IT-Grundschutz des BSI reicht nicht aus
Spam ist nicht Stuxnet
CIO.de: Der IT-Grundschutz stößt an seine Grenzen, sagen Sie. Was meinen Sie damit?
Schöpf: Ja, weil die Art der Angriffe sich ändern. Sie haben einen politischen oder finanztechnischen Hintergrund und werden immer professioneller. Es gibt mehrstufige Angriffskonzepte. Meistens gehen die Angriffe auf Websites oder Datenbanken, um im Backend Schaden anzurichten. Es geht dabei um Advanced Persistent Threats, komplexe, zielgerichtete und effektive Angriffe auf kritische IT-Infrastrukturen und vertrauliche Daten.
CIO.de: Wer will denn Daten aus der Öffentlichen Verwaltung stehlen?
Baums: Zunächst einmal: Der Begriff IT-Sicherheit kommt hier an seine Grenzen. Wir diskutieren nicht präzise genug. Vergleichen Sie das einmal mit dem konventionellen Sicherheitsbegriff: Niemand würde Straßenkriminalität und Atomkrieg in einen gemeinsamen Topf werden. Auf Veranstaltungen zur IT-Sicherheit passiert genau das: Man redet über Spam, im nächsten Satz geht es um Stuxnet. Hier brauchen wir ein besseres Verständnis, dass „IT-Sicherheit" an sich kein ausreichend definierter Begriff ist.
"Man redet über Spam. Im nächsten Satz geht es um Stuxnet"
Zu Ihrer Frage: Das Risikoprofil in der öffentlichen Verwaltung ist natürlich sehr heterogen. Ein Bezirksamt wird andere Herausforderungen haben als eine für die öffentliche Sicherheit kritische Bundesbehörde – und zwar sowohl hinsichtlich der Komplexität von Angriffen, aber auch hinsichtlich der finanziellen und organisatorischen Möglichkeiten zur Abwehr. Grundsätzlich warne ich vor der Einschätzung, „man sei als Ziel ja gar nicht so interessant für Cyber-Attacken". Bis vor wenigen Monaten hätten wir wohl nicht gedacht, dass eine große amerikanische Tageszeitung systematisch attackiert würde.
CIO.de: Wie beraten Sie die Behörden?
Schöpf: IT-Sicherheit ist ein Prozess, der möglichst früh anfangen muss. Das fängt beim Entwickeln der Applikation an. Da geht es um Codeanalyse wie sie HPHP Fortify zur Verfügung stellt. Phase 2 ist der Betrieb: Da müssen Sie die ganze IT betrachten. Welche Schnittstellen gibt es nach außen? Es gibt ein SecuritySecurity Information Event Management, das alles analysiert und sicherheitsrelevante Maßnahmen in Echtzeit adressiert. Das macht bei uns etwa das Produkt Arc Sight Logger. Alles zu HP auf CIO.de Alles zu Security auf CIO.de
Da erkennt man leicht illegale Machenschaften, Abflüsse nach außen, Ports, die angegriffen werden, ganzheitlich betrachtet über die ganze IT. Die dritte Sparte betrifft die Hardware, um die Organisationen nach außen abzusichern. So legen wir einen Sicherheitsschirm um die Behörde, wo der Sicherheitsgrundschutz an seine Grenzen stößt.