IT-Sicherheit fordert IT-Manager in Zeiten von Internet, Social Networks und Mobile Apps heraus. is report sprach mit den IT-Sicherheitsexperten Harry Schäfle und Thorsten Höhnke von Fujitsu darüber, wie die Verantwortlichen ihr Unternehmen vor Attacken schützen können.
Thorsten Höhnke, Principal Security Architect bei Fujitsu
Gehen wir zuerst auf die Technik ein. Bislang galt SSL durchaus als sichere Verschlüsselungstechnik für Verbindungen im Internet. Aber nach Heartbleed und den Problemen mit Open-SSL fragt man sich ja, was ist noch sicher?
Höhnke: Eine SSL-Verbindung ist alles, nur nicht sicher. Mittlerweile gibt es sogenannte Franken-Certs, Zertifikate, die aus mehreren gültigen Zertifikaten zur sicheren Verschlüsselung zusammengebaut werden und eine SSL-Verbindung so kompromittieren, dass die Daten in Klartext mitgelesen werden können.
Eine vernünftige Verschlüsselung, wie sie mit OpenVPN möglich ist, bietet aber schon einen guten Schutz. Doch nur eine Verschlüsselung der Verbindung bringt nichts, denn die beiden Endpunkte sind möglicherweise noch viel zu weit offen. Man muss deshalb das komplette Ökosystem der Datenverarbeitung absichern.
Harry Schäfle, Lead Program Manger Client Solution bei Fujitsu Technology Solutions
Welchen Tipp können Sie denn geben, wie Unternehmen für mehr Sicherheit sorgen können? Rechenzentren sind heute doch meistens entsprechend zertifiziert. Es werden regelmäßig Audits durchgeführt. Was bringt das noch?
Schäfle: Es bleibt dem Anwender nichts anderes übrig, als sich die eingesetzten Systeme und Prozesse selbst anzugucken und durchgängig zu betrachten. Wir führen eine ganze Menge Begehungen durch, intern und für unsere Kunden. Es reicht nicht, Virenscanner laufen zu haben und die Anforderungen für Zertifikate zu erfüllen. Das Thema Sicherheit muss in die Köpfe der Menschen – dazu gehören beispielsweise auch scheinbar banale Maßnahmen wie den Bildschirm zu sperren, wenn man seinen Arbeitsplatz verlässt, oder dass man an öffentlichen Plätzen nicht über Unternehmensgeheimnisse spricht.
Zertifizierungen sind wichtig – wichtiger ist es aber, die Prozesse für mehr Sicherheit auch zu leben.
Höhnke: Das gilt insbesondere für die Zertifizierungen nach ISO 2700x.
Vervielfältigen wir die Probleme durch Mobile Computing nicht noch?
Schäfle: Ja, aber sicher, denn heute will jeder alles überall verfügbar haben. Und wir können als Anwender gar nicht mehr wissen, was genau welches elektronische Gerät so alles macht, zum Beispiel an wen es kommuniziert. Das wird mit dem Internet der Dinge noch viel komplexer.
Höhnke: Nehmen wir zum Beispiel das Betriebssystem Android. Ohne da eine schlechte Absicht unterstellen zu wollen, ist das doch schnell als Konkurrenz zu einem bestehenden entwickelt worden. Der Aufbau von Hardware, Betriebssystem und Virtualisierung ist sehr anfällig; hier reicht eine SMS, die der Nutzer nicht einmal sieht, und es wird ein neues Passwort gesetzt.
Was raten Sie denn jemandem, der mobil sein will? Wie kann er halbwegs so sicher arbeiten, dass er noch gut schlafen kann?
Höhnke: Ich kann da nur für Fujitsu sprechen. Unsere Lösung heißt „Managed Mobile“, die mit einer Abstrahierungsschicht arbeitet, die ein echtes Sandboxing schafft. Darin laufen Unternehmensanwendungen und -daten. Allerdings ist auch Sandboxing nicht gleich Sandboxing, denn man darf nicht vergessen, dass beispielsweise auf dem Server im Last Level Cache alle Daten wieder zusammenkommen. Auch da kann man rankommen. Allerdings wissen nur noch wenige, wie es geht. Und sie müssen einen sehr hohen Aufwand dafür betreiben.
Welche Bedeutung haben denn die Geheimdienste beim Thema Sicherheit? Was die NSA an Investitionen in die IT steckt, muss ja selbst eine Fujitsu erblassen lassen.
Schäfle: Ich glaube, das Budget hätten wir alle gerne.
Höhnke: Gerade die kolportierte hohe Summe rechtfertigt, dass wir unsere Arbeit richtig machen. Wären unsere Systeme nicht gut geschützt, bräuchten potenzielle Angreifer nicht so viel Geld aufzuwenden.
Schäfle: Daneben ist es aber auch egal, wer Wirtschaftsspionage betreibt. Der Schaden durch Spionage liegt nach Aussage diverser Analysten allein für die deutsche Wirtschaft bei 50 Milliarden Euro, für die Weltwirtschaft sollen es 280 Milliarden Euro sein.
Wir wollen uns nicht anmaßen, dass wir die Welt neu erfinden, aber wir haben viele gute Ansätze um sicherere Systeme hinbekommen – beispielsweise Schlüssel, die man schnell wechselt, spezifische Verschlüsselungstechniken, einfachere Konstrukte, Sicherheit von Ende zu Ende.
Der Mensch muss Teil des Sicherheitssystems sein. Wie schaffen es Unternehmen, ihre Mitarbeiter gut in Sicherheitskonzepte einzubinden?
Schäfle: Dafür gibt es Richtlinien – beispielsweise wer darf worauf zugreifen, wie nehme ich ihm die Rechte wieder weg, wie wird das dokumentiert. Wichtig ist auch die Festlegung, welche Daten wie geschützt werden müssen. Nicht alle Daten müssen gleich sicher sein. Es kommt darauf an, was wie wichtig ist – und das muss unseren Mitarbeitern transparent gemacht werden. Wir haben spezifische Programme und Trainings, damit sie die Bedeutung des Themas Sicherheit verstehen und umsetzen können.
Bei wichtigen Treffen lassen wir unsere Handys draußen, schalten sie aus und legen sie am besten in eine Keksdose, sodass wir darüber nicht abgehört werden können.
Höhnke: Aber der Faraday’sche Käfig allein reicht auch nicht, wenn man wirklich für Abhörsicherheit sorgen will, weil beispielsweise selbst die Bewegungssensoren in einem modernen Smartphone so sensibel sind, dass man damit Sprache aufzeichnen kann.
Stoßen wir damit nicht an die Grenzen des Machbaren, muss ein Unternehmer da nicht resignieren und sich fatalistisch der unausweichlichen Unsicherheit ergeben?
Schäfle: Nein. Wir wollen Unternehmen dabei helfen, für Sicherheit zu sorgen. Wir klären auf, was machbar ist. Und wir bieten Dienste an, für die Sicherheit vom Smartphone über den PC bis zum Rechenzentrum, eben End-to-End, sorgen.
Außerdem beschäftigen wir uns damit, wie der Nutzer die Kontrolle über seine Daten behält, eben die digitale Souveränität.
Digitale Souveränität – was bedeutet das?
Schäfle: Digitale Souveränität ist unsere Vision. Die Gesellschaft, das Unternehmen, der Bürger soll wieder souverän sein über seinen digitalen Fingerabdruck, über seine Daten. Er soll bestimmen können, wann etwas von ihm im Netz gelesen werden kann, dass er es löschen kann, bestimmen kann, was damit passiert. Es geht darum, dass ich weiß, was man an Informationen über mich erfasst.
Heute haben wir eine vollkommene Intransparenz – von jedem gibt es unglaublich viele Daten im Netz und kaum einer weiß, was man alles über ihn an Daten zusammenführen kann. Das ist hoch brisant. Der Mensch soll das kontrollieren können. Das nennen wir digitale Souveränität. Die brauchen wir als Bürger, als Unternehmen und als freie Gesellschaft. Das ist unsere Vision.
Ist es dafür nicht schon zu spät?
Schäfle: Sehr gute Frage. Es gibt Experten sagen, wir brauchen neue Netze, um so etwas umzusetzen. Wir als Fujitsu wollen und können natürlich nicht das Internet neu aufbauen. Wir konzentrieren uns deshalb darauf, in die bestehende Infrastruktur mehr Sicherheit hineinzubringen. Wir brauchen die Human Centric Intelligent Society, in der der Mensch entscheidet.
Höhnke: Dazu gehört für uns ein sicheres Ökosystem, das auch zuverlässig funktioniert. Wir nutzen deshalb im Rahmen unsers Entwicklungsprojekts „Digitale Souveränität“ zum Beispiel eine kaskadierte Verschlüsslung: Beim Versenden von Daten brauche ich offene Daten, damit ein Datenpaket von A nach B kommt. Der äußere Tunnel muss lesbar sein, aber darin kann alles voll verschlüsselt laufen. Intern verwenden wir zum Beispiel Blowfish-Verfahren mit 2048 Bit intern. Nach heutigen Verfahren brauchen Sie noch 150.000 Jahren zum Entschlüsseln – vorher ist noch der OpenVPN-Tunnel zu knacken, was auch nicht ganz so leicht ist.
Auf der Rechenzentrumsseite erhöhen wir unsere Sicherheit, weil wir keine offenen Ports haben. Das klingt vielleicht ein wenig wie Zauberei nach David Copperfield, aber wir können das und schaffen doch die Verbindung ins Rechenzentrum. Mehr kann ich dazu noch nicht sagen, weil dieses Verfahren zurzeit in der Patentanmeldung läuft.
Und auch auf Dokumentenebene sorgen wir für Sicherheit. Wir haben die Möglichkeit, Dokumente zu klassifizieren – zum Beispiel mit einem Ablaufdatum und mit Zugriffsrechten für bestimmte Personenkreise. Und ein solches System entwickeln zu können, haben wir haben uns bestimmte Bereiche in Dateien angesehen – die Magic Bytes oder Pre-Execution Header –, in den wir Bedingungen wie Ländergrenzen oder Kontaktdaten von Personen einbauen können. Wenn die nicht eingehalten werden, dann zerstört sich das Dokument selbst.
Schäfle: Wichtig dabei ist natürlich, dass Sicherheit handhabbar und bezahlbar bleibt. Wir sprechen deshalb von der angemessenen Sicherheit. Je sicherer es wird, desto unkomfortabler und teurer wird es bislang in der Regel. Eine praktische Lösung, die wir entwickelt haben, um Sicherheit für den Anwender einfach zu machen, ist beispielsweise der Handvenenscanner. Er kann als Zugangs- und Zugriffskontrolle eingesetzt werden. Weltweit nutzten ihn Ende vergangenen Jahres schon 40 Millionen Anwender. Diese Zahl explodiert gerade. Natürlich ist dies nicht umsonst – aber Unsicherheit kostet auch.
Unsere wichtigste Ressource ist unser Wissen. Deshalb muss unser Wissen sicher sein. Davon leben wir als Unternehmen. Genau darüber müssen wir uns Gedanken machen. Dafür brauchen wir Mitstreiter.
Wen sehen Sie da in der Pflicht, jeden einzelnen Anwender?
Höhnke: Den brauchen wir natürlich auch, aber dem Anwender kann ich nicht zumuten, sein System sicher zu halten. Da müssen Staat und Wirtschaft zusammenarbeiten. Wir haben ja auch eine Polizei, die für Sicherheit sorgt – das übernimmt nicht jeder einzelne.
Sind wir da mit einem Cyber Security Center und einer Meldepflicht für Vorfälle in der IT-Sicherheit auf dem richtigen Weg?
Höhnke: Das ist zweischneidiges Schwert. Damit kann man beispielsweise auch versuchen, Wettbewerber vorzuführen. Aber natürlich ist eine Meldepflicht in einem Cyber Security Center teilweise auch sinnvoll, weil wir dann die Entwicklung der Sicherheitslage besser beobachten und entsprechend handeln können. IT-Sicherheit muss bei uns allen ins Grundverständnis. Gesellschaftlich ist das noch eine große Aufgabe. Bis zu diesem Ziel müssen wir noch viele Schritte gehen. Christian Merten/hei
Anzeige
IT-Security Guide 2014
Die isi Medien GmbH hat den IT-Security Guide 2014 erstellt. Zum E-Paper hier klicken.
Informationen und Beteiligungsmöglichkeiten erhalten Sie von Frau Charlotte Fellermeier unter: 089/ 90 48 62 23 oder per E-Mail: cfellermeier@isreport.de
