Holen Sie sich einen starken Kaffee, und schnallen Sie sich an. Sie sollten wach bleiben, denn wir brauchen Ihre gesamte Aufmerksamkeit, um einen Aspekt der Unternehmenssicherheit zu besprechen, den viele nicht besonders aufregend finden. Das einschläfernde Thema heißt: Risiko und Compliance. Wie kommt es, dass manche Leute bereits bei der bloßen Erwähnung der Worte "Risiko und Compliance" Erschöpfung überkommt? Der Grund ist einfach: Nur sehr wenige Menschen verstehen und beziehen Risiko- und Compliance-Faktoren in ihr tägliches Leben mit ein. Und das, obwohl sie ständig von Risiko- und Compliance-Faktoren umgeben sind. Daher wollen wir dieses scheinbar alltägliche Konzept entmystifizieren. Wir versuchen, dieses Thema so spannend wie möglich zu gestalten, gelingt uns das nicht, dann wollen wir wenigstens erklären, warum es so wichtig ist.

Jeder von uns trifft täglich Risikoentscheidungen, und nur die wenigsten sind uns bewusst. Wir treffen eine Entscheidung, die zu einem positiven Ergebnis führt. Wir treffen eine weitere Entscheidung, und diese führt zu einem negativen Ergebnis. Dasselbe gilt für den Bereich der Sicherheit. Beim Umgang mit Risiken im täglichen Leben, wägen wir die bekannten Risiken mit den Kosten dieser Entscheidungen ab und treffen die bestmögliche Wahl. Risiko basiert auf der grundlegenden Annahme, dass jeder Vorgang eine Konsequenz nach sich zieht, sei diese gut oder schlecht. Wir kennen das Ergebnis unserer Entscheidungen häufig nicht. Es ist aber sicher, dass alle Entscheidungen entweder eine positive oder eine negative Folge haben. Und genau darum geht es beim Risiko-Management.

Risiko

Ich fahre seit vielen Jahren Auto und habe die Risiken des Autofahrens akzeptiert (Unfall, Verletzungen oder sogar Tod), da die Alternative (Laufen, Fahrradfahren oder öffentlicher Nahverkehr) nicht immer zur Verfügung steht oder zu unbequem ist. Ich akzeptiere diese Risiken täglich meistens völlig unbewusst – manchmal jedoch auch bewusst, wenn ich zum Beispiel an einem Unfall vorbeifahre. Häufig vergesse ich jedoch, dass schlechte Straßenbedingungen (schmutzige Fahrbahn, Regen, Schotter) meine Reaktionsfähigkeit beim Autofahren beeinträchtigen können und ich das Risiko eingehe, mein Auto zu beschädigen, oder noch schlimmer, einem anderen zu schaden. In Anbetracht der Tatsache, dass die Tätigkeit sowieso riskant ist, stellt sich die Frage, was wohl geschehen würde, wenn ich kein Armaturenbrett hätte, das meine Geschwindigkeit aufzeigt.

Was wäre, wenn ich keine Spiegel hätte, die mir zeigen was sich hinter oder neben mir befindet? Wie würde ich wissen, ob ich sicher fahre und so das Unfallrisiko mindere? Ich könnte es nicht. Die Anzeigen und visuellen Hilfen liefern die Informationen, die ich als Fahrer benötige, um sicher fahren zu können. Wenn ich sie ignoriere, dann zu meinem eigenen Schaden. Dasselbe gilt für Sicherheitsrisiken: Je mehr Sie wissen, desto größer ist Ihre Chance, Probleme oder tatsächliche Schäden vorherzusagen – und diese zu vermeiden. Und je mehr Sie Risiken ignorieren, desto wahrscheinlicher werden Sie Probleme bekommen. Um ein Armaturenbrett für Sicherheit anzulegen müssen Sie wissen, wie Sicherheit messbar wird. Das Armaturenbrett in Ihrem Auto ist mit diversen Eingabeparametern verbunden, beispielsweise mit der Drehung der Räder (Geschwindigkeit), der Reifenhaftung (Haftungssteuerung), der Temperatur des Motorblocks, den Wasserständen und vielem mehr. Ohne diese Quellen in Ihrem Auto wäre ein Armaturenbrett wertlos.

Dasselbe gilt für den Bereich der Sicherheit. Jedes erfolgreiche Risiko- und Compliance-Programm muss die internen Quellen feststellen und sie täglich messen. Hierzu müssen wir Sicherheitsprogramme entwickeln, in denen die Grundlagen des Sicherheitsrisikos berücksichtigt und qualitative und quantitative Maße auf die Formel angewendet werden. Wir müssen diese Maße dann über einen längeren Zeitraum weiter verfolgen, um Fortschritte oder Rückschritte sehen zu können.

Sicherheit messbar machen

Kein Management ohne Messung. Das ist das Mantra aller erfolgreichen Unternehmen. Auch wenn dieses Modell im Sicherheitsbereich größtenteils gemieden wurde, ist es gerade im Wandel begriffen. Gesetze und Compliance-Anforderungen verursachen diesen Wechsel. Die meisten Sicherheitstechnologien behandeln die Symptome und nicht die Ursachen. Um Sicherheit aber messbar zu machen, muss man die Kernprobleme und Ursachen kennen. Was verursacht sicherheitsrelevante Vorfälle? Es gibt zwei Hauptgründe oder Chancen: Designfehler und die falsche Anwendung von Funktionen. Es gibt außerdem zwei Angriffsvektoren oder Motivationen: böswillige Hacker und Fehleinschätzungen durch die Benutzer. Wenn Sie Hauptgründe und Vektoren kombinieren, erhalten Sie eine Mixtur für eine nahezu unbegrenzte Anzahl von sicherheitsrelevanten Vorfällen. Und wenn Sie diese Angriffsmethoden nicht überwachen und verwalten, werden Sie immer und immer wieder damit konfrontiert werden.

Kernprobleme

Ein Konzeptionsfehler, das erste Kernproblem, ist ein Euphemismus, der auch folgendermaßen formuliert werden kann: "Entwickler, die Sicherheit nicht verstehen, schaffen Möglichkeiten, die negative Vorfälle zulassen". Das beinhaltet Schwachstellen in der Hard- und Software, die durch Netzwerk-, System-, Anwendungs- und Datenbankentwickler und -lieferanten verursacht werden wie Microsoft, Oracle und SAP, aber auch jedes Unternehmen, das eigene Anwendungen entwickelt, wie große Banken, Webentwicklungsfirmen, Onlinehandel und andere. Konzeptionsfehler sind weitreichend und – aufgrund der Tatsache, dass Menschen diese Technologien entwickeln, codieren und implementieren – immer vorhanden. Wenn solche Fehler in der Automobilindustrie auftreten, führt dies häufig zu einer Rückrufaktion. Wenn festgestellt wird, dass ein grundlegender Fehler in der Verkabelung oder im Benzintank einen Unfall oder den Tod zur Folge haben kann, muss dieser Fehler behoben werden. Genauso wie ein grundlegender Fehler im Auto zu Problemen oder Schlimmerem führen kann, besteht eine ähnliche Last bei Computerhardware und -software.

Die Entwickler dieser Technologien berücksichtigen die Sicherheitsaspekte in ihren Entwürfen und Plänen nicht immer. Dies führt zu Fehlern und potentiellen Angriffsflächen. Heutzutage besteht die Möglichkeit einer Rückrufaktion im Computerbereich nicht, aber ich bin so kühn und behaupte, dass es sie im nächsten Jahrzehnt geben wird. Hardware und Software werden durch ein unabhängiges Organ zurückgerufen werden, das in der Lage sein wird, die Rückgabe unsicherer Produkte anzuordnen. Konzeptionsfehler in Computersystemen können nicht so leicht gemessen werden, da sie meist unbekannt sind. Genauso wenig, wie Kfz-Ingenieure vorhersagen können, ob ein bestimmter Entwurf fehlerhaft sein wird oder nicht. Aber wir können bekannte Fehler in Computersystemen messen. Denn diese treten in Form von Schwachstellen auf.

Es gibt Tausende bekannter Schwachstellen. Alles, angefangen vom Router, schnurlosen Geräten oder einem Smartphone bis hin zum PC, Apple Macintosh, einer Web-, ERP-Anwendung oder Datenbank, kann eine bekannte Schwachstelle enthalten. Und es ist Ihre Aufgabe, jeden dieser Fehler zu kennen und in Ihrer eigenen IT-Umgebung aufzuspüren. Messen Sie die Anzahl und die Art der vorhandenen Schwachstellen, können Sie deren Auswirkungen mindern. Überwachen Sie die Schwachstellen nicht, werden Sie Konzeptionsfehler in Ihrer Systemumgebung nie maßgeblich reduzieren können.

Die falsche Anwendung von Funktionen, das zweite Hauptproblem, umfasst unter anderem tägliche Funktionen eines Computernetzwerks, Systems oder einer Applikation und die Arten der falschen Anwendung. Sehen Sie sich die normalen Funktionen eines Computers aus der Perspektive eines Angreifers an, und Sie werden das Problem sofort erkennen. Jetzt nutzen wir noch einmal die Analogie zum Auto. In einem Auto dient das Gaspedal zum Antrieb des Fahrzeugs. Wenn Sie jedoch das Gaspedal statt der Bremse verwenden, kann dies zu Verletzungen oder Todesfällen führen. In der Computerwelt entspricht das in etwa einem DoS-Angriff (Denial-of-Service). Die zentrale TCP/IP-Funktion, die die Internetverbindung ermöglicht, kann auch gegen sich selbst gerichtet werden und in Nullkommanichts Ressourcen vernichten. Diese Funktionen sind nicht ursprünglich böswillig, aber wenn sie auf "böswillige" Weise verwendet werden, verursachen sie Probleme. Die Messung falscher Anwendungen von Funktionen ist nicht ganz einfach, aber ein Großteil kann messbar gemacht werden, indem Sie die Konfigurationseinstellungen Ihrer IT-Umgebung untersuchen und sie mit den bekannten bewährten Praktiken vergleichen: mit IT-Kontrollen oder Compliance-Vorlagen. Die Computer- und Sicherheitsbranche ist inzwischen so weit gereift, dass ihnen bewusst ist, dass bestimmte Standardfunktionen entfernt werden müssen, um Assets sicherer zu machen. Diese bewährten Praktiken müssen in Ihrer Umgebung implementiert werden. Wenn Sie diese bekannten "guten" Richtlinien für die Assetkonfiguration nicht befolgen, werden Sie nicht nur Probleme mit Sicherheitsvorfällen, sondern auch mit beträchtlichen Compliance-Verstößen haben.

Tatsächlich hat die Sicherheitsbranche eine Anzahl von Richtlinien für empfohlene Praktiken ausgegeben (beispielsweise PCI, HIPAA, SOX, GLBA, ISO 27002 und CoBiT), die Unternehmen eine Anleitung bei der Einrichtung ordnungsgemäßer Sicherheitskonfigurationen geben. Die Verwendung dieser Benchmarks in Ihrer Umgebung ist ein zentraler Bestandteil bei der Messung  falsch verwendeter Funktionen.

Angriffsvektoren

Der erste Angriffsvektor ist der böswillige Hacker. Die Quantität und Qualität von Hackern in der gesamten Welt zu bemessen ist schwierig, aber wir können ihre Fähigkeit uns anzugreifen einschätzen, indem wir die Durchlässigkeit Ihres Netzwerks messen. Je offener und verfügbarer Ihrer Ressourcen für Angreifer sind, desto größer ist die Wahrscheinlichkeit, dass ein Angriff Erfolg hat. Daher sollten Sie die Anzahl der offenen Ports von außen und von innen messen und diese in Echtzeit (oder so "echt" wie möglich) überwachen.

Der zweite Angriffsvektor ist die Fehleinschätzung durch den Benutzer. Es wird häufig behauptet, dass unsere Systeme tatsächlich sicher sein könnten, wenn es keine Benutzer gäbe. Aber gerade diese Nutzer sind der Grund dafür, dass wir nicht arbeitslos sind. Kurz gesagt: Wenn ein ungeschulter Nutzer und eine Angriffsmöglichkeit zusammentreffen, haben Sie ein Problem. Der typische Fall ist ein Nutzer, der auf einen Link in einer E-Mail klickt oder einen E-Mail-Anhang ausführt. Trifft ein Nutzer solch schlechte Entscheidungen, setzt er sich selbst einem Angriff aus. Solange die Benutzer nicht ausreichend geschult sind, müssen wir uns auf die Probleme mit Konzeptionsfehlern und falsch verwendeten Funktionen konzentrieren. Darauf sind die meisten Sicherheitsprodukte und -leistungen ausgerichtet. Dabei wird leicht übersehen, welche Bedrohung jedes einzelne dieser Probleme darstellt. Deshalb ist die Einschätzung des Benutzerbewusstseins und der Sicherheitsfähigkeit ein zentraler Punkt. Durch das regelmäßige Ausfüllen von Fragebögen in kurzen Abständen und der Vergabe von Punkten, können Mitarbeiter im Sicherheitsbereich leichter schätzen, wie groß die Wahrscheinlichkeit ist, dass ihre Benutzer Risiken ausgesetzt sind.

Um im Cyber-Krieg zu bestehen, müssen wir alle zentralen Probleme kennen und sie sowohl einzeln als auch gemeinsam angehen. Das erreichen wir mithilfe von Risiko- und Compliance-Lösungen. In der Auto-Analogie verfügen wir über ein Armaturenbrett, Spiegel, Messgeräte, ein System für die elektronische Stabilität und viele andere Faktoren, die unsere Chancen auf ein sicheres Fahren erhöhen.

Compliance

Compliance bedeutet einfach die Einhaltung von Regeln. Es handelt sich um die Einschätzung, ob wir die Regeln befolgen, die uns davor bewahren, falsche Entscheidungen zu treffen. Für die Einhaltung der Regeln auf der Straße, sorgen die Polizei und die Straßenverkehrsordnung. Wenn Sie zu schnell fahren, bekommen Sie einen Strafzettel. Wenn Sie zu dicht auffahren, erhalten Sie einen Strafzettel wegen Nötigung. In der Welt der Computer können Wirtschaftsprüfer feststellen, dass Ihr Unternehmen wesentliche oder signifikante Schwachstellen aufweist. Möglicherweise erhalten Sie eine Geldstrafe durch die überwachenden Unternehmen (beispielsweise Visa oder MasterCard). Zusätzlich zu Geldstrafen können weitere beträchtliche Kosten auf Ihr Unternehmen zukommen. Möglicherweise müssen Sie für den Aufwand zahlen, dass die betroffenen Parteien (Kunden) über eine Sicherheitslücke informiert werden. Sie können sich Compliance wie den Erfolg oder das Versagen beim Befolgen der Straßenverkehrsordnung vorstellen. Bei Versagen tritt ein negatives Ergebnis ein. Bei Erfolg ist die Wahrscheinlichkeit eines negativen Ergebnisses viel geringer.

Durch die Einschätzung von Risiken bekommen Sie Transparenz über den Status Ihrer Compliance. Wie neueste Beispiele jedoch zeigen, ist Compliance nicht mit Sicherheit gleichzusetzen. Letztes Jahr war die Lebensmittelkette Hannaford Brothers in einen spektakulären Fall verwickelt. Dieses Jahr wurde festgestellt, dass das Unternehmen Heartland Systems PCI-konform war und dennoch Hackerangriffen zum Opfer fiel, bei denen etwa 100 Millionen Kundenkonten erbeutet wurden [Open Security Foundation, DataLossDB]. Compliance bedeutet noch keine Sicherheit. Compliance ist nur die Mindestanforderung. Erst ein Management-Programm für Sicherheitsrisiken führt zu echter Sicherheit. Wir beginnen dieses Programm mit Risiko-Management und Compliance. Dadurch können wir die Ursache und nicht nur die Symptome des Problems angehen.

Unser Mantra liegt in der Einschätzung der Schlüsselindikatoren, darin, das Risiko von Sicherheitslücken und Nicht-Compliance zu senken und letztendlich auch nicht‑unternehmerische Risiken in unseren Alltag einzubeziehen.


Autor: Stuart McClure ist Vice President im Bereich "Operations and Strategy" der Abteilung "Risk and Compliance" bei McAfee. Er war zuvor Senior Vice President bei McAfee Avert Labs und hatte mehrere höhere Positionen im Bereich Sicherheit bei Kaiser Permanente, Foundstone, Ernst & Young sowie in der Kommunalverwaltung und Landesregierung inne. McClure ist Coauthor von Das Anti-Hacker-Buch (Osborne/McGraw-Hill), das in mehr als 30 Sprachen übersetzt wurde.


[Quelle: McAfee Security Journal, Sommer 2009, Bildquelle: iStockPhoto]