Die wichtigste Ressource des 21. Jahrhunderts ist in Gefahr: DAUs, Innentäter, Manager, Konkurrenten, Hacker, Kriminelle, Verbrecher sowie Geheimdienste bedrohen vertrauliche Daten der Unternehmen. "Wir müssen zurzeit davon ausgehen, dass die gesamte unverschlüsselte Firmenkommunikation im Volltext abgezogen werden kann", warnt Rüdiger Weis, Professor an der Berliner Beuth-Hochschule, angesichts der NSA-Affäre. Dabei ist der Geheimdienst nur das Sahnehäubchen auf den "normalen" Angriffen, deren Qualität und Quantität in den vergangenen Jahren gestiegen ist. Aus einem einfachen Grund: Cyber-Kriminalität zahlt sich aus.
Lieber einfach als sicher
An der Misere sind die Unternehmen nicht ganz schuldlos. "Lange Zeit sollte das Netz lieber einfach als sicher sein", bilanziert der Berliner Mathematiker Weis. Mit schützenswerten Daten sei sehr sorglos umgegangen worden, doch sieht er in der NSA-Affäre eine Art Weckruf: "Wo der Wert eines Unternehmens vor allem in seinem Forschungsvorsprung liegt, müssen die Verantwortlichen umdenken." Keine leichte Aufgabe, denn Hintertüren in der IT-Hardware und in den Applikationen, kompromittierte Sicherheitslösungen, Abhörschnittstellen bei allen Providern, eine geringe Priorität für IT-Security im Management, gefährliche Kompromisse sowie fehlendes Know-how machen den Kampf zu einem fast aussichtslosen Unterfangen.
Die Wette von CIO Guus Dekkers
Zu den gefährdeten Unternehmen zählt auch EADS (Airbus), das angesichts seiner internationalen Sichtbarkeit und technischen Kompetenz sowohl von gewöhnlichen Cyber-Kriminellen als auch von Geheimdiensten regelmäßig heimgesucht wird. Dieser Druck brachte CIO Guus Dekkers dazu, im "CIO-Jahrbuch 2013" (also noch vor der NSA-Affäre) einen Blick in die Zukunft zu werfen: "Ich wette, dass sich das heutige Internet in zehn Jahren in viele Einzel-Inseln aufgelöst hat." Da der Staat kaum gegen die Bedrohungen helfe, werde die CIO-Gemeinschaft gezwungen, selbst geeignete Abwehrmaßnahmen zu treffen. Das klassische Wettrennen auf technischer Grundlage würde man jedoch verlieren, warnt Dekkers: Es gelte künftig, Vertrauen durch die Kontrolle seiner Kommunikationspartner zu schaffen. "In zehn Jahren sehen wir auf ein Internet, das zwar das Internetprotokoll noch als ‚rohes Transportmedium‘ für Datentransport benutzt, aber durch die Aufteilung in abgeschlossene Nutzergruppen de facto in eine Unmenge von Inseln zerlegt ist."
Ein alter Ansatz
Ein revolutionärer Ansatz ist das nicht: "Das Nebeneinander von Systemen der Vertraulichkeit ist relativ alt", sagt der Berliner Professor Weis. Der Experte für Systemprogrammierung verweist auf Institutionen wie Compuserve oder Facebook, angeflanscht an das offene Internet. Überhaupt sei die Auseinandersetzung zwischen dem freiheitlichen Ansatz (TCP/IP) und dem dirigistischen Modell (OSI/ISO) der einstigen Telekom-Behörden so alt wie das Internet selbst, sagt Weis und erinnert damit an eine "philosophische Diskussion". Mit einem klaren Ergebnis: "Das durchgeplante Protokoll hat sich nicht durchgesetzt gegen den freien Ansatz aus der Academia und der Hacker-Szene." Parallelen zur Geschichte sind evident: "Erfolgreich waren die Handel treibenden Völker, die sich auch ins Meer der Piraten getraut haben", sagt der Wissenschaftler.
Allerdings nutzen viele Unternehmen die Vorteile des Meeres, ohne die realen Gefahren wahrhaben zu wollen. Unwissenheit, Ignoranz und Resignation, Scheinsicherheit durch "Snake Oil"-Lösungen ohne Wirkstoff, Kostendruck und Fehlentscheidungen – der Ex-Hacker Gunnar Porada geht hart mit Managern ins Gericht. Schließlich trete der Hase heute nicht nur gegen zwei Igel an, sondern gleich gegen eine Armee virtueller Igel aus Bot-Netzen. Zudem würden Angreifer tagesaktuelle Schwachstellen angreifen, während sich Vertriebszyklen über Monate hinziehen – und dann muss die neue Sicherheitslösung auch noch eingeführt werden. "Der zeitliche und technische Vorsprung ist riesig", folgert Berater Porada, "und die Kriminellen können Schwachstellen über Jahre unerkannt ausnutzen." Daher dauere es zumeist sehr lange, bis in den Köpfen der Entscheider die Möglichkeit in Betracht gezogen wird, das Problem in der IT zu suchen. "Sie haben nur eine Chance, wenn sie kontinuierlich dagegenhalten – und in der IT werden Fehler gnadenlos abgestraft."
Benutzerfreundlichkeit wichtiger als Sicherheit
Wolfram Funk, Sicherheitsexperte bei Steria Mummert Consulting, sieht ebenfalls die Firmen in der Pflicht: "Sie müssen den eigenen Einfluss ausweiten und das Steuer in der IT-Sicherheit fester in die Hand nehmen." Die NSA-Affäre habe somit auch eine gute Seite: "Der Prozess ist angestoßen, und wir müssen sehen, was die Unternehmen in den kommenden Jahren daraus machen." Dabei erwartet der Security-Experte eine stete Gratwanderung zwischen Sicherheitsbedürfnis und Drang zur Öffnung, der wirtschaftliche Vorteile verspricht. Folglich müssten Unternehmen verschiedene Risikozonen definieren, in denen sie im Vertrauen wirtschaften können - eine Form der Dekker’schen Inseln. "Besonders deutlich wird dies bei mobilen Anwendungen", erläutert Funk, "wo die Benutzerfreundlichkeit heute wesentlich wichtiger ist als die Security." Angesichts der höheren Sicherheitsanforderungen für technische und persönliche Daten finden sich zwischen den Extremen viele Schattierungen, die einen unterschiedlichen "Risikoappetit" aufweisen.
"Derzeit hapert es vielfach an der Sicherheitsarchitektur mit einer differenzierten Betrachtung von einzelnen Segmenten im Security-Gesamtkonzept", bestätigt IDC-Analyst Matthias Zacher. Leicht ist die Aufgabe der Absicherung nicht, im Gegenteil. Private Geräte und soziale Medien führen dazu, dass Vorgaben aus der IT schon mal aus reiner Bequemlichkeit umgangen werden. "Die Unternehmen wissen, dass sie sich kaum noch abschotten können, da sie in diverse Lieferketten und Kommunikationskanäle eingebunden sind", sagt Zacher. Diese Gemengelage mache es extrem schwer, alle Konstellationen permanent auf die Sicherheit und Vertraulichkeit abzuklopfen. "Zudem steht IT-Security auf der CIO-Agenda ziemlich weit unten - wichtiger sind Wachstum, Profit und effiziente Zusammenarbeit."
Kleine Inseln wird es geben
Allerdings erwartet auch Zacher ein Umdenken dahingehend, sich zumindest stellenweise abzuschotten. "Wir sehen heute schon kleine Inseln im Sinne von Communities mit einem exklusiven Teilnehmerkreis wie Einkaufs- oder Forschungsnetze." Voraussetzungen hierfür - vor zehn Jahren waren das die sogenannten "Extranets" - sind etwa Zertifizierungsstufen, Reifegrade oder individuelle Compliance-Nachweise. Allerdings erfordert dies auch, dass sich Unternehmen die Mühe machen, verschiedene Szenarien zu analysieren und ihre organisatorischen Prozesse zu strukturieren, um Systeme mit hoher Priorität gezielt zu härten. "Es ist sinnlos, das ganze Unternehmen mit der höchsten Stufe absichern zu wollen", sagt Zacher, und: "Geld allein reicht nicht aus." Dass in der Hardware für Extranets oder Communities wiederum Hintertüren für die Geheimdienste eingebaut sind, dürfe allerdings nicht vergessen werden.
Eine Herausforderung ist auch die Bandbreite der Attacken, angefangen von Advanced Persistence Threats (APTs), mit denen gezielt Personen oder Technologien ins Visier genommen werden, bis hin zu Flächenangriffen: "Man zieht an den Türklinken aller Autos auf dem Parkplatz", erläutert Ex-Hacker Porada, "und wenn ein Wagen nicht abgeschlossen ist, sucht man nach einem Radio oder nach Wertsachen." Erschwerend komme hinzu, dass die Motivation der Angreifer und ihr Know-how in den vergangenen Jahren gewachsen seien, ergänzt IDC-Analyst Zacher. Zudem könnten auch sie "die ganzen Segnungen der modernen IT wie die Cloud nutzen". Selbst ohne Einmischung des Geheimdiensts fällt das Fazit eindeutig aus: "Die Bedrohung hat in den vergangenen Jahren zugenommen."
Zum Zeitpunkt der Dekkers-Wette war noch nicht klar, dass neben den Piraten im Internet auch noch Freibeuter mit einem Kaperbrief segeln - "staatsnah motivierte Aktivitäten", gibt Zacher zu bedenken. Das Swift-Abkommen, der belgische EU-Carrier Belgacom und die Sicherheitsfirma RSA sind nur drei Opfer in einem geheimen Krieg, bei dem erst das Maß und dann auch noch das Restvertrauen verloren gegangen sind. "Man muss zwischen den Bedrohungen der Cyber-Kriminalität und der Wirtschaftsspionage unterscheiden", sagt Steria-Berater Funk. Grund zur Resignation bestehe nicht, denn zumindest gegen die kriminellen Angriffe könne man sich mit herkömmlichen Mitteln und einem soliden Konzept relativ gut schützen.
Dies ändere seiner Meinung nach aber nichts daran, dass 2023 immer noch Hase und Igel gegeneinander antreten würden und der altbekannte Dreisatz herrscht: neue Technologien, neue Schwachstellen, neue Sicherheitsmaßnahmen. Auch IDC-Analyst Zacher unterstützt einige Thesen von Airbus-CIO Dekkers, doch geht ihm ebenfalls die Wette ein bisschen zu weit: "Die Welt - das Internet - kann man nicht mehr derartig stark umkrempeln." Außerdem erwarte er in den kommenden zehn Jahren keine organisatorischen und technischen Umbrüche, die die Mechanismen grundlegend verändern.
Google belohnt Fehlersuche
"Steter Tropfen höhlt den Stein", hofft Ex-Hacker Porada, und er bezieht sich dabei auf die Strukturen in vielen Unternehmen sowie die Tatsache, dass einige Manager das Problem einfach nicht wahrhaben wollen. Ein Indiz sei die fehlende Möglichkeit, entdeckte Schwachstellen überhaupt melden zu können: "Keine Firma kann sich heute alleine gegen die Flut der Angreifer schützen, doch viele sträuben sich gegen externe Hinweise." Hier sei Google ein gutes Beispiel - der Konzern habe ein Programm aufgelegt, um gefundene Schwachstellen in seinen Produkten zu honorieren. "Wer derartige Entscheidungen für sein Unternehmen nicht treffen will, erleichtert den Angreifern das Leben."
Informatikprofessor Weis geht zwar davon aus, dass die Sicherheit gestärkt und Insellösungen gepflegt werden. "Dennoch wird CIO Dekkers die Wette nicht gewinnen - die interessanten und spannenden Entwicklungen finden auch in zehn Jahren im freien Internet statt." Der Fortschritt verlange nach offenen Gesellschaften und offenen Netzen. Zudem habe er den Eindruck, dass sich die Offenheit aus ökonomischer Perspektive sehr gut rechne, "weil die Einsparmöglichkeiten die Kosten der normalen Kriminalität überstrahlen".
Allerdings sei es unabdingbar, dass Unternehmen im eigenen Interesse die Kontrolle zurückerobern und die Chancen zu ihren Gunsten beeinflussen: "Kryptografie und Mathematik helfen den Schwachen, vertraulich zu kommunizieren." Zwar gebe es immer noch Angriffsmöglichkeiten, so der Berliner Wissenschaftler, doch seien zumindest die verschlüsselten Inhalte relativ sicher vor einem Zugriff. Und angesichts der revolutionären Möglichkeiten des Internets für Handel und Diskussionen werde es keinen Rückfall in eine Welt mit abgeschotteten Netzen mehr geben, sagt Weis: "Da bin ich Optimist."
Die Sicherheitswette - Dekkers schottet sich ab "Ich wette, dass sich das heutige Internet in zehn Jahren in viele Einzel-Inseln aufgelöst hat", schrieb Airbus-CIO Guus Dekkers ins CIO-Jahrbuch 2013. In seinem Beitrag für das CIO-Jahrbuch konnte CIO Dekkers seinen Unmut über die Entwicklung der IT-Sicherheit nur schwer verbergen. Seine Argumentation: Erodierendes Vertrauen, steigende Bedrohungen und mangelnde politische Unterstützung hätten zur Folge, dass Unternehmen die Kontrolle über das Internet in die eigenen Hände nehmen und ihre Interessengebiete abriegeln müssten. Dekkers beschreibt drei Treiber auf diesem Weg: Kommunikation nur noch mit "geprüften Partnern", zweitens verschiedene elektronische Vertrauensmerkmale und schließlich ein begrenzter Kommunikationskreis - also "Einlass nur für Stammgäste". Zum Zeitpunkt der Wette waren die Datensammlungen der Geheimdienste noch nicht publik gemacht worden, und auch im Herbst 2013 kam das ganze Ausmaß der NSA-Attacke nur scheibchenweise ans Licht. So sind selbst technische Verfahren, die einst als "sicher" galten, mit Erfolg manipuliert worden. Insofern hat Dekkers recht, wenn er fordert, dass die Unternehmen selbst aktiv werden und ihre Interessen durchsetzen - von der Politik können sie keine Hilfe erwarten. Wie weit Airbus die Isolation aber treiben wird, steht auf einem anderen Blatt. Jede Sicherheitsmaßnahme ist aufwendig und unbequem, und jede Kontrolle birgt die Gefahr, von den eigenen Mitarbeitern und Partnern umgangen zu werden. So wettet die Redaktion: Ein marktbeherrschender Konzern wie Airbus tut sich leicht, seinen Partnern die technischen Vorgaben der Interaktion zu diktieren. Eine Sicherheitsgarantie für dieses Modell kann aber auch Dekkers nicht abgeben, das wäre unredlich. Alle anderen Unternehmen ohne eigene Insel müssen damit rechnen, dass sie auf hoher See vielen Piraten und Kaperfahrern begegnen. Doch das Potenzial des offenen Meeres ist verlockend: mehr Ressourcen, mehr Ideen, mehr Kunden. Das CIO-Jahrbuch können Sie im CIO-Shop bestellen. |