Dr. Stefan Lüders erklärt, wie er mit 4 Mitarbeitern rund 18 000 Nutzer davon abhält, dem CERN Schaden zuzufügen: Indem er Verantwortung ablehnt.
* Simon Hülsbömer verantwortet in der Computerwoche redaktionell leitend vor allem die Themenbereiche IT-Management, IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Dieser Artikel erschien ursprünglich in unserer Schwesterpublikation Computerwoche.de. Dr. Stefan Lüders ist seit 2009 Computer Security Officer am CERN, der Europäischen Organisation für Kernforschung bei Meyrin im Schweizer Kanton Genf. Bevor Lüders 2002 zum CERN kam, promovierte er an der ETH Zürich. Zu seinen aktuellen Aufgaben gehört unter anderem auch die Leitung des Computer Incident Response Teams. Über einzelne Aspekte seiner Arbeit hat er bereits auf zahlreichen Veranstaltungen und in Publikationen berichtet. Lüders ist Mitglied im Schweizer Chapter des (ISC)-Konsortiums, dem international grössten Zusammenschluss von IT-Security-Verantwortlichen. Im CW-Interview erklärt er den IT-Kosmos des CERN und gewährt Einblick in die Methoden, mit denen das Thema IT-Security in zehntausende Forscherköpfe gelangt.
Computerwoche: Herr Lüders, was tun Sie und Ihr Team am CERN?
Stefan Lüders: Ich arbeite als Computer-Sicherheitschef am CERN. In meinem früheren Leben war ich zunächst als Physiker, dann als Kontrollsystem-Ingenieur mit Safety-Fokus am CERN tätig. Über den Schutz kritischer Infrastrukturen und die Sicherheit von Industrieanlagen bin ich dann auf den Stuhl des CSO gekommen. Das ist eine nicht unübliche CERN-Karriere.
Mein Team ist relativ klein, wir sind fünf CERN Angestellte sowie eine Handvoll Studenten - je nach Jahreszeit zwei bis fünf -, die an verschiedenen Projekten arbeiten. Wir decken alle Computer-Sicherheitsaspekte ab, die es am CERN gibt. Ich rede da nicht von Physical Security, von Wachmännern oder Eingangskontrollen, sondern von purer IT. Wir kümmern uns um vier grosse Bereiche - Office Computing Security, Computer Centre Security, GRID Computing Security und Control System Security.
Wie funktioniert das Thema Office Computing Security in solch einer grossen Organisation?
Das CERN hat in etwa 2250 Mitarbeiter, dazu 10.000 bis 15.000 Gastnutzer - das sind Menschen, die von Universitäten und Instituten ausserhalb abgestellt sind und am CERN arbeiten - Studenten, Doktoranden, Professoren, Physiker, Ingenieure, Techniker aus Hamburg, München, Bonn, Frankreich, China, Iran, Japan, USA. Diese werden zwar von ihren jeweiligen Instituten bezahlt, leben und arbeiten für eine begrenzte Zeit aber bei uns.
Wir haben hier also ein ständiges Kommen und Gehen. Unser Office-Bereich samt Security hat sich darauf eingestellt - das Netzwerk umfasst 40 000 bis 45 000 Geräte, die meisten davon nicht unter Kontrolle der IT-Abteilung - nur wenige Windows- und Linux-Systeme werden zentral verwaltet. Der wesentliche Teil - Notebooks, Smartphones, Tablets - werden durch die Nutzer selbst eingerichtet. Ist ja auch klar, wer hauptberuflich für die Uni Hamburg arbeitet und dann eine Woche zum CERN kommt, will nicht ein neues Gerät in Betrieb müssen. Wir leben hier deshalb schon seit 20 Jahren das Mantra «Bring your own device».
Computer Centre Security - CERN-Fremde würden einfach ?RZ-Sicherheit? dazu sagen - ist ein weiteres wichtiges Betätigungsfeld von Ihnen. Wie sieht Ihre Infrastruktur hier aus?
Wir betreiben acht Rechenzentren mit jeweils 3000 bis 12 000 Servern, die die IT-Infrastruktur bereitstellen, um unter anderem Teilchenbeschleuniger und Experimente laufen lassen und alle Mitarbeiter mit ausreichend technischen Ressourcen versorgen zu können. Verwaltet wird das Ganze durch unser IT Department, das Web-Services und Datenbanken bereitstellt, die beispielsweise von HR, Finance und für die wissenschaftlichen Experimente genutzt werden können. Dazu haben wir Fileserver für den Dokumentenaustausch, Archivierungs- und Backup-Systeme sowie Services für Webcasts, Videostreaming und Conferencing in Betrieb. Wir betreiben also die gesamte Infrastruktur selbst - niemand muss in die Cloud gehen, sondern kann alles über die CERN-Server erledigen.
Stichwort Cloud - Sie nannten das ?GRID? des CERN als dritten wichtigen Arbeitsbereich?
Ja, ich meine das GRID Computing, ein verteiltes Netzwerk von Rechenzentren weltweit. Die Datenraten unserer Teilchenbeschleuniger sind immens - es entstehen jährlich zwischen 20 und 30 Petabyte an Daten, die der Physikergemeinschaft zu Analysezwecken bereitgestellt werden müssen. Diese Bereitstellung realisieren wir über das so genannte Worldwide LHC Computing Grid (WLCG). Am CERN halten wir derzeit rund 130 Petabyte Daten auf Festplatten und Bändern vor und replizieren diese in das Grid hinein, das aus 13 Tier-1 Rechenzentren weltweit besteht, deren Server dann wiederum die Daten in rund 160 weitere Tier-2 Rechenzentren weitergeben. Wie das World Wide Web für viele Menschen ein Informationsmedium darstellt, ist das Grid für uns am CERN ein Computing-Medium - die Funktionsweise ist die gleiche.
Benötigt ein Anwender Forschungsergebnisse oder auch eine bestimmte Rechenoperation, loggt er sich am Grid ein, gibt seine Anfrage ein oder bekommt dann von irgendeinem Rechenzentrum eine Antwort zurück. Das CERN stellt einen Anteil der Computing- und Storage-Kapazitäten des Grids bereit. Diese enormen Ressourcen sind natürlich auch für die «dunkle Seite der Macht» interessant, wenn es beispielsweise um Bitcoin-Mining oder ähnliche illegale Dinge geht, für die starke Rechenleistung benötigt wird.
Ihr vierter Arbeitsschwerpunkt ist die Sicherheit der Kontrollsysteme. Was für Systeme setzen Sie da ein?
Unsere Beschleuniger und Experimente werden ähnlich geplant wie eine klassische Fahrzeugproduktionslinie oder eine Raffinerie. Es geht hier teils um Kontrollsysteme, die wir selbst entwickelt haben, teils Kontrollsysteme, die Sie am Markt bei Siemens, Schneider Electric, ABB und anderen bekommen. Die Sicherheit dieser Systeme muss gewährleistet sein, damit nicht irgendjemand anders als das CERN die Teilchenbeschleuniger betreibt. Lesen Sie auf der nächsten Seite: «Bin nicht der Sicherheitsverantwortliche»
Mit nur vier Angestellten und einer Handvoll Studenten können Sie aber unmöglich die Sicherheit aller genannten Bereiche gewährleisten. Wie sieht Ihre IT-Security-Strategie aus?
Ich bin der Sicherheitschef, nicht der Sicherheitsverantwortliche - weder für das CERN noch für das Grid. Ich habe diese Verantwortung abgelehnt, weil ich den grössten Teil der Infrastruktur - seien es Jobs und Routinen innerhalb des Grid oder die Clients im Office-Bereich - nicht kontrollieren kann. Deshalb ist es in meinen Augen anmassend, zu glauben, die Verantwortung dafür übernehmen zu können. Mir ist natürlich bewusst, dass andere Menschen trotzdem häufig Verantwortung für Dinge übernehmen, über die sie keinerlei Kontrolle besitzen.
CW: Und wie funktioniert das System dann?
Wir haben die Verantwortung für die Sicherheit an alle unsere Mitarbeiter und Gastnutzer delegiert. In erster Instanz bedeutet das: Wenn Sie ans CERN kommen und Ihr Notebook mitbringen, wird Ihnen von Anfang an über verschiedene Methoden beigebracht, dass Sie für die Sicherheit Ihres Computers verantwortlich sind. Sie haben zwei Möglichkeiten: Entweder Sie sehen zu, dass Ihr Rechner regelmässig gepatcht wird, dass Antivirus-Software läuft, dass Sie ein sicheres Passwort nutzen und so weiter. Oder Sie ignorieren das alles und riskieren eine Kompromittierung des Computers, nach der Sie Ihr gesamtes System neu aufsetzen müssen. Spätestens dann stellen Sie fest, dass das aktive Kümmern um Security kostengünstiger ist als das reaktive.
Eine Sonderstellung nimmt das Grid ein, bei dem die Frage nach den Sicherheits-Verantwortlichkeiten im Gegensatz zur Office-Welt anders geregelt ist: Jedes Rechenzentrum am «Grid» ist de jure selbst für die Security seines Zuständigkeitsbereichs innerhalb des Grid verantwortlich. Ein Mitarbeiter von mir hält die Rolle des «WLCG» Sicherheitschefs und koordiniert alle Aktivitäten. Viel Wert legen wir deshalb auf das Monitoring und die Nachverfolgbarkeit im Nachhinein, wenn etwas passiert ist. Wir schauen uns ständig an, was für Computing-Jobs laufen und wie sie laufen. Erlangen wir Kenntnis über eine missbräuchliche Nutzung des Grid, ist es wichtig, dass wir umgehend eingreifen und feststellen können, wer hat den betroffenen Job von wo und wann laufen lassen.
Geben Sie denn zumindest Hilfestellung bei der Absicherung der Systeme und Netze?
Ich gebe Ihnen ein Beispiel. Jemand kommt ans CERN und setzt einen eigenen Web-Server samt Website auf, weil er das für ein Experiment benötigt. Verantwortlich für diese Website ist er selbst. Wie er Server und Site absichert, kann er von uns in Schulungen erfahren. Wir schauen uns aufgesetzte Server dann hinterher an - schätzen wir ihn als zu unsicher ein, bekommen er von uns keine Freigabe für die Sichtbarkeit im Internet.
Die andere Möglichkeit ist, unsere IT-Services in Anspruch zu nehmen. Unser IT Department stellen verschiedene Content-Management-Systeme wie SharePoint oder Drupal zur Verfügung, auf denen ebenfalls Seiten betrieben werden können. Aber auch für die Sicherheit dieser Seiten ist der Einzelne selbst verantwortlich - beispielsweise wenn eine Datenbank angeschlossen werden soll. Wir als Security-Team sorgen genau wie das IT-Department indes dafür, den Nutzern die entsprechenden abgesicherten technischen Ressourcen bereitzustellen - wie sichere Web-, File- oder Datenbank-Services.
Wie sieht das Security-Training konkret aus?
Wir geben interessierten Mitarbeitern unter anderem Training im sicheren Programmieren oder im sicheren Einrichten eines Servers. Oder wir machen spezielle Training-Events. Für unsere «WhiteHat Challenge» beispielsweise haben sich 60 Leute beworben, die lernen möchten, wie man Penetrationstests macht. Innerhalb weniger Tage bilden wir sie dafür nun in mehreren Kursen aus, damit sie am CERN als Penetrationstester arbeiten können. Ziel des Ganzen ist natürlich, dass sie die Verwundbarkeiten ihrer Systeme später selbst aufspüren und beseitigen können.
Welche Erfahrungen haben Sie mit dem Modell der Eigenverantwortung gemacht?
Ich gebe Ihnen auch hier wieder ein Beispiel. Im Jahr 2008 hatten wir mehrere gross angelegte Phishing-Attacken gegen unsere Mitarbeiter und Gastnutzer. Eine dieser Kampagnen beispielsweise richtete sich gleich gegen 1500 unserer Mitarbeiter, von denen immerhin 40 auf die Mail hereingefallen sind. Wir haben dann versucht, herauszufinden, wer diese 40 waren. Klassifizieren konnten wir sie nicht - es waren nicht nur ältere, nur jüngere oder nur weniger intelligente Mitarbeiter, wie immer sie letzteres auch messen wollen. Es waren nicht nur die Männer, die Frauen, die Physiker oder die Techniker. Nein, diejenigen, die auf die Phishing-Mails reagierten, taten dies ohne böse Absicht einfach aus einer bestimmten Situation heraus. Sie waren gerade beschäftigt, bekamen eine Mail vom Absender «Webmail IT-Service», in der sie nach Ihrem Passwort gefragt wurden, kamen der Aufforderung nach und hatten die Mail damit abgearbeitet. Erst im Nachhinein wurde ihnen klar, dass sie hereingelegt worden waren.
Diese Phishing-Attacke aus dem Jahr 2008 war die Initialzündung für uns, Sicherheits-Kampagnen und Trainings anzubieten - mit dem Ergebnis, dass wir heute aus einem Pool von rund 22 000 E-Mail-Konten am CERN pro Monat nur noch zwei bis drei Accounts in dem Sinne verlieren, dass dessen Accounts missbraucht worden sind. Grösstenteils durch Phishing-Angriffe oder auch durch kompromittierte Universitäts-Rechner, an denen sich Studenten remote am CERN einloggen und dadurch ihr Passwort unbewusst preisgeben. In beiden Fällen handelt es sich aber erwiesenermassen fast ausschliesslich um neue Mitarbeiter, die noch an keinem unserer Trainings teilgenommen haben.
Lesen Sie auf der nächsten Seite: gelbe und rote Karten
Was geschieht mit Mitarbeitern, die Sicherheitsvorfälle herbeiführen? Wie sieht Ihr Strafenkatalog aus?
Wir sind zwar ausgenommen von der Schweizer und der französischen Gerichtsbarkeit, was aber natürlich nicht heisst, dass hier alle machen können, was sie wollen. Es gibt einen Satz an Computing-Regeln am CERN, die zu befolgen sind. Je nachdem, wie stark jemand gegen diese Regeln verstösst, greifen dann verschiedene Eskalationsstufen. In einem einfachen Fall schreiben wir eine nette E-Mail mit einer Verwarnung, in der wir darauf hinweisen, dass so etwas bitte nicht noch einmal vorkommen möge. Das ist unsere gelbe Karte. Die nächste Stufe, die rote Karte, ist die Benachrichtigung des Vorgesetzten und der Personalabteilung. Im fortgesetzten Wiederholungsfall führt das dann natürlich - genauso wie in besonders krassen Angelegenheiten schon beim ersten Mal - dazu, dass Personen ihre Sachen packen müssen und vom CERN verwiesen werden. Alles schon dagewesen.
In der Regel können wir uns aber auf die einfachen gelben Karten konzentrieren. Wenn Ihr Notebook infiziert ist und Sie sich am CERN einklinken wollen, erkennt unser Intrusion-Detection-System das Problem automatisch - meistens zumindest -, trägt den Schädling in unsere Security-Datenbank ein und sendet Ihnen automatisch eine E-Mail-Benachrichtigung. Dort steht drin, dass das nicht das Problem des Computer Security Teams, sondern das des Anwenders selbst ist - ausserdem gibt es einen Link zu einer durch die Datenbank automatisch generierten Website, auf der eine Anleitung zur Fehlerbehebung samt Download-Möglichkeiten für Security-Tools, zu finden ist.
Wenn ein Nutzer solch ein Problem wiederholt hat, kommen wir in den roten Bereich. Sein System wird automatisch vom Netzwerk genommen und erst nach einer kompletten Neuinstallation wieder zugelassen.
Inwiefern ist dieses Modell in die freie Wirtschaft übertragbar?
Ich habe nie selbst für ein Unternehmen in der freien Wirtschaft gearbeitet. Ich habe aber mit vielen Kollegen von dort zu tun. Unser Modell ist nicht viel anders als das, was wir in der Industrie finden. Der einzige Unterschied zu unserem Modell war lange Zeit, dass es in den Unternehmen eine IT-Abteilung gab, die Kontrolle über die Geräte der Mitarbeiter hatte. Solange das der Fall war, konnte auch das Thema Security zentral verwaltet und organisiert werden, mit allen Konsequenzen.
Mittlerweile hat sich dies durch die «Bring your own Device»-Thematik aber auch in der freien Wirtschaft fast komplett erledigt. Heute stehen die Unternehmen dort, wo wir am CERN schon immer waren. Deshalb ist unser Modell auf jeden Fall in die freie Wirtschaft übertragbar.
Entscheidend ist doch, dass wir den Menschen beibringen, was Computer-Sicherheit bedeutet. Grundlagenwissen vermitteln, idealerweise von klein auf. Auch am CERN arbeiten normale Menschen, die in der Regel kaum eine grössere Affinität zum Thema Security besitzen als der Durchschnittsbürger.
Wir erklären unseren Mitarbeitern ja nicht, wie Computer-Sicherheit am CERN funktioniert - wie erklären ihnen, wie sie sich zuhause gegen alle möglichen Gefahren schützen. Was ist Phishing? Warum ist regelmässiges Patching wichtig? Was passiert mit den Daten, die ich bei Facebook einstelle? Wie kommen Daten abhanden? Was bedeutet ein solcher Datenverlust? Haben die Menschen das erst einmal verstanden, ist es nur noch ein einziger Satz, den Sie ihnen mitgeben müssen: «Jetzt macht Ihr genau das Gleiche für die Computer-Sicherheit nicht nur zuhause, sondern auch am CERN.» Damit haben wir den ersten Impuls für ein aktives IT-Security-Bewusstsein gegeben und schon ganz viel gewonnen.
Die Mitarbeiter, die darüber hinaus aktiv eigene Web-Services oder Datenbanken am CERN betreiben möchten, erhalten dann von uns weitergehende Schulungen, die tiefer in bestimmte Aspekte einsteigen. Diese Kandidaten melden sich dann meist aber schon von selbst bei uns, nachdem wir sie mit den genannten Grundlagen versorgt haben.
Das gesamte Vorgehen gleicht selbstredend einem Marathon, bedenkt man die hohe Fluktuation an Mitarbeitern. Ich möchte nicht behaupten, dass wir alle gleichermassen mit unseren Trainings erreichen können. Aber wir müssen immer am Ball bleiben.
