Die Deutsche Sprache ist im allgemeinen ja sehr spezifisch, es gibt sehr viele Möglichkeiten Dinge und Zustände zu be- und umschreiben, das haben wir manch anderen Sprachen voraus.
Jedoch gerade im Bereich der Sicherheit haben wir eine Unschärfe, die im Englischem genauer differenziert wird, Sicherheit wird hier in Saftey und Security unterschieden. Warum haben wir eigentlich nur ein Wort und was genau ist der Unterschied? Auf der Suche nach einer Antwort bin ich auf verschiedene Punkte gestoßen.
Zum ersten ein paar Worte zur Definition, am besten gefällt mir folgendes: Safety schütz die Umgebung vor dem System, Security das System vor der Umgebung. Mit anderen Worten Saftey ist der Bereich in welchem man sich darum bemüht, dass ein System so funktioniert, wie es, auch mit Bezug auf Sicherheit, erdacht worden ist, Security umfasst den Themenbereich, das bei der Umsetzung der Funktion keine unerwünschten Auswirkungen für andere entstehen. Klingt ein wenig kompliziert und lässt sich auch nicht so einfach auf Informationssicherheit übertragen, oder? Aus Sicht des CIA Triangel würde ich also CI zu Security und A zu Safety ordnen, da Verfügbarkeit die Funktion bereitstellt, wo hingegen Vertraulichkeit und Integrität verhindern, das die verarbeitete Information anders als für die vorgesehene Funktion verwendet wird.
An dieser Stelle finde ich es gut, dass wir im Deutschen nur ein Wort haben, das beide Bereiche, bzw. CIA gesamt umschreibt, nämlich Sicherheit. So entsteht die Notwendigkeit der Unterscheidung nicht. Will man dennoch einen Unterschied herausarbeiten sie bietet sich an von Funktionssicherheit für Saftey zu sprechen und von Angriffsschutz bei Security, den im Deutschen können wir prima Worte zusammensetzen und lange Wortketten bilden ;o)
Was meinen Sie?
Neulich war ich in eine Diskussion über "Social Networks" verwickelt, es war eine spannende Diskussion mit unterschiedlichen Aspekten und Meinungen. Es werden ja zum einen immer mehr Netzwerke, zum anderen immer mehr Mitglieder gezählt. Auf der einen Seite sind diese Netzwerke ja sehr praktisch, man kann Freunde und Bekannte pflegen und hat die Daten seine Kollegen und Geschäftspartner immer aktuell, je nach dem in welcher Art von Netzwerk man sich befindet. So kommt man auch schnell auf die Nachteile, es gibt viele verschiedene Netzwerke und wenn man sich überall einträgt und seine Daten pflegt ist man schon ziemlich beschäftigt. Dies wurde mir im Besonderen klar, als ich ein Mail von einem Bekannten bekommen habe, der in seiner Unterschrift sage und schreibe über 10 Netzwerke aufzählte, repräsentiert über die immer mehr anzutreffenden kleinen Link-Icons. Analysten prophezeien schon, das die Netzwerke zur Unterstützung der sozialen Integration bald auch kritische Erfolgsfaktoren für Firmen werden und im Zuge von Web 2.0 Einzug in das Service Portfolio von IT Abteilung halten werden.
Was werden also die nächsten Schritte der Netzwerke sein? Protokolle zum automatischen Abgleich und zur Synchronisation von Kontaktdaten und die Einführung von APIs, um die Daten auch programmatisch ansprechen zu können liegen auf der Hand. Doch wie sieht es dabei eigentlich mit der Sicherheit aus? Von vielen Seiten werden die unterschiedlichen Netzwerke stark kritisiert, da die Daten ja mehr oder minder frei einsehbar sind. Zudem werden durch Verknüpfungen mit anderen Mitgliedern Möglichkeiten zur Profilierung von Menschen eröffnet, von denen früher nur geträumt werden konnte. Ein Screening von Personen wird somit stark vereinfacht, wenn das gespeicherte alles so stimmt?! Und wenn die ganzen Netzwerke auch noch miteinander verknüpft und synchronisiert werden machen wir uns selbst gläsern. Von Geschäftsdaten über die Videobörsen, von Alumni über Partnerkontakte, von Adressverwaltung über Hobbys, von Freundschaftsbörsen zu Tauschbörsen, alles wird einsehbar und viele Internet Nutzer veröffentlichen Ihre Daten freizügig. Test mit "Lock-Accounts" haben hier gezeigt, dass viele Anwender schnell und offen Ihre sehr persönlichen Daten preisgeben, wenn der Lockvogel entsprechend anspricht.
Ich denke hier liegt große Verantwortung bei den Anbietern und bei den Benutzern. Anbieter müssen sich überlegen ob alle angebotenen Services wirklich hilfreich sind, oder ob damit der Schutz persönlicher Daten gefährdet wird. Zudem müssen neu aufkommende Standards zur Kommunikation und zum Datenaustausch von Anfang an Sicherheitsaspekte berücksichtigen und beinhalten. Die Benutzer sollten sich im klaren darüber sein wann sie wem welche Daten geben wollen. Eben wie im richtigen Leben, wo ich auch nicht jedem der mich fragt alle meine Daten freiwillig und offen zur Verfügung stelle. Datenschutz im eigenen Interesse ist auch hier ein sehr wichtiges Thema.
Was meinen sie?
Einige Firmen erlauben sich den Luxus eines "Viren-Schützers", doch was macht ein solcher "Viren-Schützer" eigentlich?
Im Grunde muss man die Frage anders stellen: welche Aufgaben soll eine IT Security Abteilung wahrnehmen und welche nicht? Aus meiner Sicht sind grundsätzlich zwei Aspekte zu Rate zu ziehen, Sicherheit in Produkten und Sicherheitsprodukte. Die Sicherheit in Produkten sollte von den jeweiligen Verwaltern eingeschätzt, begutachtet und aufrecht erhalten werden, dabei gilt es, sich an die internen Regeln zu halten, die als Vorgaben und Richtlinien von zentraler Stelle verfasst worden sind. Von dieser zentralen Stelle sollte sich der Entwickler, Projektmanager, Betreiber, Service Manager oder Verantwortliche auch Ratschläge einholen können oder ggf., wenn das Risiko entsprechend eingeschätzt worden ist, auch ausführlicher Hilfe und Beratung bekommen. Der andere Teil sind die Sicherheitsprodukte. Dazu zählen in der Regel Intrusion Detection und Prevention Lösungen, Verschlüsselung, Perimeterschutz, Firewall und DMZ Verwaltung sowie sicherer Zugang zum Netzwerk und zu den Systemen, Benutzer- Zugriff- und Identitätsverwaltung, Zertifikatsverwaltung sowie Security Monitoring-, Auditierungs- und Berichterstattungssysteme und Tools und auch Datensicherung und Wiederherstellung. Diese Sicherheitsprodukte gehören in die Obhut einer operativen IT Security Abteilung.
Doch was ist eigentlich mit Virenschutz und Systempatching? Betrachten wir den Schutz vor Viren und Malware doch einmal nüchtern. Die Herausgeber von Antimalwareösungen haben eine Vielzahl von Experten. die sich tagtäglich und intensiv mit alten und neuen Bedrohungen beschäftigen, und dort gehören die Experten auch hin. Diese Bedrohungen werden aufgrund von Signaturen identifiziert, die teilweise im Stundenrhytmus den Kunden zur Verfügung gestellt werden damit diese ihre Malware-Lösungen updaten können und somit bestmöglich auf dem neuesten Stand sind. Es gibt natürlich auch noch andere Lösungen, wie Checksummen bzw. Heuristic, dennoch sind signaturbasierte Lösungen die dominierende Schutzmaßnahme.
Wir sprechen also von einer zeitnahen Verteilung von Dateien, die Signaturen enthalten und von einer Verteilung von Engines, die die Computer nach genau diesen Signaturen durchsuchen. Softwareverteilung ist folglich in meinen Augen die Aufgabe einer Systemmanagement Abteilung genauso wie die Verteilung von Patches oder auch Softwareupdates.
Eine Computer- oder IT Security Abteilung sollte jedoch über entsprechende Werkzeuge verfügen, um den aktuellen Stand abfragen und berichten zu können, damit die Sorgfaltspflicht im Ernstfall nachgewiesen werden kann, hier machen auch durchaus Drittwerkzeuge Sinn.
Kommt es zu einem unerwarteten Ausbruch von Viren, so ist ohnehin ein Krisenstab notwendig, bzw ein Computer Security Incident Response Team (CSIRT), wie bei jedem Sicherheitsvorfall. Eine Unterscheidung zwischen Virenausbruch und anderen Krisensituationen ist hier nicht zielführend. Dabei ist es dann nicht entscheidend alles über Viren zu wissen, sondern welche Maßnahmen getroffen werden müssen, um den Schaden so gering wie möglich zu halten. Dies ist eine geschäftszielorientierte Aufgabe, die wenig technisches Verständnis für Viren erfordert.
Das CSIRT wird auch technische Unterstützung benötigen, um ggf. Systeme herunter zu fahren oder wieder herzustellen, deshalb sollte auch ein Vertreter der operativen IT Security Abteilung Mitglied sein. Das eigentliche Ziel kann aber nur erreicht werden, wenn entsprechende Vertreter der Geschäftsseite auf Basis von fundierten Risikoanalysen eine adäquate Entscheidung treffen.
Was meinen Sie?
Wenn man mit Kolleginnen und Kollegen über das Thema Sicherheit bzw Computersicherheit spricht, werden die Bezeichnungen der Themenbereiche innerhalb der Sicherheit oft beliebig indifferent angewendet, was manchmal auch zu Verwirrungen führen kann.
Ursache für diesen Umstand ist bestimmt auch die unterschiedliche Auslegung und Positionierung der Sicherheit in Unternehmen. Dazu kommt noch der Umstand, dass Sicherheit oft auch des Spaßes halber entweder mit Wächtern einer Sicherheitsfirma, die am Empfang die Zugangskontrollen regeln, oder mit Virenschutz gleichgesetzt wird. Tatsächlich ist das Thema Sicherheit aber weiter zu fassen und ein elementarer Bestandteil einer jeden Unternehmensführung.
Auch deshalb scheint es mir, dass es eines der wichtigen Themen ist, die Sicherheitsorgane richtig zu definieren und zu positionieren, doch was ist in diesem Zusammenhang richtig und wichtig?
Dazu will ich kurz meine Sicht der Dinge darstellen und somit auch zur Diskussion freigeben; von Informationssicherheit spricht man im allgemeinen wenn es um den adäquaten Schutz jeglicher Informationen geht, also Geschriebenes, Verarbeitetes und auch Gedachtes; wenn die Information einem definierten Schutzbedarf entspricht. Im Sinne einer Unternehmenssteuerung bildet die Informationssicherheit demnach die Klammer um alle Abteilungen, die sich mit dem Thema auseinandersetzen, also physikalische Sicherheit, Personenschutz, IT Sicherheit und so weiter, jedoch auch Datenschutz.
In diesem Zusammenhang will ich kurz erwähnen, dass Datenschutz und Datensicherheit eng miteinander verwandte Themengebiete sind. Der Schutz der Privatsphäre besteht nicht nur daraus, private Daten nur mit Einwilligung des Betroffenen zu speichern und weiter zu geben, sondern diese auch vor unbefugtem Zugriff zu schützen. Dass man hier von einer Konvergenz der Bereiche sprechen kann liegt demnach auf der Hand.
Zusammengefasst entspricht für mich also Informationssicherheit der verkürzten Bezeichnung "Sicherheit".
Im Idealfall sprechen wir also von einer zentralen Stelle für Vorgaben, Budgetierung und Überwachung, welche die unterschiedlichen Aufgaben zwar steuert, die Ausführung jedoch den operativen Einheiten überlässt. Dabei sind die Themen Risiko-Analyse, Kosten/Nutzen-Abwägung, Sicherheitskonzept und nicht zuletzt die Auditierung die wichtigsten Elemente. Entscheidend ist, dass Sicherheit als Bestandteil des Geschäftsfeldes gesehen wird, und dass die Sicherheitsfragen auch als geschäftsrelevant bzw -kritsich angesehen und entsprechend entschieden werden. Dabei ist der individuelle Risiko-Appetit einer Firma entscheidungsrelevant und Entscheidungen müssen von den Geschäftsverantwortlichen selbst getroffen werden. Die zentrale Stelle dient hier der Unterstützung, Umsetzungskontrolle und Berichterstattung.
Auf Basis der entsprechend erstellten Rahmenbedigungen, Richtlinien und Regeln werden dann verschiedene operative Einheiten damit betraut, die Vorgaben entsprechend umzusetzen. Hier spricht man dann in der Regel von operativen Sicherheitsabteilungen, wie einer IT Sicherheit, einem Wachdienst, einem Personenschutz, einem Krisenstab oder einer Sicherheits-Beratungsorganisation.
Ziel der "Sicherheit" ist es demnach vorerst, alle sicherheitsrelevanten Risiken zu identifizieren und in einem nächsten Schritt Entscheidungen herbeizuführen, wie mit diesen Risiken umgegangen wird. Demnach steht die "Sicherheit" dem Risiko Management eines Unternehmens sehr nahe, so ist es auch Ziel der Sicherheit dafür zu sorgen, dass die Unternehmensleitung alle relevanten Informationen bereitgestellt bekommt, um proaktive Maßnahmen zur Minimierung der Risiken vornehmen und störungsfrei das definierte Geschäftsziel umsetzen zu können.
Da das Thema Sicherheit auch im Zuge der Anforderungen des Risiko Managements, genau genommen der Installation von Risikofrüherkennungs- und Überwachungssystemen immer mehr an Bedeutung gewinnt, ist aus meiner Sicht der Weg zu einem Sicherheits-Vorstand nicht mehr weit. Lesen Sie dazu auch hier.
Was meinen Sie?
Sicherheit, das heißt die Absicherung des Zugangs zu Informationen, beginnt mit einem Kennwort. So ist es heute Gang und Gäbe Systeme mit einem Passwort zu schützen und sich mit Hilfe eines Kennwortes gegenüber einem System zu identifizieren, sich so also quasi als eine bestimmte Identität zu verifizieren.
Um den Zugang zu Informationen adäquat zu schützen ist es ja auch sinnvoll eine Authentifizierung vorzunehmen, so sollte heute jeder Zugang, im privaten oder im geschäftlichen Umgang mit Computern durch ein Kennwort geschützt sein, um dem Diebstahl der Identität entgegen zu wirken. Dies sollte zumindest bei der Anmeldung erforderlich sein, weitere Kennworte werden häufig gespeichert und bei Bedarf dann automatisch vorbelegt oder weitergereicht. Kann man jedoch in diesem Zusammenhang von einem garantierten Nachweis der Identität sprechen? Wenn man die Problematik des Identitäten-Klaus betrachtet wohl heute noch nicht. Es ist leider möglich sich die Identität eines andern zu verschaffen und damit Missbrauch zu begehen. Um also von einer Identifizierung vor einem System zu sprechen sind noch weitere wissenschaftliche Forschungen notwendig. Heute schützen wir die Authentifizierung in der Regel mit Hilfe von Kennworten und anderen Hilfmitteln.
Doch mit dem Kennwort kommt auch die Herausforderung gerade dieses dann parat zu haben, wenn man es benötigt. Hier gibt es verschieden Möglichkeiten der Hilfestellung, dabei wird einem jeden doch ständig gepredigt, das bei einem Kennwort ausreichend sicher gestaltet sein muss, dass man (ein Mensch mit böser Absicht) es nicht erraten, durch ausprobieren oder ausspähen herausbekommen kann. So entstanden verschiede Tipps und Tricks für die Erstellung und Memorisierung von Kennworten wie z.B Password Card. Dies geht auch soweit sich ganze Sätze zu merken (Passphrases) oder auch nur die ersten Buchstaben jedes Wortes um das Kennwort kürzer zu halten sowie das regelmäßige Wechseln.
Gibt es Alternativen zum Kennwort?
Sicherlich, eine hilfreiche Errungenschaft ist bestimmt die Smartcard. Die Grund Idee ist es, sich nicht nur etwas zu merken, sondern auch etwas besitzen zu müssen, um Zugang zu bekommen. Doch auch hier wird mit einem PIN gearbeitet, um den Zugriff zu verhindern, wenn die Karte verloren geht und eine PIN birgt die gleichen Gefahren.
Welche Alternativen hat die Wissenschaft noch hervor gebracht?
Biometrie ist ein weiteres Stichwort, hier werden bekanntlich Körperteile des Menschen analysiert und gegen zuvor abgegeben Muster geprüft, bis hin zur einer DNA Analyse.
Eine weitere Möglichkeit ist die Verwendung von grafischen, im Gegensatz zu alphanumerischen Elementen, wie z.B. Gesichter in Passfaces, der Vorteil ist hier, dass man sich das ggf. komplexe und schwer zu merkende Kennwort nicht aufschreiben kann, außer man ist ein sehr guter Zeichner. Zudem kann man es auch schlecht weitersagen. Ausgenutzt wird hier die Fähigkeit des Menschen sich Gesichter relativ einfach merken zu können.
Eine andere Alternative ist das Verhalten des Menschen zu analysieren, z.B. wie man auf der Tastatur tippt. Dafür muss man eine Tippprobe abgeben, damit das System feststellen kann, welchem zuvor gespeicherten Mustern sie entspricht. Hier ist jedoch die Frage wie lange man tippen muss, bis eine Identifizierung erfolgen kann, da man sich ja nicht wie eine Maschine immer gleich verhält.
Aus meiner Sicht ist die Nutzung einer Zwei-Faktor-Authentifizierung der richtige Weg, wenn hier der Faktor Memorisierung in Zukunft noch so gestaltet wir, dass das Kennwort nicht so einfach erspäht bzw. erraten werden kann. Im Idealfall werden die drei Bereiche Besitz, Wissen und biometrisches Merkmal so kombiniert, um von einer Authentifizierung zu einer echten Identifizierung übergehen zu können und damit die Persönlichkeit des Menschen besser schützen können.
Doch wie kann man die Technologie übergreifend einsetzten, um nicht in verschiedensten Karten zu ersticken?
Was meinen Sie?
Microsoft hat viele Rollen und Funktionen, für seine Kunden. Eine Rolle ist der der CSA. Warum gibt es diese Rolle und wie kann ein CSA Sie unterstützen?
Der CSA ist eines der Ergebnisse aus der Trustworthy Computing Initiative, die im Februar 2002 ins Leben gerufen worden ist. Der Titel Chief Securtiy Advisor leitet sich vom Chief Security Officer (CSO) / Chief Information Security Officer (CISO) ab, er ist unter anderem als Ergänzung zum CSO/CISO zu sehen und wird dementsprechend Sicherheitsverantwortlichen in Deutschland in Bezug auf die Microsoft Security Strategie mit Rat und Tat zur Seite stehen.
Seit dem 01.11.2007 habe ich diese Position übernommen. Ich freue mich, heute meinen Blog zu eröffnen und sie von nun ab regelmäßig mit Themen aus der Informations-Sicherheit über diesen Blog zu informieren und diese mit Ihnen zu diskutieren. Deshalb bin ich gespannt auf Ihr Feedback, Ihre Anmerkungen und Anregungen. Also zögern Sie bitte nicht, Ihren Kommentar abzugeben!
Bitte beachten Sie, dass die Beiträge in meinem Blog keine offiziellen Stellungnahmen von der Microsoft Deutschland GmbH oder Corporation darstellen, sondern dazu dienen, aktuelle Themen aus der Branche und dem Kreis der Informations-Sicherheit zu hinterfragen oder auszuleuchten.
Aber kommen wir zurück zur Rolle des CSA, die ich Ihnen kurz beschreiben möchte:
Ich werde Ihnen über den Themenbereich Sicherheit Auskunft geben. Dabei geht es mir nicht darum, einzelne Produkte zu platzieren, sondern den gesamten Bogen „Informations-Sicherheit“ zu spannen.
Im Einzelnen geht es mir im Bereich Public & Private Enterprise darum, der Geschäftsführung und dem CxO als kompetenter Partner zu helfen, die Sicherheitsstrategie von Microsoft zu verstehen und/oder Bereiche/Felder zu identifizieren, bei denen Microsoft unterstützen kann. Zudem kann ich notwendige Kommunikationskanäle aufbauen, unterstützend in Steering Commitees oder Advisory Boards als externes Mitglied vertreten sein oder als Eskalationsstufe/-instanz zu dienen – ohne damit Kosten zu generieren.
Im wissenschaftlichen Bereich stehe ich gerne für Diskussion mit der Forschung oder für Vorträge zu speziellen Informations-Sicherheit Themen bereit.
Im weiten Gebiet der Informations-Sicherheits-Industrie werde ich gerne bei öffentlichen Vorträgen oder Diskussionen zur Verfügung stehen, um mich zu Sicherheits-Themen zu äußern oder in Verbänden oder Interessensgruppen als Vertreter von Microsoft zu engagieren.
Partner werden von mir Auskunft über Aktionen und Lebenszyklen bekommen und mich für eigene Veranstaltung nutzen können.
Wie Sie sehen, decke ich ein breites Aufgabenspektrum ab, welches es mir ermöglicht, das Thema Sicherheit ganzheitlich und aus verschiedenen Blickwinkeln zu betrachten. In kurzen Worten sehe ich es als mein primäres Ziel an, Ihnen - als Kunden, Partner oder Vertreter eines Sicherheitsthemas - dabei zu helfen, eine sichere Basis für Ihre Produktivität zu schaffen.
Ihr Potenzial. Mein Antrieb.
