10.07.2006, 11:41 Uhr
"Die Anwender kaufen viel zu homogen"
Viele IT-Sicherheitsrisiken sind hausgemacht, sagt der Security-Experte Eugene Spafford. Denn viele Unternehmen implementieren IT-Module, ohne zuvor Folgen und Risiken abzuklären - vor allem, wenn sie tiefere Kosten versprechen.
Eugene Spafford, in der Security-Insiderszene unter dem Spitznamen «Spaf» bekannt, ist einer der renommiertesten IT-Security-Experten der USA. Der 50-jährige Informatikprofessor leitet das Center for Education and Research in Information Assurance and Security (Cerias) der Purdue-Universität von Indiana in West Lafayette. Er sitzt in zahlreichen Organisationen und Komitees, die sich mit dem Thema Internet-Security befassen. Computerworld hat Spafford zu aktuellen Sicherheitsthemen befragt.
Computerworld: Was sind Ihrer Ansicht nach die drei grössten Sicherheitsbedrohungen für die IT international tätiger Unternehmen?
Eugene Spafford: Erstens, der Einsatz von Ressourcen, die entweder Kosten sparen oder Zusatzfunktionen bieten sollen, ohne gleichzeitig mögliche Folgen abzuwägen. Voip sowie Drahtlos-Techniken fallen unter diese Kategorie. Sie haben völlig andere Schwachstellen als diejenigen Systeme, die sie ablösen, und man weiss noch viel zu wenig darüber. Vermeintliche Kostenvorteile machen diese Techniken populär, und darüber geht die gebotene Vorsicht vergessen. Dabei geht es nicht um die Gefahr durch eine bestimmte Hackerattacke, sondern um systemimmanente Schwächen, die die gesamte Security beeinträchtigen.
Zweitens das Abschwächen oder gar Verschwinden von Netzwerkperimetern. Lange Zeit setzten etwa Firewalls und Demilitarized Zones solche Perimeter. Dann kamen Blackberries, PDA, Wireless, mobile Manager mit Internetzugang aus Hotelzimmern, VPN-Zugriff von daheim aus - damit sind die Perimeter hinfällig. Sicherheitsrelavante Policies und Techniken konnten damit nicht Schritt halten. Besonders gefährlich ist, dass sich viele Mitarbeiter dessen nicht bewusst sind.
Drittens kaufen Anwender viel zu homogen. Sie wählen alles - Hardware, Betriebssystem, Datenbank, Router - aus dem Sortiment eines einzigen Anbieters, selbst das Security-System soll von ihm sein. Ich will keine Namen nennen - jedenfalls beobachten wir dieses Phänomen überall. Das Problem dabei: Die gesamte Firma kann wegen einer Schwachstelle in einer Plattform ins Trudeln geraten - ganz schlecht aus Security-Perspektive. Der Grund? Homogenität scheint billig und bequem. Dass sie im Katastrophenfall teuer zu stehen kommt, daran denkt keiner.
Eugene Spafford: Erstens, der Einsatz von Ressourcen, die entweder Kosten sparen oder Zusatzfunktionen bieten sollen, ohne gleichzeitig mögliche Folgen abzuwägen. Voip sowie Drahtlos-Techniken fallen unter diese Kategorie. Sie haben völlig andere Schwachstellen als diejenigen Systeme, die sie ablösen, und man weiss noch viel zu wenig darüber. Vermeintliche Kostenvorteile machen diese Techniken populär, und darüber geht die gebotene Vorsicht vergessen. Dabei geht es nicht um die Gefahr durch eine bestimmte Hackerattacke, sondern um systemimmanente Schwächen, die die gesamte Security beeinträchtigen.
Zweitens das Abschwächen oder gar Verschwinden von Netzwerkperimetern. Lange Zeit setzten etwa Firewalls und Demilitarized Zones solche Perimeter. Dann kamen Blackberries, PDA, Wireless, mobile Manager mit Internetzugang aus Hotelzimmern, VPN-Zugriff von daheim aus - damit sind die Perimeter hinfällig. Sicherheitsrelavante Policies und Techniken konnten damit nicht Schritt halten. Besonders gefährlich ist, dass sich viele Mitarbeiter dessen nicht bewusst sind.
Drittens kaufen Anwender viel zu homogen. Sie wählen alles - Hardware, Betriebssystem, Datenbank, Router - aus dem Sortiment eines einzigen Anbieters, selbst das Security-System soll von ihm sein. Ich will keine Namen nennen - jedenfalls beobachten wir dieses Phänomen überall. Das Problem dabei: Die gesamte Firma kann wegen einer Schwachstelle in einer Plattform ins Trudeln geraten - ganz schlecht aus Security-Perspektive. Der Grund? Homogenität scheint billig und bequem. Dass sie im Katastrophenfall teuer zu stehen kommt, daran denkt keiner.
Computerworld: Wie können IT-Verantwortliche diese Gefahren abfangen?
Eugene Spafford: Sie müssen die Risiken und Kehrseiten, die jede neue Technik hat, begreifen. Digitale Telefonie etwa kann anfälliger für Naturkatastrophen wie Wasser- oder Brandschaden sein als konventionelle Anlagen. Darüber muss man sich im klaren sein, bevor man umsteigt - doch genau das passiert viel zu selten.
Hinsichtlich der Netzwerkperimeter gilt es, individuelle Hosts zu schützen oder klar abgegrenzte Inselstrukturen aufzubauen. Die Unternehmens-IT setzt sich dann aus mehreren Inselgruppen zusammen, die jede für sich zu schützen sind, und zwar bis hinunter zu einzelnen Maschinen. Das heisst aber auch, dass die Maschinen voreinander abzuschirmen sind. Wenn zum Beispiel ein Aussendienstmitarbeiter sein Notebook ans Unternehmenswerk hängt, kann man ihm nicht per se vertrauen, sondern muss dedizierte Kontrollmechanismen abspulen.
Schliesslich sollte man für jede kritische Infrastruktur Produkte verschiedener Hersteller einsetzen, auch wenn das bezüglich Anschaffung und Schulung der User etwas teurer kommt. Dies betrifft vor allem Server, Router und andere Appliances. Das garantiert, dass auch nach Angriffen ein Teil der IT weiter laufen kann, und dass nicht sämtliche Daten attackiert werden können. Nicht zuletzt ist es taktisch klug, sich nicht von einem einzigen Hersteller abhängig zu machen und sich auf seine Technik zu beschränken.
Eugene Spafford: Sie müssen die Risiken und Kehrseiten, die jede neue Technik hat, begreifen. Digitale Telefonie etwa kann anfälliger für Naturkatastrophen wie Wasser- oder Brandschaden sein als konventionelle Anlagen. Darüber muss man sich im klaren sein, bevor man umsteigt - doch genau das passiert viel zu selten.
Hinsichtlich der Netzwerkperimeter gilt es, individuelle Hosts zu schützen oder klar abgegrenzte Inselstrukturen aufzubauen. Die Unternehmens-IT setzt sich dann aus mehreren Inselgruppen zusammen, die jede für sich zu schützen sind, und zwar bis hinunter zu einzelnen Maschinen. Das heisst aber auch, dass die Maschinen voreinander abzuschirmen sind. Wenn zum Beispiel ein Aussendienstmitarbeiter sein Notebook ans Unternehmenswerk hängt, kann man ihm nicht per se vertrauen, sondern muss dedizierte Kontrollmechanismen abspulen.
Schliesslich sollte man für jede kritische Infrastruktur Produkte verschiedener Hersteller einsetzen, auch wenn das bezüglich Anschaffung und Schulung der User etwas teurer kommt. Dies betrifft vor allem Server, Router und andere Appliances. Das garantiert, dass auch nach Angriffen ein Teil der IT weiter laufen kann, und dass nicht sämtliche Daten attackiert werden können. Nicht zuletzt ist es taktisch klug, sich nicht von einem einzigen Hersteller abhängig zu machen und sich auf seine Technik zu beschränken.
Computerworld: Wie, glauben Sie, sieht der IT-Gau eines Konzerns aus?
Eugene Spafford: Schlimm wäre ein automatisierter Angriff, den niemand bemerkt, in einer homogenen IT-Infrastruktur. Die Daten könnten ganz allmählich, und damit unauffällig, korrumpiert werden. Der Rückgriff auf Back-ups wäre somit nutzlos. Geschäftskritische Daten oder geheime Finanzinformationen könnten sukzessive ausgelesen werden. Gewaltigen wirtschaftlichen Schaden könnten massive Denial-of-Service-Attacken auf die öffentliche Hand oder eine ganze Branche anrichten. Und alle diese Szenarien könnten parallel passieren... Manch ein Unternehmen würde das in den Ruin treiben.
Wie sich Unternehmen vor einem solchen Gau schützen sollten, welche Sicherheitsrisiken Spafford in nächster Zukufnt erwartet und wo er Schwachstellen in der Internet-Infrastruktur erkennt, lesen Sie in der kommenden Computerworld-Ausgabe vom 21. Juli.
Eugene Spafford: Schlimm wäre ein automatisierter Angriff, den niemand bemerkt, in einer homogenen IT-Infrastruktur. Die Daten könnten ganz allmählich, und damit unauffällig, korrumpiert werden. Der Rückgriff auf Back-ups wäre somit nutzlos. Geschäftskritische Daten oder geheime Finanzinformationen könnten sukzessive ausgelesen werden. Gewaltigen wirtschaftlichen Schaden könnten massive Denial-of-Service-Attacken auf die öffentliche Hand oder eine ganze Branche anrichten. Und alle diese Szenarien könnten parallel passieren... Manch ein Unternehmen würde das in den Ruin treiben.
Wie sich Unternehmen vor einem solchen Gau schützen sollten, welche Sicherheitsrisiken Spafford in nächster Zukufnt erwartet und wo er Schwachstellen in der Internet-Infrastruktur erkennt, lesen Sie in der kommenden Computerworld-Ausgabe vom 21. Juli.
Catharina Bujnoch
