Wer die Drei Richtigen Wege der Verteidigung kennt, braucht keine Raubritter und Vandalen zu fürchten. So lautet die Botschaft der weltweit größten Security-Studie von CIO-Amerika und Price Waterhouse Coopers. Mehr als 8000 Sicherheitsverantwortliche haben darin ihre Erfahrungen preisgegeben. Sie konnten die gestiegene Zahl der Attacken erfolgreicher als im Vorjahr abwehren. So ist die Summe der entstandenen Schäden gesunken - und das bei gleich bleibenden Security-Ausgaben. Als Gründe für diese positive Bilanz lassen sich ausmachen:
- die personelle Verankerung eines Sicherheitsverantwortlichen, am besten außerhalb der IT-Abteilung,
- eine umfassende Sicherheitsstrategie, die über Security Policies alle organisatorischen und technischen Sicherheitsaspekte regelt,
- etablierte Maßnahmen, die Mitarbeiter für IT-Sicherheit sensibilisieren.
Michael Lardschneider setzt vor allem auf den letzten Punkt. Der CISO (Chief Information Security Officer) der Münchener Rückversicherung warnt jeden Mitarbeiter, wenn er auf einen unbeaufsichtigten PC ohne Passwortschutz stößt: "Stellen Sie sich vor, was ich alles hätte anrichten können!" Lardschneider will die Aufmerksamkeit bei den Anwendern schärfen- anglo-amerikanisch "Awareness". Ein auf drei Jahre angelegtes Awareness-Programm mit Inhouse-Messen, Schulungen, Veröffentlichungen in der Hauszeitung und Präsentationen im Intranet soll das Thema ITSecurity vermitteln. Lardschneider fühlt sich nach eigenem Dafürhalten "nicht wie ein Polizist, sondern eher wie ein Öffentlichkeitsarbeiter der Polizei".
Damit schlägt sich der CISO auf die Seite der wenigen, die auf die Einsicht der Menschen setzen: Nur sieben Prozent der IT-Sicherheitsverantwortlichen glauben daran, dass sich wirklich alle Anwender an die Sicherheitsrichtlinien halten. Ein gutes Viertel geht davon aus, dass weniger als 50 Prozent der Nutzer ihre Anweisungen beachten. Auch deswegen zweifeln viele Sicherheitschefs am Erfolg der eigenen Arbeit: Lediglich 19 Prozent sind völlig davon überzeugt, dass die IT-Security effektiv arbeitet. In 15 Prozent der Unternehmen haben die Verantwortlichen ernste Zweifel, ob ihre Maßnahmen effektiv sind, weitere 14 Prozent sind sich nicht sicher, in welchem Umfang ihre Sicherheitsmaßnahmen greifen.
Zwei-Klassen-Gesellschaft
Diese Zahlen enthüllt die Studie "The State of Information Security 2004, die ein umfassendes - aber auch widersprüchliches - Bild der Situation gibt. Denn es zeichnet sich eine Zwei-Klassen-Gesellschaft ab: Fast 80 Prozent der Unternehmen haben keinen umfassenden Schutz installiert. In acht Prozent der befragten Unternehmen gibt es überhaupt keine schriftlich fixierten Sicherheitsrichtlinien. Das große Mittelfeld stützt sich auf Security Policies, die nur Teilbereiche abdecken und keine umfassende Sicherheit garantieren. Lediglich etwa 20 Prozent der Unternehmen - die "Best Practice Group - verfügen über eine gut funktionierende umfassende Sicherheitsorganisation.
Dazu zählt auch, die Stelle eines hauptberuflichen Sicherheitsverantwortlichen zu etablieren. "Es spielt dabei keine Rolle, ob er Direktor, Manager oder Leiter IT-Sicherheit, CISO (Chief Information Security Officer) oder CSO (Chief Security Officer) heißt - Hauptsache, er ist außerhalb der IT-Abteilung angesiedelt und hat administrative Rückendeckung durch die Unternehmensleitung", sagt Eric Euler, IT-Sicherheitsberater bei der cne consulting GmbH in Hamburg. Diese Erkenntnis scheint sich langsam durchzusetzen: Die Zahl der Unternehmen, die einen CSO oder CISO haben, hat sich weltweit gegen das Vorjahr auf 31 Prozent verdoppelt (in Deutschland: 22 Prozent). Ein zentrales Security-Management ist inzwischen in 39 Prozent der Unternehmen etabliert (Deutschland: 31 Prozent). 2003 waren es nur elf Prozent.
"Ein Grundübel ist, dass der IT-Sicherheitsverantwortliche noch bis zur Unternehmensgröße großer Mittelständler fast regelmäßig der IT-Leiter ist", sagt Sicherheitsberater Euler. "Er hat aber eine technische Sicht der Dinge und investiert deshalb auch zuerst in Technik. Die Erkenntnis, dass organisatorische Maßnahmen nötig sind, wird in den seltensten Fällen aus der IT-Abteilung kommen." Zwar lasse sich, bei entsprechendem Budget, die Gefahr durch Angriffe von außen zu 99 Prozent mit technischen Mitteln abfedern, glaubt Sicherheitsexperte Euler, "aber damit hat man höchstens die Hälfte für die IT-Sicherheit getan". Dabei seien gerade Lücken im Personal- und Organisationsbereich mit relativ geringem Aufwand zu schließen. "Hier kann man mit wenig Geld viel erreichen", weiß Euler aus Erfahrung.
Security raus aus der IT-Abteilung
Nach wie vor liegt die Verantwortung für IT-Sicherheit in gut 70 Prozent der Unternehmen in den IT-Abteilungen. Kein Wunder also, dass professionelles Risk-Management und die Ausrichtung der Sicherheitsmaßnahmen auf die Business-Strategie nach wie vor die Ausnahme ist: Nur zwölf Prozent der deutschen Unternehmen leiten ihre IT-Security-Strategie konsequent aus den Unternehmenszielen ab. Allzu oft eilen die Maßnahmen den gesetzlichen Auflagen hinterher. Den "Best Practice"-Unternehmen machen diese hingegen wenig zu schaffen. Lardschneider kann ihnen sogar eine gute Seite abgewinnen: "Das lenkt die Aufmerksamkeit des Managements auf Sicherheitsfragen und vereinfacht für mich die Argumentation für Security-Investments." Ähnlich entspannt sieht es Wolfgang Schäfer, Leiter der Organisation IT-Sicherheit bei der Datev. Als Dienstleistungsunternehmen für bundesweit 39 000 Steuerberater liegt seine Messlatte für die IT-Scherheit auch ohne gesetzlichen Zwang besonders hoch: "Wir sind dem Gesetzgeber meist voraus. Wenn die gesetzlichen Regelungen akut werden, müssen wir lediglich unsere Mechanismen anpassen."
Wo sich die Gefahrenabwehr ausschließlich auf technische Lösungen stützt, bleiben die Sicherheitsmaßnahmen jedoch Flickwerk. Denn der Sicherheitsstandard hat nur bedingt mit der technischen Ausstattung zu tun. Beispiel Firewalls: Sie gehören fast regelmäßig zur Grundausstattung und dienen als Beleg für eine vorhandene Sicherheitsinfrastruktur. Aber: "Wer glaubt, dass eine Firewall automatisch mehr Sicherheit bringt, liegt falsch. Wenn es keine Security-Policy gibt, die klar festlegt, wie die Firewall zu konfigurieren ist, bleibt sie selbst ein Unsicherheitsfaktor", sagt Henning Brauer, Internet-Provider aus Hamburg und Firewall-Experte. Aber lediglich in 60 Prozent der deutschen Unternehmen ist die Netzwerk-Sicherheits-Administration Bestandteil der Security Policies. Regeln für den Internet-Gebrauch finden sich nur bei 35 Prozent, Hinweise zur Überprüfung des Sicherheits-Standards lediglich bei 15 Prozent der Unternehmen (siehe Tabelle Seite 20).
Uwe Schulz ist als Info-Security-Manager bei der Siemens-Verkehrstechnik in Krefeld für die IT-Sicherheit verantwortlich. Auch für ihn ist Mitarbeiterschulung ein zentrales Anliegen: "Es geht darum, die Leute zu überzeugen. Generelle Verbote führen nicht automatisch dazu, dass die Mitarbeiter sich tatsächlich daran halten", sagt Schulz. "Sicherheitsregeln müssen so gemacht sein, dass sie im Arbeitsalltag eingehalten werden können."
Die Überzeugungsarbeit kann gar nicht früh genug beginnen und zielt nicht nur auf die Mitarbeiter: "Es kommt darauf an, Management und Führungskräfte aus der Fachabteilung schon bei der Planung neuer Anwendungen ins Boot zu holen. Sicherheit ist eine Designfrage, kein Add-on-Produkt. Die nachträgliche Inplementation von Security-Features ist fast unmöglich oder unbezahlbar", sagt Security-Experte Lardschneider. Auch Schulz glaubt an die Kraft der Kommunikation: "Es reicht nicht aus, dem Business- Management das Regelwerk auf den Tisch zu legen. Als Sicherheitsmann muss man sich schon die Mühe machen, zu erklären und zu überzeugen."
Jan Armin Reepmeyer weiß, dass er in puncto IT-Sicherheit auf verlorenem Posten steht. Der IT-Leiter des Bereichs Wirtschaftswissenschaften der Uni Münster hat in der Kategorie "Non Profit Organisations" an der Studie teilgenommen. "Eine regelmäßige Anwenderschulung können wir von der personellen Ausstattung her gar nicht leisten", sagt der akademische Direktor. Anders als in Unternehmen hat er weder die administrative Macht noch die personellen und technischen Mittel, um einen hohen Sicherheitsstandard durchzusetzen.
"Natürlich sprechen ich mit meinen Kollegen der anderen Fakultäten Sicherheitsfragen ab - aber vieles, was aus Sicherheitsgründen notwendig wäre, lässt sich auch auf Grund der komplizierten Entscheidungsmechanismen in den Gremien überhaupt nicht verwirklichen", räumt Reepmeyer ein. Ein Alptraum für jeden CISO: Alle Nutzer, ob Assistent, Dozent oder Professor, besitzen Administrator-Rechte auf den PCs. "Ansonsten könnten sie selbst keine Programme installieren, und wir haben einfach keine Zeit, das für jeden Nutzer zu machen."
Auch das Update der installierten Virenscanner bereitet ihm Sorgen: "Ich lass' mir doch nicht von Bill Gates vorschreiben, wann ich meine Daten update", hat er als Argument mehr als einmal gehört. Selbst die Einführung einer Netzwerk-Firewall ist nur begrenzt möglich: "Die Freiheit der Forschung und Lehre erlaubt jedem Professor, alle Programme zu nutzen, die er für seine Arbeit braucht. Ich kann deshalb nicht einfach irgendwelche Ports sperren." Zurzeit denkt er darüber nach, auf den rund 1400 Rechnern in seinem Verantwortungsbereich Personal-Firewalls zu installieren. "Aber ich fürchte, dass die Nutzer damit nicht klarkommen und wir dann mit Support-Anfragen überhäuft werden", sagt Reepmeyer.
Forscher-Freiheit auf Kosten der Sicherheit
Den sensiblen Bereich des Prüfungsamtes mit vertraulichen Personal- und Prüfungsdaten hat Reepmeyer allerdings in ein besonders geschütztes Netz mit Firewall und erheblich besseren Sicherheitsstandard ausgelagert. Ebenso die "zentralen Dienste" wie Statistik-Programme, Zeitreihen- und Forschungsdatenbanken. Das gelte, betont Reepmeyer, auch für andere sicherheitssensible Bereiche der Universität. "Natürlich sind in der Verwaltung oder in der UniKlinik, wo die mit vertraulichen Personendaten umgegangen wird, auch adäquate Sicherheitsmaßnahmen installiert", betont Reepmeyer.
Insofern basieren auch seine Schutzmaßnahmen auf einer Risiko-Abschätzung. Zwar bereitet ihm das für eine Universität typische Laissez-faire gelegentlich Kopfzerbrechen. "Aber die Freiheit muss mit einem gewissen Sicherheitsrisiko erkauft werden. Die Uni ist eben kein Unternehmen", sagt Reepmeyer, "bei irgendwelchen Vorfällen wie Virenbefall oder Abstürzen können wir den Rechner einfach vom Netz nehmen, ohne dass das gravierende Auswirkungen hätte."
Diese Freiheit haben seine Kollegen in den Unternehmen nicht. Für sie sind Betriebssicherheit, Vertraulichkeit und Verfügbarkeit der Daten und Programme von größter Bedeutung. "Für uns ist ein Systemausfall der Super-Gau", sagt Kai Benzing, CISO beim Reiseveranstalter Thomas Cook. "Für die Reisebüros und Kunden müssen die Systeme ständig verfügbar sein - damit verdienen wir ja unser Geld." Er verantwortet die Sicherheit der IT-Systeme mit 3000 Nutzern bei Thomas Cook in Deutschland. Seine Rolle als CISO ist eher strategischer Natur: Die komplette IT-Infrastruktur ist an den IT-Dienstleister LH-Systems ausgelagert. Zu Benzings Aufgaben gehören die Formulierung der Ziele der IT-Security im Einklang mit der Business-Strategie, die Definition von Anforderungen, die Entwicklung von Kriterien für das Risk-Management, das Klassifizieren von Daten und das Ausarbeiten und Anpassen der Security Policies. Seit 2003 ist er als CISO im Amt. "Schon allein dadurch, dass ich mich als CISO ausschließlich um Sicherheitsbelange kümmere, ist ein entscheidender Schritt für mehr IT-Sicherheit getan", sagt Benzing.
Marketing-Aspekt nicht zu unterschätzen
Lardschneider nennt einen weiteren Grund für eine umfassende und nach außen darstellbare IT-Sicherheit: "Wir werden auch an unserer Verlässlichkeit gemessen. Die operative Sicherheit - und damit auch die Sicherheit der IT-Systeme - wird von der Öffentlichkeit zunehmend kritisch hinterfragt. Eine gut funktionierende IT-Sicherheit ist damit für uns auch ein nicht zu unterschätzender Marketingaspekt." Das ist, verglichen mit einer Vielzahl seiner Kollegen, durchaus weitsichtig - denn die IT-Sicherheit beeinflusst auch die Einschätzung durch Analysten und wirkt sich auf den Aktienkurs aus. Den US-Top-Managern scheint aber vor allem Sarbanes-Oxley in die Glieder gefahren zu sein. Fast die Hälfte der US-Unternehmen haben ihre IT-Sicherheitsrichtlinien erst im Hinblick auf gesetzliche Vorgaben überarbeitet. In Deutschland waren es nur 20 Prozent, denen regulatorische Vorgaben Anlass zu einer Revision der IT-Sicherheit gaben.
Auf die Frage nach den Auswirkungen von Sicherheitsvorfällen gab nur ein einziges deutsches Unternehmen Nachteile für den Aktienkurs an - bei insgesamt 256 erfassten Sicherheitsvorfällen (Weltweit waren es 114 bei 6274 erfassten Vorfällen). 50 Prozent hatten mit ausfallenden oder verlangsamten Netzwerken zu kämpfen; ebenso waren bei einer Hälfte der Unternehmen E-Mail oder Anwendungen zeitweise ausgefallen. Bei 18 Prozent der Vorfälle verschickten die Server ungewollt massenweise Spam. Verantwortlich für die Störfälle waren nach Einschätzung der Betroffenen an erster Stelle Hacker, gefolgt von Angestellten und ehemaligen Mitarbeitern.
Nur fünf Prozent senken die Ausgaben
Insgesamt zeichnet die amerikanische Studie ein durchaus positives Bild. Die IT-Sicherheit in den Unternehmen ist besser geworden. Die Budgets steigen - wenn auch nur moderat. Fast die Hälfte der Befragten will ihre Ausgaben erhöhen, bei 46 bleiben sie gleich, nur fünf Prozent senken die Ausgaben (siehe Diagramm Seite 18) Pläne für Business-Continuity und Desaster-Recovery sind bei 45 Prozent der deutschen Unternehmen in Kraft, weitere 30 Prozent wollen sie im Laufe des Jahres installieren. Und 46 Prozent haben sich vorgenommen, ihre Policies und technischen Standards zu verbessern. Stiefkinder sind nach wie vor die mangelnde Ausrichtung der IT-Security auf die Business-Strategie und das Fehlen eines umfassenden Risk-Managements.
CISO Lardschneider von der Münchener Rück jedenfalls blickt optimistisch in die Zukunft. Obwohl sein Budget dieses Jahr nicht steigt, glaubt der überzeugte Sicherheitsmann, dass die Zeit für ihn arbeitet: "IT-Sicherheit ist unverzichtbar. Ohne funktionierende IT kein funktionierendes Unternehmen - diese Erkenntnis setzt sich inzwischen auch in den Führungsetagen vieler großer Unternehmen durch", ist Lardschneider überzeugt. Und im Großen und Ganzen bestätigt die Studie "The State of Information Security 2004" seine Vermutung.