Weltes Welt: Die Perimeter-Illusion

Kolumnist Beat Welte zieht aus Game of Thrones Lehren für die IT-Sicherheit.
 
Manchmal bieten auch scheinbar anspruchslose Seifenopern aus der Glotzkiste wertvolle Parabeln – so man sie denn sehen will. Als Beispiel: Das stark befestigte Schloss Winterfell im Serien-Fantasyknüller Game of Thrones galt als unüberwindlich hinsichtlich aller klassischen Belagerungstaktiken. Eingenommen wurde sie dann trotzdem, freilich durch List und Tücke – oder aus Sicht der Angreifer: mit Köpfchen statt Rammbock.
 
Was das mit IT zu tun hat? Sehr viel. Denn in der IT hält sich seit Jahrzehnten die Vorstellung, dass Daten und Applikationen durch möglichst hohe und dicke Wälle um das eigene Unternehmen zu schützen seien – im IT-Jargon nennt man das Perimeter-Sicherheit. Dass dieses Konzept seine Tücken hat, wurde spätestens beim Angriff auf den bundeseigenen Rüstungsbetrieb und Cybersecurity-Spezialisten Ruag bekannt: Rund 14 Monate tobten sich die Angreifer unbemerkt hinter dem überwundenen Perimeter aus und ergatterten unter anderem die Daten einer hoch geheimen Elitetruppe. Das Beispiel zeigt: Wenn der Damm gebrochen ist, gibt es in diesem Konzept kein Halten. Elegant und mit Köpfchen statt Rammbock wird der Perimeter oft durch Social Engineering überwunden, in der banalsten Form mit dem vermeintlich verlorenen USB-Stick auf dem Parkplatz, den ein Mitarbeiter in sein Notebook steckt. Da nützt der bestgeschützte Perimeter nicht die Bohne. Kommt hinzu, dass die scharfen Unternehmensgrenzen im Zeitalter von Cloud und geschäftspartnerschaftlicher Zusammenarbeit zunehmend verschwimmen und ein Unternehmen nur indirekt Einfluss darauf hat, wie gut geschützt die Daten in der Cloud wirklich sind.
 
Die Lösung, so der Security-Experte Andreas Dorta des Schweizer IT-Security-Beratungshauses Prewen, ist so offensichtlich wie banal: "Die Daten sind im Kern und durchgängig zu schützen, und zwar vom eigenen Rechenzentrum bis hin in die Cloud oder beim Geschäftspartner", sagt er. "Und dies unabhängig von der Applikation, den verwendeten Systemen sowie in sämtlichen Kommunikationen und im Datenaustausch." Durch Verwendung von Format-erhaltender Verschlüsselung bei Applikationen und Datenbanken beziehungsweise Document Rights Management Systemen bei Dokumenten lassen sich die Informationen so verschlüsseln, dass sie auch dann nicht gelesen werden können, wenn sie – wie im Ruag-Beispiel – in falsche Hände geraten. Weitere Bausteine einer umfassenden Sicherheitsstrategie sind Zugriffsmanagement, damit die richtigen Personen den richtigen Zugriff auf die richtigen Daten haben sowie der Schutz der Privilegierten, damit die Benutzerkonten der Berechtigten zuverlässig gegen Hacking-Angriffe geschützt werden.
 
Ist das umsonst zu haben? Nein. Indes brüsten sich all Unternehmen damit, dass Kundenzufriedenheit von grösster Bedeutung sei. Denn mit zufriedenen und loyalen Kunden lassen sich die eigentlichen Ziele erreichen: den Umsatz und den Gewinn maximieren. Der jüngst aufgezeichnete "schlimmste Datenverlust aller Zeiten" der US-Kreditrating-Agentur Equifax, bei dem 143 Millionen Personen betroffen sind, ist nur ein Beispiel dafür, wie diese Unternehmensziele durch Sicherheitslücken massiv korrumpiert werden. Denn wer wollte mit einem Unternehmen zu tun haben, dass die Kundendaten nicht schützen kann? Unternehmen tun mithin gut daran, IT-Security in der Prioritätenliste schleunigst nach oben zu verschieben – damit sie in den Prioritätenliste ihrer Kunden nicht in die "No-Go-Zone" absinken. (Beat Welte)
 
Beat Welte war über 25 Jahre in führenden Positionen bei verschiedenen grossen und kleinen IT-Unternehmen tätig. Er arbeitet heute selbständig als Strategie- und Kommunikationsberater – und ist kritischer Beobachter der IT-Branche.