Die Herausforderung «Sicherheit» ist in den vergangenen Jahren kontinuierlich gewachsen. Eine wachsende Zahl von Sicherheitsbedrohungen und eine zunehmende Professionalisierung der Angriffe sorgen ebenso dafür wie steigende Anforderungen an das Risikomanagement und die Compliance und die Forderung nach einer Öffnung von Geschäftsprozessen auch für Kunden und Lieferanten.
Entsprechend muss man auch mit neuen und erweiterten Konzepten für das Management von Sicherheit reagieren. Der Fokus geht heute weit über die Firewall hinaus. Es reicht nicht mehr aus, einen guten Schutz am Perimeter – also der Verbindung zwischen Unternehmen und Aussenwelt – zu realisieren. Genaugenommen hat das natürlich noch nie gereicht. Denn dass die meisten und schwerwiegendsten Fälle der Computerkriminalität durch interne Mitarbeiter verursacht wurden, ist hinlänglich bekannt. Und erst unlängst hat sich das bei der Société Générale wieder gezeigt.
Die Sicherheitsbedrohungen sind ausgesprochen vielfältig. Dazu zählen natürlich die externen Angriffe wie Viren und Trojaner, die es in immer neuen Varianten gibt. Das Phishing, also der Versuch, an Identitätsdaten zu gelangen und diese zu missbrauchen, ist ebenfalls ein inzwischen allgegenwärtiges Problem, auch wenn die Zielgruppe hier mehr Privatanwender als Unternehmen sind.
Aber auch Angriffe, die sich zunächst gegen Privatanwender richten, wirken sich auf die Unternehmenssicherheit aus. Einerseits gilt das für das gesamte Feld des E-Commerce und hier insbesondere des E-Banking, auf das solche Zugriffe abzielen. Andererseits gab es aber auch genug Fälle, in denen Mitarbeiter mit ihren Notebooks oder von ihren Rechnern im Home-Office «Würmer» ins Unternehmen geschleust und damit für schwerwiegende Sicherheitsprobleme gesorgt haben.
Innerhalb von Unternehmen spielen dagegen vor allem nicht korrekt verwaltete Identitäten und Fehler im Zugriffsmanagement die entscheidende Rolle. Hier gibt es erhebliche Risiken.
Zwei der Ursachen dafür, dass sich das Thema immer noch als so komplex zeigt, wurden bereits angesprochen. Eines ist die Vielzahl und Vielfalt von Bedrohungen. Es geht eben nicht nur um den Schutz vor einem genau abgegrenzten Risiko, sondern um eine ganze Fülle teils sehr unterschiedlicher Bedrohungen.
Die zweite Ursache liegt darin, dass das Bewusstsein bei Entwicklern insgesamt immer noch nicht ausgeprägt genug ist. Erst in den letzten Jahren gab es bei einzelnen Herstellern und neuerdings auch als übergreifende Initiativen erhebliche Anstrengungen, das zu verändern. Dennoch ist der weit überwiegende Teil der heute erhältlichen Standard-Software unter Sicherheitsaspekten kritisch zu bewerten. Das beginnt damit, dass es bei allzu vielen Anwendungen immer noch ausschliesslich ein eigenes, zudem meist rudimentäres Benutzermanagement gibt, das sich nicht oder nur aufwendig und eingeschränkt in unternehmensweite Konzepte für das Sicherheitsmanagement integrieren lässt.
Damit stellt sich die Frage, wie man das Thema angehen soll. Dabei gibt es, wie immer, die organisatorische und die technische Ebene. Ein effizientes, durchgängiges Sicherheitsmanagement benötigt beides. Man benötigt einen durchgängigen methodischen Ansatz und entsprechende Organisationsstrukturen. Und man braucht die entsprechenden Werkzeuge, um die Anforderungen optimal bedienen zu können.
Ein wichtiges Element dabei ist das Risikomanagement, weil es an der Schnittstelle zwischen der Organisation und der Technik anzusiedeln ist. Es gibt einerseits die organisatorische Ebene des Risikomanagements mit der Definition, Bewertung und Adressierung von Risiken und andererseits die technische Ebene, bei der es um eine kontinuierliche, möglichst automatische Messung geht. Wichtig sind aber insbesondere auch Risiken, die durch die Technologie entstehen, obwohl das Risikomanagement ebenfalls eine Ebene oberhalb dieser technischen IT-Risiken hat. Zudem spielt aus technologischer Sicht auch die automatische Reaktion auf Risiken eine wichtige Rolle.
Sicherheitsmanagement ist vielschichtig. Bei der Strukturierung gibt es drei wichtige Ansätze, die sich ergänzen. Der eine ist die technische Strukturierung der Ebenen, die man betrachtet. Das beginnt bei der Netzwerkinfrastruktur mit den Transportprotokollen und den darüber übertragenen Informationen und geht über die Betriebssysteme und die steuernden und verwaltenden Infrastrukturkomponenten (und hier insbesondere das Identity and Access Management) bis hin zu den Anwendungen selbst. Auf allen Ebenen ist ein Sicherheitsmanagement erforderlich.
Eine zweite Sichtweise ist, trotz der immer unschärfer werdenden Grenzen zwischen den Bereichen, die Unterscheidung nach den beteiligten Personen. Das geht über die Trennung zwischen der Innen- und der Aussenwelt an einer Firewall hinaus. Vielmehr geht es um das spezifische Sicherheitsmanagement für unterschiedliche Gruppen von internen Mitarbeitern, für Kunden, Lieferanten und andere unterscheidbare Gruppen.
Schliesslich gibt es auch eine Mehrschichtigkeit, die vom Business bis hinunter zu den einzelnen IT-Systemen geht. Diese spielt insbesondere für die Steuerung von Zugriffsberechtigungen eine wichtige Rolle – und damit auch für die Attestierung und das Management der Segregation of Duties. Es ist beispielsweise immer wieder zu beobachten, dass die Segregation of Duties an Business-Rollen festgemacht wird. Häufig ist es aber so, dass es zwischen zwei sich widersprechenden Business-Rollen nur ein Minimum an Konflikten gibt. Bezogen beispielsweise auf SAP-Systeme kann es durchaus sein, dass sich gerade einmal zwei Transaktionen von Dutzenden oder Hunderten, die den Business-Rollen zugeordnet sind, widersprechen. Auf der Systemebene ergibt sich also ein völlig anderes Bild.
Analog zeigt sich die Mehrstufigkeit auch bei Zugriffsberechtigungen. Wenn man die heutigen Provisioning-Lösungen betrachtet, dann fällt auf, dass dort eine Zuordnung von Identitäten zu Benutzerkonten in verschiedenen Systemen erfolgt und typischerweise auch eine Zuordnung zu Gruppen, Profilen oder Systemrollen. Was genau diese Gruppen, Profile oder Systemrollen dürfen, wird aber nicht gesteuert. Wenn nun ein Administrator beispielsweise eines Active Directory oder eines SAP-Systems Änderungen an den zugeordneten Berechtigungen oder Transaktionen vornimmt, fällt das weiter oben nicht unbedingt auf. So entstehen Lücken im Sicherheitsmodell.
Entsprechend reicht auch eine Attestierung auf einer Ebene nicht aus. Es muss bestätigt werden, dass die tatsächlichen Berechtigungen von Gruppen, Profilen oder Systemrollen denen entsprechen, die auf höherer Ebene erwartet werden, dass die Zuordnung von Identitäten zu Accounts und den Gruppen, Profilen oder Systemrollen korrekt ist und dass jemand überhaupt noch die entsprechenden Tätigkeiten wahrnimmt, die eine solche Zuordnung erfordern. Diese Bestätigungen können nicht von einer Person kommen. Vielmehr müssen Systemadministratoren, Identity-Management-Verantwortliche und das Management mit einbezogen werden.
Das Sicherheitsmanagement muss entsprechend so ausgelegt sein, dass es diese Vielschichtigkeit berücksichtigt. Technische Lösungen müssen in übergeordnete Prozesse eingebunden werden, die sicherstellen, dass man die Herausforderung des Sicherheitsmanagements vollständig abdeckt. Viele Aspekte müssen dabei heute noch manuell gelöst werden, weil es keine Werkzeuge gibt, mit denen man diese Vielschichtigkeit adressieren könnte. So gibt es heute Ansätze für die Attestierung auf unterschiedlichen Ebenen, aber kaum einmal in einem durchgängigen Modell.
Im Gegenteil: Heute werden meist Punktlösungen verkauft, um das umfassende Problem des Sicherheitsmanagements zu adressieren. Das reicht aber offensichtlich nicht aus. Wer Provisioning betreibt, hat ein Teilproblem gelöst. Eine Firewall ist ebenso nur eine Punktlösung wie der Virenscanner oder die Network Access Protection.
Besonders deutlich wird das beim Blick auf das Auditing und die Verarbeitung der Audit-Informationen. Es gibt derzeit noch nicht einmal Standards für den Zugriff auf Einträge in Audit-Logs. Entsprechend variiert auch das Spektrum solcher Logs, von sehr detaillierten Darstellungen auf technischer Ebene bis hin zu bewerteten Fehlern mit einem Schweregrad.
Es gibt zwar einige Ansätze von Anwendungen, um Logs automatisch auszuwerten und auf Fehlersituationen zu reagieren, wie beispielsweise Novell Sentinel oder den Microsoft Operations Manager. Sie adressieren aber immer nur einen Teil des Problems. Während Novell Sentinel seine Wurzeln bei der Realtime-Analyse von Ereignissen bei Firewalls und anderen Netzwerk-Sicherheitskomponenten hat, zielt der Operations Manager eher auf die Verfügbarkeit von Systemen ab. Die zunehmend populären Lösungen für die Fraud Detection betrachten wiederum ein spezielles Missbrauchsproblem im Zusammenhang mit ausgewählten geschäftlichen Transaktionen.
Virenscanner, lokale Firewalls und all die anderen Werkzeuge für die Analyse und den Schutz vor Bedrohungen aus dem Netzwerk und hier insbesondere aus dem Internet betrachten wieder ein anderes Problem. Sie sind ebenso unverzichtbar wie Werkzeuge für die Network Access Protection/Control.
Auch das Identity Management ist ein unverzichtbarer Baustein im Sicherheitsmanagement. Doch auch hier gilt, dass es eben alleine nicht ausreicht. Zudem ist auch das Identity Management mit seinem Spektrum von der Authentifizierung über die Autorisierung bis hin zu Auditing-Verfahren wieder ausgesprochen vielschichtig. Managed Security Services, die immer populärer werden, sind ebenfalls nur Teillösungen.
Das bedeutet keineswegs, dass diese Lösungen überflüssig wären. Jeder Ansatz im Sicherheitsmanagement hat seinen Wert. Aber keiner der heutigen Ansätze am Markt löst für sich alleine die Herausforderung, mit der man sich beim Sicherheitsmanagement konfrontiert sieht.
Sicherheitsmanagement ist vielschichtig
Daher muss man diese technischen Lösungen in einen organisatorischen Rahmen einbinden, den in diesem Fall am besten das Risikomanagement bildet. Ausgehend von den definierten Risiken lassen sich Gegenmassnahmen erörtern, für die man häufig auch technische Werkzeuge benötigt. Hier kommen nun die ganzen Tools ins Spiel.
Solange es keine durchgängigen Ansätze gibt, um beispielsweise ein konsistentes Auditing durchzuführen oder übergeordnete Anforderungen von Governance und Compliance in Richtlinien umzusetzen und diese auf verschiedene Systeme automatisch anzuwenden, wird man Lücken mit organisatorischen Regeln füllen müssen.
Über die Zeit sind aber mehr und mehr Werkzeuge zu erwarten, die einen dabei unterstützen, wie durchgängige Risikomanagementlösungen, Auditing-Systeme, die Daten aus unterschiedlichsten Anwendungen einsammeln können oder Access-Control-Datenbanken, die die tatsächlichen Zugriffsberechtigungen aus unterschiedlichen Systemen einsammeln.
Einige dieser Ansätze sind beispielsweise bei den Produkten von Herstellern wie Aveksa, Sailpoint, Bhold und in Teilen auch bei SAP GRC Access Control oder dem unlängst von Sun akquirierten Hersteller Vaau sichtbar. Hier kann man zumindest den Trend hin zu durchgängigen Lösungen erkennen, wie beispielsweise einem Identity Risk Management. Auch das löst noch nicht alle Herausforderungen, versucht aber zumindest den Rahmen zu schaffen, um wichtige Teilbereiche in konsistenter Form abdecken zu können.
Gleichzeitig muss man auch Wildwuchs vermeiden. Dazu sind beispielsweise Anwendungssicherheitsinfrastrukturen ein geeignetes Mittel, die den Anwendungen eine definierte Schicht von Sicherheitsdiensten liefern, die genutzt werden können (und müssen). Damit kann man eine verlässliche Basis an Sicherheitsfunktionen implementieren.
Da das Sicherheitsmanagement eine übergreifende Aufgabe ist, muss man auch die organisatorischen Voraussetzungen schaffen. Die Aufgabe des Sicherheitsmanagements muss eine starke Position haben. Die Idee des immer häufiger auftretenden CISO (Chief Information Security Officer) ist ein Ansatz. Man kann sich die Aufgabe aber auch in einer Matrix-Organisation zwischen CIO und CFO oder COO vorstellen, um die allgemeinen Herausforderungen des Risikomanagements und die IT-spezifischen Anforderungen in Übereinstimmung zu bringen.
Klar ist: Ohne ein durchgängiges Sicherheitsmanagement führen die Herausforderungen, die sich den Unternehmen heute stellen, zu nicht kalkulierbaren und damit aus unternehmerischer Sicht nicht verantwortbaren Unsicherheiten. Sicherheitsmanagement muss daher mit den geeigneten organisatorischen, methodischen und technischen Konzepten adressiert werden – und nicht nur mit einzelnen technischen Ansätzen, die meist nicht mehr als der Tropfen auf den heissen Stein sind.
