Ist Sicherheit im Internet heute überhaupt möglich, wenn sogar Grössen wie Facebook, Apple oder die «New York Times» gehackt werden? Leider lässt sich diese Frage nicht abschliessend beantworten. Für Pascal Mittner, Gründer und CEO von First Security, ist Sicherheit «ein relatives, kein absolutes Konzept». Aber: «Man kann viel tun, um am Ende nicht dumm da zu stehen. Das Schlimmste ist, den Kopf in den Sand zu
stecken.» Dabei sind technische Fortschritte nur ein Teilaspekt. Denn ändern muss sich vor allem die Mentalität. Sicherheit wird vielerorts bestenfalls noch als Thema für den jährlichen Audit betrachtet. Doch Sicherheit muss zum Dauerbrenner werden, meint Mittner.
Zu diesem Zweck hat First Security eine Suite fürs Vulnerability Management entwickelt. «Früher machten wir vor allem Security Audits und Penetration Tests, gewissermassen als jährliches Event», so Mittner. Beim Vergleich jährlich wiederkehrender Auswertungen kam allerdings heraus, dass das Sicherheitsniveau zwei Monate nach dem Audit sein Höchstmass erreichte. Danach sank es wieder – bis zum nächsten Audit. Diesem Jojo-Effekt will First Security nun durch dauernde automatisierte Kontrollen entgegenwirken.
Völlig neu ist dieser Ansatz nicht. Gerade grosse Banken agieren schon seit Jahren so. Dafür ist jetzt an anderer Stelle Bewegung ins Feld gekommen. Betrachtet man das Unternehmensnetzwerk von aussen, wird der Umzug in die Cloud zum Treiber. Treuhändern und Rechtsanwälten sowie anderen KMU und sogar Privatpersonen eröffnen sich neue Sicherheitstechnologien. An zweiter Stelle rückt die Innenansicht, also das Gefahrenpotential innerhalb des Unternehmens, immer mehr ins Zentrum. Gerade in der Industrie liegt hier der Schwerpunkt, wenn es um das Schliessen von Sicherheitslücken geht.
Multiple ScannerZur Sicherheitsüberprüfung von aussen reichen heute schon Browser und Kreditkarte. Man erstellt einen Account bei First Security, wählt die entsprechende Qualität des Scans und wird innerhalb kürzester Zeit mit einem Ergebnis konfrontiert. First Security legt hier grossen Wert auf Übersicht und Verständlichkeit. «Dies ist – gerade wenn man Kunden einen Einblick geben will, die technisch nicht so bewandert sind – zentral», so Mittner. Die Reports bestehen aus mehreren Ebenen. Per Klick bohrt man tiefer, sofern das nötige Know-how vorhanden ist. Alternativ geht man mit dem Report zum Fachmann.
Der Clou beim Prüfverfahren von extern liegt in der gleichzeitigen Verwendung mehrerer Scanner zum Auffinden von Schwachstellen. Bekannte Sicherheitslücken werden nämlich in Datenbanken auf der ganzen Welt hinterlegt, von denen jede mit einem dieser Scanner verbunden ist. Verwendet man nun mehrere Scanner, stehen deutlich mehr Informationen über Sicherheitslücken zur Verfügung. So soll die Qualität der Überprüfung deutlich steigen.
In der Innenansicht liegen die Probleme jedoch an anderer Stelle und erfordern mehr als nur einen Cloud-Service. Hier geht die grösste Gefahr von den eigenen Mitarbeitern aus, und das noch nicht einmal in böser Absicht. Vielmehr muss die menschliche Natur berücksichtigt werden, gepaart mit starken Trends wie Bring your own Device. Ein virenverseuchter Laptop, der ans interne Netzwerk angeschlossen wird, reicht bereits, um erheblichen Schaden anzurichten. Da nützt die beste Firewall nichts.
Welche Dienste sind im Einsatz?
Genauso gravierend ist der Umstand, dass heute niemand so genau weiss, was alles im eigenen Netzwerk unterwegs ist. Cloud-Dienste oder ein virtueller Server werden schnell mal aktiviert und dann vergessen, beziehungsweise nirgendwo angemeldet. Deshalb prüft die First-Security-Software Vulnwatcher in einem ersten Schritt das ganze Netzwerk auf aktive Systeme. «Einmal haben wir einen PC entdeckt, von dessen Existenz niemand wusste. Am Ende mussten wir dem Netzwerkkabel nachgehen. Dabei kam heraus, dass dieser Computer bei einem kürzlich erfolgten Umbau versehentlich eingemauert worden war», erzählt Mittner.
Vulnwatcher gibt es als Appliance oder als virtualisierte Maschine. Einmal integriert, wartet sich der Dienst selbst. «Wir stellen mehr einen Dienst zur Verfügung als dass wir ein Produkt verkaufen. So liegt der Betrieb bei uns und nicht beim Kunden», sagt Mittner. Die Updates erfolgen über ein ISO-27001-zertifiziertes Tier-3-Rechenzentrum auf Schweizer Boden. Das gehört mit zum Konzept. «Nur so sichern wir die Qualität. Und darauf basiert das Vertrauen unserer Kunden. Am Ende ist es das, was ‹swiss made› ausmacht», so Mittner abschliessend.