Lücken im Datenschutz

Wie PRISM Gartners Security-Tipps schreddert

18.06.2013 von Christoph Lixenfeld
Die Konferenz mit 2.200 CIOs und CSOs fand drei Tage vor den PRISM-Enthüllungen statt. Heute muten einige der dort gegebenen Empfehlungen befremdlich an.
Wolkige Hoffnungen: Cloud Computing ohne Sicherheitsrisiken gibt es nicht.
Foto: frank peters - Fotolia.com

Unternehmen stünden unter enormen Druck bezüglich ihrer Sicherheitsstrategie, weil sie einer mächtigen Matrix von unterschiedlichen, aber miteinander verwobenen Bedrohungen ausgesetzt seien, so lautete die Kernthese, mit der Gartner den großen "Security & Risc Management Summit" in National Harbour, Maryland, überschrieben hatte. Wichtigste Elemente dieser Gefahrenmatrix seien Big Data, Soziale Netzwerke, Mobility und Cloud Computing.

So weit, so verhersehbar. Nicht vorhergesehen hatte Ray Wagner, Vizepräsident von Gartners Sicherheitsabteilung, dass drei Tage nach der Konferenz eine Bombe Namens Prisma hochgehen würde. Sonst hätte er in seiner Key Note vielleicht einige Schwerpunkte anders gesetzt (siehe: PRISM und der Datenschutz: "Überwachung ist kein exklusives US-Phänomen"). Wagner beschrieb sieben aktuelle Trends beziehungsweise Bedrohungen, verband seine Ausführungen zum Teil mit konkreten Tipps. Hier sind die sieben Trends inklusive ein paar Einordnungen.

Cloud-Services sind ein Risiko

Erstens: Spyware und andere Schädlinge sind in Unternehmensnetzwerken sehr schwer zu identifizieren, wenn sie einmal eingedrungen sind. Deshalb ist es heute wichtiger dennn je, den Datenverkehr ständig und systematisch zu überwachen, um potentiellen Eindringlinge schon im Vorfeld abzuwehren. Alle Datenpakete in Netzwerken sollten die Verantwortlichen höchst misstrauisch machen. 2020, so schätzt Gartner, werden 75 Prozent der IT-Budgets darauf verwendet werden, Bedrohungen frühzeitig zu entdecken und sofort darauf zu reagieren. 2012 betrug der Anteil noch weniger als zehn Prozent.

Zweitens: Der extensive Gebrauch von Cloud Services durch Enduser ohne die Zustimmung der IT-Abteilung bedeutet, dass das Anti-Virus-Software und Firewalls immer wirkungsloser werden. IT-Strategien müssen laut Gartner verstärkt darauf eingehen, "statt sich nur um Netzwerke und Gadgets zu kümmern." Die Frage ist, warum Gartner den Gebrauch von Cloud Services nicht grundsätzlich in Frage stellt.

Drittens: Bisher sind Security-Jobs fast immer in der IT-Abteilung angesiedelt, was bedeutet, dass Probleme zunächst unabhängig vom Geschäftszweig beziehungsweise von der Abteilung gesehen werden, die sie betreffen. Aus Sicht von Ray Wagner wäre es sinnvoller, als Security-Chef keinen reinen ITler, sondern einen Business-Manager mit hohem IT-Verständnis zu berufen.
Der Gebrauch von Cloud-Resources, so Wagner weiter, kann dazu beitragen, dass das Unternehmen mit relativ wenig Experten wie Programmierern, Testern und Datenbank-Administratoren auskommt. Und er kann dazu führen, möchte man ergänzen, Geheimdiensten und Wirtschaftsspionen Unternehmensdaten auf dem silbernen Tablet zu servieren. Mancher deutsche CIO rät in Anbetracht der Schnüffel-Attacken durch Geheimdienste dazu, grundsätzlich niemals Cloud-Services zu nutzen. Da solche Angriffe schon vor PRISM bekannt waren, wirkt der Rat von Gartners Security-Experten etwas befremdlich.....

Mythos 1: "Mir passiert sowas nicht, ich habe alles im Griff!"
Therapie: Einmal richtig auf die Nase fallen.
Mythos 2: "Wir geben 10 Prozent unseres IT-Budgets für Sicherheit aus. Deshalb können wir ruhig schlafen."
Tatsächlich sind es laut Gartner im Schnitt maximal fünf Prozent. Therapie: Einfach mal selbst einen Blick in die Zahlen werfen.
Mythos 3: "Jedes Risiko lässt sich quantifizieren."
Ursache dieses Irrtums ist eine Kultur der Zahlenhörigkeit und der Glaube, dass sich mit einer sorgfältig ausgefüllten Excel-Tabelle jedes Problem lösen lässt. Therapie: Risiken einfach mal beschreiben, ohne eine einzige Zahl zu gebrauchen. Und dafür sorgen, dass jede Abteilung selbst Verantwortung übernimmt für ihre Sicherheitsrisiken.
Mythos 6: "Wenn der Sicherheitschef außerhalb der IT-Abteilung sitzt, sorgt das automatisch für Sicherheit."
Ein Problem der Unternehmenskultur mit organisatorischen Veränderungen lösen zu wollen, klappt selten. Therapie: Eine genaue Analyse der wirklichen Ursachen von Sicherheitsproblemen.
Mythos 7: "Die Lösung von Sicherheitsproblemen ist die Aufgabe des Sicherheitschefs."
Immer jemand anderen für zuständig zu erklären, ist vor allem dann schwierig, wenn sich zugleich von diesem nichts sagen lassen will. Therapie: Eintwickeln einer Sicherheits-Policy mit festen Regeln, an die sich alle halten müssen.
Mythos 8: "Wenn wir endlich die richtige Software gekauft haben, sind alle Probleme gelöst."
Einfache One-fits-all-Lösungen gibt es nicht. Therapie: Methodische Risikoanalyse erstellen inklusive einer klaren Prioritätenliste.
Mythos 9: "Lass uns die Policy schnell verabschieden, dann können wir endlich losfahren."
Eine wirksame Policy kann nur schrittweise entstehen, muss ständig überprüft werden. Therapy: Ein Risiko nach dem anderen abarbeiten und klare Zuständigkeiten benennen.
Mythos 10: "Verschlüsselung ist der beste Weg, um sensible Daten zu sichern."
Das Thema ist komplizierter, als Unbedarfte glauben. Verschlüsselung kann auch eine Menge Probleme bereiten. Therapie: Beschaffen Sie sich entsprechende Expertise, bevor Sie sich dem Thema widmen.
Mythos 4: "Wir sichern unsere Daten physisch, deshalb sind sie sicher."
Therapie: Ein ausführliches Gespräch mit einem echten Sicherheitsexperten über Risiken.
Mythos 5: "Komplexe und häufig wechselnde Passwörter senken die Risiken deutlich."
Passwörter werden heute meist durch entsprechende Programme erschnüffelt und nicht gehackt. Komplexität hilft deshalb nur begrenzt. Therapie: Gegen diesen Irrglauben ist kein Kraut gewachsen, glaubt Gartner.

"Es ist gruselig, was Facebook weiß."

Viertens: BYOD wird ein wichtiger Trend bleiben. "Einige Leute haben versucht, nein zu sagen, und es hat nicht funktioniert," so Ray Wagner. Security-Manager hätten ihre Verhinderungsstrategie in der Regel aufgegeben und versuchten statt dessen heute, den Einsatz mitgebrachter Geräte so einfach und komfortabel wie möglich zu gestalten. Der Schlüsser dafür, dass das gelinge, sei ein durchdachtes Identitätsmanagement. Am effizientesten lässt sich das mit Hilfe einer Mobile-Device-Management-Software steuern. Welche Angebote im Markt was können, klärt diese Studie, über die CIO.de jüngst berichtete.

Wenn sich bald alle User überall mit ihrem Facebook-Konto anmelden wollen, finden die Sicherheitsverantwortlichen gar nicht mehr in den Schlaf.
Foto: Nikolai Sorokin - Fotolia.com

Fünftens: Identitäts- und Zugangsmanagement, so Gartner, müssen aus einer ganz neuen Perspektive betrachtet werden. Die Tatsache, dass Soziale Netzwerke auch aus unternehmensstrategischer Sicht immer wichtiger werden, führe dazu, dass sich Kunden immer häufiger zum Beispiel mit ihrer Facebook-Identität auf einem Online-Shop anmelden wollen statt mit ihrem eigentlichen Nutzerkonto. Dummerweise nur gleichen Soziale Netzwerke echte und digitale Identitäten nicht miteinander ab. Hier gelte es, so Ray Wagner, entsprechende Sicherheitsstrategien zu entwickeln. "Es ist ein bisschen gruselig, dass Facebook weiß, was Ihre Kunden tun."
Noch gruseliger ist allerdings, das Geheimdienste wissen (können), was Facebook-Nutzer tun.

Nicht alle wissen, was falsch ist

Sechstens: Immerhin findet Gartner: "Die Sicherheitsbedrohungen für Unternehmen nehmen immer weiter zu, und das gilt nicht nur für Energieversorger und andere Infrastrukturfirmen, sondern für alle Firmen, die auf einen reibungslosen Datenverkehr angewiesen sind.

Siebtens: Gartner propagiert den "Security-freien Staat". Dieses als eine Sicherheitslösung für die Zukunft vorgestellte Konzept sieht vor, die Sicherheitskontrollen generell stark herunterzufahren, um bürokratischen Aufwand und Kosten zu senken und zugleich die Arbeitsmoral zu steigern. Praktisch könnte ein Ansatz darin liegen, einen unkontrollierten Zugang zum Mailsystem des Unternehmen zuzulassen und sich im Gegenzug zusichern zu lassen, dass Mitarbeiter keine Unternehmenskritischen Daten auf irgendwelchen mitgebrachten Endgeräten speichern. Regelmäßige Kontrollen gibt es nicht außer einem allgemeinen Monitoring. Die Idee dahinter ist, sagte Ray Wagner, "die Mitarbeiter wie Menschen zu behandeln, die Dinge richtig machen."

Wenn sie denn wissen, was richtig ist und was falsch, was gefährlich ist und was nicht. Erstaunlich an den Empfehlungen von Gartner ist - vor allem mit deutschem Datenschutz- und Security-Verständnis - dass es fast nur darum geht, neue Bedrohungen, Einfallstore und Lecks zu managen, anstatt den Versuch zu machen, sie zu schließen. Ist die Nutzung von Cloud-Services wirklich nötig? Wie kann ich das Eindringen von Unternehmensdaten in Soziale Netzwerke wirkungsvoll verhindern?
Das sind die Fragen, die sich IT-Verantwortliche spätestens seit den PRISM-Enthüllungen stellen sollten. Und eigentlich auch schon vorher.