch das BSI .Bei der Umsetzung der Maßnahmen jedoch hat man die Qual der Wahl zwischen verschiedenen käuflichen bzw. frei verfügbaren Produkten und der Möglichkeit durch Änderungen an der Konfiguration oder sogar der Organisation der Prozesse Verbesserungen zu bewirken. Die Auswirkungen der Produkte oder Änderungen lässt sich aber teilweise nur schwer abschätzen. Ich kann also meine IT-Sicherheit am effektivsten verbessern, wenn ich meine Organisation, Systeme und Abläufe und auch die Produkte gut kenne.
Wissen ist hier nicht unbedingt Macht aber ohne Wissen macht eine Veränderung der IT-Sicherheit wenig Sinn.

Dipl. Inf. (Univ); OSSTMM Professional Security Tester (OPST zertifiziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Internetdienste und IT-Security tätig. Hier beschäftigt er sich hauptsächlich mit Sicherheitsuntersuchungen und IT-Forensik.

Neueste Kommentare