professionelles Netzwerk
Demilitarisierte Zone - DMZ
internes LAN
Sicherheitsüberwachung
Sicherheitskultur und Akzeptanz
 

 
Der abschließende Teil dieser Betrachtung soll einen groben Blick auf die professionelle Organisation von IT-Sicherheit verschaffen. Sie verlangt nach einer klaren physikalischen Ordnung, um Quereinstiege und Hintertüren zu vermeiden.
 

 

Beispiel für ein professionelles Firmennetz
  

Ohne eine Firewall am unmittelbaren Netzeingang kommt kein professionelles Netzwerk aus. Erforderlich ist eine Hardware-basierende Firewall mit nur einem Eingang und einem Ausgang, die auch nur eine einzige Aufgabe hat: den aus- und vor allem eingehenden Datenverkehr zu überwachen, zu analysieren, nötigenfalls zu blockieren und ganz besonders alle Anstrengungen von außen zu unterbinden, protokollierend oder steuernd auf das Innere des Unternehmens Einfluss zu nehmen (im Schaubild: links oben, roter Block, FW1).

Im Hinblick darauf, dass immer mehr Dienste mit einem unmittelbaren Außenkontakt für E-Mail oder die Unternehmenspräsentation gefordert werden (Internet-Shopping, eGovernment), müssen Firewalls in einem gewissen Maße Außenkontakte zulassen. Es hat sich deshalb in der Praxis mehr und mehr durchgesetzt, dass vor der eigentlichen (produktiven) Unternehmens-IT eine besonders geschützte Zone errichtet wird, die nur für die Außenkontakte bestimmt ist (demilitarisierte Zone - DMZ; hellblau unterlegter Bereich).
 

Sie muss von der Unternehmens-IT mit einer weiteren und besonders restriktiv arbeitenden Firewall getrennt werden (links oben, roter Block, FW2).

Rechts oben ist im Bild ein sogenannter Honeypot vorgesehen. Es handelt sich dabei um eine Art Hinterzimmer, in dem interessante und in aller Regel falsche Daten bereit gehalten werden. Der Honeypot ist entweder durch keine Firewall geschützt oder durch eine, die verhältnismäßig einfach überwunden werden kann. Zu ihm und seinen "Spieldaten" sollen Angreifer gelockt werden, um sie von dem internen LAN abzulenken und bei ihren Handlungen beobachten zu können.

Ich halte das Honeypot-Konzept für eine informationstheoretische Spielerei mit mehreren Nachteilen: Es akzeptiert, dass sich Angreifer in der DMZ austoben und die dort vorgehaltenen, keineswegs unwichtigen Daten kompromitieren können. Dazu vernachlässigt es womöglich den sicheren Betrieb der Firewall "FW1" und verursacht wirtschaftlich fragwürdige Kosten für die Technik und den Betrieb des Honeypots.
 

 

Demilitariserte Zone (Ausschnitt)
  

In die DMZ gehört auf jeden Fall der Webserver (gelber Block, WS), auf den die Kunden und die Öffentlichkeit zugreifen können. Je nach Bedarf muss ihm auch ein Datenbankserver zur Seite gestellt werden, der jedenfalls einen Teil der Unternehmensdaten enthält, die der Öffentlichkeit zugänglich gemacht werden sollen.

Im Beispiel ist auch der Mailserver in der DMZ platziert worden (gelber Block, MS). Seine Aufgaben können jedoch auch getrennt werden. Dann werden nur die Funktionalitäten zum E-Mail-Versand in der DMZ vorgehalten, die Verwaltung der Postfächer für die Unternehmensangehörigen wird dazu in den geschützten Bereich verlagert, also ins Unternehmensinnere.
 

Die Entscheidung über die Architektur hängt ab von einer Abwägung zwischen den Risiken und den Kosten.

Im Beispiel ist auch der Proxy-Server (hellblauer Block, PS) in der DMZ. er verwaltet den Zugang der Mitarbeiter zum Internet und zwischenspeichert die Inhalte aus dem Internet. Auch seine Aufgaben können gesplittet werden. Dann dient er in der DMZ nur als Zwischenspeicher (Cache) und wird die Benutzerverwaltung im geschützten Unternehmensinneren geleistet.

Aufgrund einer Risiko- und Wirtschaftlichkeitsuntersuchung muss auch entschieden werden, wo und wie der Server für die Telekommunikation eingerichtet wird (rosa Block, T). Auch insoweit kann es sich anbieten, nur die Vermittlungsfunktionen in die DMZ zu verlegen, die Verwaltung der eingehenden Faxe und Sprachnachrichten hingegen in den geschützten inneren Bereich des Unternehmens.

internes LAN (Ausschnitt)
 

 
Die innere Firewall (FW2) muss so eingerichtet werden, dass sie wirklich nur die nötigsten Datenverbindungen zulässt.

Alle Daten, die schutzwürdig sind, gehören in den inneren, besonders geschützten Bereich. Das sind vor allem die Datenbanken und Dokumentensammlungen (gelbe Blöcke, DB und FS [Fileserver]) sowie die Ausfall- und Datensicherungskomponenten (gelber Block, BS [Backup]).
 

 
Diese technischen Einrichtungen gehören auch nicht in irgendeine Abstellkammer, sondern in einen zugangsgesicherten Serverraum mit einer Klimaanlage, mit einer unabhängigen Stromversorgung - USV - und einer Zugangssicherung. Sie sind das Herzstück des Unternehmens (grün unterlegter Bereich).

Ausfallsysteme und das Archiv für die Datensicherungsspeicher gehören in einen räumlich weit getrennten Serverraum. Die beste Ausstattung für die Daten- und Ausfallsicherung nützt nichts, wenn ein Feuer oder ein brutaler Angriff beide auf einen Schlag vernichten kann.
 

Neben der Sicherheits- und Firewalltechnik, allgemein zusammengefasst unter "Security", haben sich mehrere Modelle und Strategien etabliert, die sich der aktiven Sicherheitsüberwachung widmen.

Der Grundgedanke dafür ist, dass allein nur die Reaktion auf Sicherheitsgefahren nicht ausreicht, sondern dass Sicherheitsstrategien entwickelt werden müssen, die vorausschauend sind und die noch unbekannte Quellen für Beeinträchtigungen schließen oder zumindest überwachen, um gefährliche Ereignisse und Allgemeinumstände zu melden.

Die Palette dieser Maßnahmen reicht von der Serverraumüberwachung (Rauchmelder, Temperatur, Bewegungsmelder) über die Betriebsbereitschaft (Auslastung, Defekte) über die Netzverfügbarkeit bis hin zu Umweltmeldungen (Hochwasser- und Unwettermeldungen).
 

An erster Stelle sind dazu die Methoden zur Intrusion Detection zu nennen, die sich der Erkennung, Beobachtung und Abwehr von Angriffen widmen. Sie benötigen eine ausgefeilte und teure Technik, haben aber zwei Zielrichtungen.

Zu erkennen, dass mein IT-System angegriffen wird, ist vollkommen in Ordnung und besondere Kosten wert (auch wegen der Personalkosten!). Die Täuschung eines Angreifers, der in einen Honeypot gelockt wird (siehe oben) und dort banale Informationen enthält, dürfte hingegen wirtschaftlich ineffektiv sein.
 

 
Das sicherste IT-System ist das, das den IT-Verantwortlichen den höchsten Grad an Kontrolle und den Mitarbeitern die geringste Möglichkeit zur Manipulation lässt. Das gilt nicht nur wegen mutwilliger Provokationen der Mitarbeiter, sondern vor allem deshalb, damit Malware und Hacker nicht die Systemrechte der Mitarbeiter für ihre Missbräuche ausnutzen können.

Sicherheitsbewusste IT-Organisationen neigen dazu, ihre eigenen Sicherheitsinteressen in den Vordergrund zu stellen und gleichzeitig die Sicherheitsinteressen anderer zu ignorieren.

eBay ist ein Beispiel dafür, das mir besonders aufgefallen ist und deshalb hervorgehoben wird. Dieses Unternehmen gibt umfassende Informationen an Strafverfolgungsbehörden, wenn sie sich eBay öffnen. Das widerspricht aber der Sicherheitsphilosophie der Polizei und der Staatsanwaltschaft, die gerne auch ihre eigenen IT-Systeme schützen wollen.

Eine Sicherheitskultur nach dem Grundsatz, "ich akzeptiere Deine Sicherheitsinteressen und Du meine", gibt es nicht und ist auch nicht (so richtig) in Aussicht.

Solange Unternehmen und Behörden die IT-Organisation und ihre Ausrichtung nicht zu ihrem relevanten Unternehmensziel machen, werden sie die unternehmenspsychologischen und wirtschaftlichen Dimensionen nicht begreifen. Die Informationstechnik hat in den letzten beiden Jahrzehnten heftig dazu beigetragen, Arbeitsabläufe zu optimieren und die Produktivität zu erhöhen. Sie war wohlwillkommen, um wirtschaftliche Kennzahlen zu erreichen. Das hat sie getan.

Jetzt ist eine Umbruchsituation erreicht. Ohne IT können große (und ganz viele kleine) Organisationen nicht mehr handeln und wirtschaftlich tätig werden.

Dadurch werden die Folgekosten interessant.

Die Unternehmens-IT muss jetzt transparent und gestaltbar werden. Sie muss sich wandelnden Unternehmenszielen (Enterprise-Management) und den internen Unternehmensprozessen öffnen.
 

Die Unternehmensleitung und die Mitarbeitervertretung haben gemeinsame, aber auch elementar entgegengesetzte Interessen. Beide gilt es, auch im Hinblick auf die IT, zu bedienen und zu sichern.

Die Arbeitnehmerinteressen spielen für die Strategien zur IT-Sicherheit bislang keine Rolle. Das wird sich ändern müssen. Aber auch die Unternehmensleitungen werden im Hinblick auf ihre Unternehmensziele neue Perspektiven entwickeln müssen
Je weniger Einfluss die Mitarbeiter auf ihre Arbeitsumgebungen haben, desto größer sind die Möglichkeiten ihrer Unternehmensleitung, Arbeits- und Leistungskontrolle auszuüben (Big Brother).

Je mehr die Unternehmensleitung die Gestaltungs- und Zugriffsmöglichkeiten ihrer Mitarbeiter einschränkt, desto weniger Ideen, Innovationen und Genialitäten kommen ihr zu Gute. Gleichzeitig sinkt die Arbeitszufriedenheit.

Die Ära der Kostensenkung ist vorbei. Künftig ist es erforderlich, einen vernünftigen Ausgleich zwischen Unternehmensgewinnen, Arbeitnehmerinteressen und (neu) IT-Sicherheit zu erlangen.