Macht Festungen zu Marktplätzen!
Von Dr. Dr. Albrecht Fritzsche
In schöner Regelmäßigkeit berichten die Medien von Hackerangriffen auf unternehmensinterne IT-Systeme. Der Schaden, der dabei entsteht, kann beträchtlich sein. Dies gilt insbesondere dann, wenn die betroffenen Unternehmen wichtige gesellschaftliche Funktionen übernehmen. Im April 2015 verschafften sich Hacker Zugang zu den IT-Systemen des französischen Fernsehsenders TV5Monde. Die Angreifer, deren Spur später nach Russland zurückverfolgt wurde, legten den kompletten Sendebetrieb lahm und stellten islamistische Texte auf die zugehörigen Webseiten.
Besonders pikant wurde der Fall, als sich kurz darauf herausstellte, dass TV5Monde wichtige Grundregeln der IT-Sicherheit missachtet hatte. Die Mitarbeiter hatten sich Zugangsdaten zu IT-Systemen auf Zetteln notiert und am Arbeitsplatz aufgehängt. Aber nicht nur das: Während eines Interviews, das in den Redaktionsräumen stattfand, wurden diese Daten auch noch gefilmt und im eigenen Programm auf der ganzen Welt verbreitet.
Systemschutz geht bis zur Erstarrung
TV5Monde musste in der Folge viel Spott ertragen. Aber so mancher Experte wird großes Verständnis für die Kollegen des französischen Fernsehsenders gehabt haben. IT-Sicherheit verursacht großen Aufwand. Das technische Instrumentarium entwickelt sich ständig weiter; es gibt unzählige Details, die man gleichzeitig im Auge behalten muss; und obendrein soll der Geschäftsbetrieb durch die Sicherheitsmaßnahmen möglichst wenig beeinträchtigt werden. Dabei kann schnell eine Sicherheitslücke übersehen werden – gerade in kleinen oder mittelständischen Unternehmen mit begrenzten Ressourcen.
Albrecht Fritzsche, promoviert in den Fächern Industriebetriebslehre und Technikphilosophie, war 15 Jahre als IT-Experte und Managementberater in der Automobil- und Luftfahrtindustrie tätig. Er arbeitet am Institut für Wirtschaftsinformatik der Universität Erlangen-Nürnberg und ist dort unter anderem für die Weiterentwicklung offener Innovationsmodelle im Rahmen des Begleitforschungsprojekts VeSiKi zum Förderschwerpunkt des BMBF zur IT-Sicherheit kritischer Infrastrukturen verantwortlich (vom BMBF gefördert unter FKZ: 16KIS0214).
Was also ist zu tun? Wie kann man verhindern, dass es dem eigenen Unternehmen so ergeht wie TV5Monde oder gar schlimmer? Müssen die eigenen EDV-Systeme komplett von der Außenwelt abgeschottet werden, mit allen Nachteilen für den Geschäftsbetrieb? Gibt es Alternativen und, wenn ja, kann sich auch ein kleineres Unternehmen diese Alternativen leisten?
Festungsmauern behindern den freien Handel
Im Grunde genommen ist das Problem, um das es hier geht, nichts Besonderes. Schon immer mussten sich Menschen die Frage stellen, wie sie sich am besten schützen und welchen Aufwand sie dazu betreiben sollten. Ein gutes Beispiel dafür bietet die Geschichte der Stadtbefestigung: Über viele Jahrhunderte war jede größere Stadt von einer Mauer umgeben. Dadurch konnte man genau kontrollieren, wer die Stadt betrat und verließ und welche Waren transportiert wurden. Ungebetene Besucher konnte man aussperren, und auch vor Gewaltanwendung war man recht gut geschützt.
Im 17. Jh. erlebte die Stadtbefestigung eine letzte Blüte. Es entstanden massive Bollwerke, die durch ihre sternförmige Anlage jeden Angriffswinkel einsehen und auch dem stärksten Kanonenbeschuss noch standhalten konnten. Zusammen mit Wassergräben und vorgelagerten Hindernissen bildeten diese Befestigungen wie Fort George in Schottland oder die Anlagen von Vauban Wunderwerke der Ingenieurskunst, die auch heute noch Staunen hervorrufen. Wenige Jahrzehnte später wurden die meisten von ihnen jedoch wieder abgetragen. Nur für einige militärische Garnisonen blieben sie erhalten. Warum?
Ein Bild der Garnison von Neuf-Brisach am Rhein gibt eine Antwort auf diese Frage: Die Befestigung stand in keinem Verhältnis mehr zu dem Raum, der dadurch geschützt wurde. Dies war nur für ganz besondere Objekte sinnvoll. Städte, die von industrieller Produktion und Warenverkehr lebten, wurden durch solche Befestigungen in ihrer Entwicklung viel stärker behindert als sie von der erhöhten Sicherheit profitierten.
In der Folge fanden die Städte ganz andere Wege, um Sicherheit zu schaffen, angefangen bei der Einrichtung von Polizeiposten bis zum Aufbau eines systematischen Verwaltungs- und Meldewesens. Statt sich nach außen abzuschotten, konzentrierten sich die Städte von nun an darauf, die Vorgänge im Stadtgebiet besser zu kontrollieren und schnell auf Krisen und Konflikte reagieren zu können.
Vernetztes Arbeiten sprengt abgeschottete Systeme
Was IT-Sicherheit betrifft, scheinen Unternehmen heute in einer ganz ähnlichen Lage zu sein. Überall dort, wo Computer benutzt werden, ist eine Abschottung nach außen nicht mehr durchführbar. Geschäftspartner tauschen laufend sensible Informationen aus, Software wird über das Internet aktualisiert und die Instandhaltung der Systeme wird von externen Fachleuten übernommen. Außerdem wird es zunehmend schwerer, die geschäftliche und private Nutzung von Informationstechnologie zu unterscheiden. Mitarbeiter bringen ihre eigenen mobilen Endgeräte zur Arbeit mit (BYOD) oder nutzen die Geräte, die sie dort bekommen, mit Duldung der Unternehmen auch zu Hause. Dies alles erhöht die Handlungsoptionen der Unternehmen und trägt entscheidend zu ihrer Wettbewerbsfähigkeit bei. Gleichzeitig eröffnet es jedoch unzählige Einfallstore für Angriffe von außen.
Teil 1 versucht es mit den ältesten Tricks. Warum? Weil sie immer noch funktionieren. Teil 2 arbeitet sich durch den Risikokatalog bis hin zu den Haftungsfragen. Teil 3 befasst sich schließlich mit den ins Kraut schießenden Compliance-Vorschriften. Ein Sonderbeitrag befasst damit, wie die aktuellen Cyberbedrohungen 2017 zu bewerten sind.
Für die Unternehmen sind also moderne Zeiten angebrochen. Es ist nicht mehr möglich, die eigenen Informationssysteme mit einer Mauer zu umgeben, die alle fremden Einflüsse fernhält. Ein offener Austausch mit anderen ist zu wichtig geworden, als dass ein Unternehmen heute noch darauf verzichten könnte. Dies gilt insbesondere gerade auch für kleine und mittelständische Betriebe, die auf Partner mit anderen Kompetenzen angewiesen sind, um produktiv tätig werden zu können. Aber wie kann ein Sicherheitskonzept aussehen, dass diesen Tatsachen Rechnung trägt?
IT-Sicherheitskonzepte für offene Unternehmen
Zunächst einmal kann es hilfreich sein, das Thema Sicherheit aus einer neuen Perspektive zu beleuchten. Ausgangspunkt ist dabei nicht mehr ein abgeschlossener Unternehmensbetrieb, der dann punktuell nach außen geöffnet wird, sondern vielmehr das genaue Gegenteil: Das Unternehmen wird grundsätzlich als offen verstanden.
Damit wird klar, dass jede Abtrennung der eigenen Systemlandschaft von externen Kräften aktive Maßnahmen erfordert, die strategisch durchdacht werden müssen. Dabei geht es nicht mehr darum, alles von der Außenwelt abzuschotten, sondern für jeden einzelnen Themenbereich individuell zu entscheiden, auf welche Weise er am besten zu schützen ist. Als Entscheidungskriterium dient dabei die Aufrechterhaltung des eigenen Geschäftsbetriebs. Sie zu gewährleisten, können ganz unterschiedliche Maßnahmen sinnvoll sein:
- Existenziell wichtige Daten und Prozesse müssen weiterhin unzugänglich für alle Eindringlinge sein. Soweit es möglich ist, können hierzu einzelne, isolierte Systeminseln geschaffen werden, die nur einfache Textformate und Trägermedien für den Datenaustausch nutzen. Ähnlich ist dort zu verfahren, wo gesetzliche Regelungen zu Datenschutz und Datensicherheit vorliegen.
- Kritische Systembereiche müssen stets rekonstruierbar sein und neu gestartet werden können. Dafür sind regelmäßige Sicherheitskopien notwendig. Wichtig ist, diese Backups von den laufenden Systemen getrennt aufzubewahren, damit nicht beide gleichzeitig geschädigt werden können. Auf über ausgedruckte Kopien könnte man hier nachdenken.
- Das Vorgehen in Krisenfällen und der Neustart nach einem Zusammenbruch der Systemwelt sollten regelmäßig geübt werden. Das Unternehmen sollte stets in der Lage sein, den normalen Geschäftsbetrieb schnell wiederherzustellen, idealerweise ohne dabei einen Datenverlust zu erleiden. Dazu müssen alle Beteiligten genau wissen, was sie zu tun haben und worauf es dabei ankommt.
- Über den Zustand der Systeme sollte größtmögliche Transparenz herrschen. Dazu gehört nicht nur die Identifikation bekannter Schadsoftware, sondern auch die Zuweisung verschiedener Risikoklassen für Objekte, bei denen man sich nicht sicher sein kann, ob und in welcher Weise sie schon beeinträchtigt sind oder kurzfristig beeinträchtigt werden können.
Angesichts der Größe und Komplexität moderner EDV-Systeme ist es fast unmöglich auszuschließen, dass auf irgendeinem Gerät ein Prozess abläuft, der sich schädlich auf den Unternehmensbetrieb auswirkt. Dabei muss es sich noch nicht einmal um bösen Willen handeln. In vielen Fällen kann die schädliche Wirkung des Prozesses gar nicht beabsichtigt sein. EDV-Systeme verhalten sich hier nicht anders als alle übrigen komplexen Systeme, vom menschlichen Körper bis hin zur Gesellschaft, in der wir leben. Auch in Gegenwart schädlicher Elemente können solche Systeme aber funktionsfähig sein, wenn sie resilient sind, wenn sie in der richtigen Weise organisiert und gesteuert werden.
Fazit: Sicherheitskonzepte sind eine Entwicklungschance
In den Unternehmen ist also ein Umdenken hinsichtlich der IT-Sicherheit notwendig. Dies scheint zunächst einmal nur weiteren Aufwand zu schaffen, der die Geschäftstätigkeit belastet. Tatsächlich ergeben sich durch Offenheit in der IT-Sicherheit aber auch neue Möglichkeiten zur Optimierung und Weiterentwicklung der Betriebe: Je mehr Systembereiche so gestaltet werden, dass Einflüsse von außen keine weitere Störung verursachen, desto einfacher wird eine Zusammenarbeit mit anderen Parteien. Dort, wo keine existenziell wichtigen Daten und Prozesse betroffen sind, können Unternehmen gemeinsame Lösungen entwickeln, Standards setzen und zusätzliche Aufwände an Experten auslagern.
Unternehmen, die bei der IT-Sicherheit eine Vorreiterrolle annehmen, haben im Übrigen auch noch die Möglichkeit, auf Basis der Expertise, die sie aufbauen, selbst neue Geschäftsbereiche zu entwickeln, in denen sie für andere als Dienstleister auftreten. Gerade im Bereich von Risikobewertung, Stresstests und resilienter Systemarchitekturen herrscht derzeit noch Nachholbedarf. Da sich die Anforderungen je nach Branche stark unterscheiden können, bieten sich für Mittelständler mit spezifischen Kompetenzen viele Chancen, mit eigenen Innovationen neue Märkte zu erschließen.