„IT-Sicherheit spielt sich in den Köpfen der Menschen ab“
Security-Experte Heiner Frings im Interview
Die Geschäftsprozesse innerhalb von Unternehmen müssen reibungslos funktionieren. Hierbei spielt eine sichere, verlässliche und permanent verfügbare IT-Infrastruktur neben sauber aufgestellten IT-Prozessen innerhalb des Unternehmens eine maßgebende und federführende Rolle. Im zweiten Teil des Interviews spricht Sicherheits-Experte Heiner Frings mit uns über die richtige Herangehensweise und Menschen als Risikofaktor Nummer Eins.
Nur wer Risiken richtig kanalisieren kann, wer weiß, wo die für ihn tatsächlichen Gefahrenquellen lauern und wer die möglichen Bedrohungen richtig abschätzen kann, wird wirksame Maßnahmen ergreifen können, um sich effektiv gegen Schäden zu wappnen.
Hier stellt sich natürlich zunächst die Frage: Wie sollte dieses Vorhaben angegangen werden?
Heiner Frings: Nach Feststellung der zu schützenden Werte sollte untersucht werden, welchen Bedrohungen diese (im)materiellen Güter ausgesetzt sind, welche Risiken davon ausgehen und mit welchen möglichen Schäden bei Verlust oder Übergang in die falschen Hände für die Unternehmen zu rechnen ist. Die Erkenntnisse aus den Projektphasen liefern dann die zu treffenden Maßnahmen. Diese setzen sich dann zusammen aus rein technischen Komponenten, wie möglicherweise Alarm-, und Schließanlagen, aus Malware-Schutzprogrammen, aus Maßnahmen, die den Menschen betreffen, wie Mitarbeitersensibilisierung und Trainingseinheiten aus prozessnahen Komponenten, wie der Umgang mit dem Internet, die Nutzung des E-Mail-Dienstes oder die Speicherung und Weitergabe von Daten, sowie letztlich einer rechtlichen Komponente. Alles zusammengefügt ergibt dann das individuelle Sicherheitskonzept für jedes betrachtete Unternehmen. Nicht etwa eine einmalige Sache, sondern ein Prozess, der einer steten Überprüfung auf Aktualität und nachfolgender Anpassung unterzogen werden sollte.
act-online: Ist IT-Sicherheit ein Muss?
Heiner Frings: Jedes wirtschaftlich handelnde Unternehmen hat Werte, die geschützt werden müssen. Jeder Unternehmensverantwortliche, der von seiner Organisation etwas anderes behauptet, ist an seiner Position fehl am Platze! Im Übrigen genau wie der, der die Datensicherheit und den Datenschutz in seinem Unternehmen gezielt umgeht, um seine Mitarbeiter auszuspionieren. Hier entstehen menschliche und somit auch direkte wirtschaftliche Schäden für die Unternehmen, die in Geld nicht aufzuwiegen sind. Wie viel Arroganz und Dummheit kann ein Managergehalt aushalten? Machen wir als Lieferanten von IT-Sicherheit doch endlich Schluss mit dem „Schmusekurs“ zu den ewig Gestrigen, den Unverbesserlichen, die bewusst oder aus Ignoranz die Schäden einer fehlenden oder mangelhaften IT-Sicherheit für ihr Unternehmen bewusst einkalkulieren und nach dem rheinischen Motto handeln „Et äs noch immer joot jejange!“ Sie werden eh irgendwann von der Realität eingeholt, spätestens vom Staatsanwalt. Fokussieren wir unsere Saat lieber auf den am Umfang zunehmenden fruchtbaren Boden!
act-online: Aus moralischer Sicht für Sie also ein Muss. Wie sieht die gesetzliche Lage aus?
Heiner Frings: Immer mehr Firmen verlangen von ihren Lieferanten und Geschäftspartnern einen Nachweis darüber, dass deren IT-Infrastruktur sicher aufgestellt ist. Dabei muss diversen gesetzlichen Pflichten und weiteren Regularien nachgekommen werden. In diesem Zusammenhang wird oft die Begrifflichkeit der IT-Compliance verwendet. Darunter versteht man eine Ansammlung von Gesetzen und Regelwerken, die die Unternehmensleitung bei der Ausübung ihrer Verantwortlichkeit berücksichtigen muss. Dies sind beispielsweise Teile des Kreditwesengesetzes KWG, das MiFID (Market in Financial Instruments Directive), BaFin, Basel II, KonTRAG, das Telekommunikationsgesetz TKG, das Bundesdatenschutzgesetz BDSG, die GdpdU, nur, um einige zu nennen. Allen Richtlinien gemein ist der direkte oder indirekte Verweis auf exakt aufgestellte Geschäfts- und IT-Serviceprozesse. Damit sitzen der Nachweis einer sicheren IT-Infrastruktur und die damit verbundenen IT-Sicherheitsprozesse sofort mit im Boot. So kann bereits das mittlere Unternehmensmanagement bei Unterlassung dieser Pflichten rechtlich für Schäden etwa durch Virenbefall, Datenverlust, –Diebstahl und Attacken direkt zur Verantwortung gezogen werden, teilweise sogar mit dem Privatvermögen. Dabei muss noch nicht einmal mehr die „Grobe Fahrlässigkeit“ Bestandteil des Vergehens sein. Der Nachweis der Sorgfalt innerhalb der IT-Sicherheit ist hier für den Manager der juristisch springende und wichtigste Punkt (Beweislastumkehr).
act-online: Manche Sicherheitsmaßnahmen widersprechen dem Datenschutz. Wie löst man diesen Konflikt?
Heiner Frings: Bei uns beginnt jedes Projekt mit der Phase des sogenannten „Internen Marketings“. Hier werden Ziele abgesteckt, Abgrenzungen definiert, resultierende Maßnahmen angedacht und durchgespielt, Verantwortliche und Betroffene gleichermaßen überzeugt und mögliche negativen Auswirkungen mit den Beteiligten offen kommuniziert. In der vorliegenden Frage betrifft das die Auslegung des Datenschutzes. In den meisten Fällen sind wir konform zu den Datenschutzgesetzen der Länder und des Bundes sowie zu den Vorgaben der Unternehmen. Da, wo Datensicherheit und Datenschutz bei der Erhebung, Verarbeitung und möglicherweise auch der Speicherung nicht ganz im Einklang sind, wenden wir die Projektpolitik der offenen Kommunikation an. Dann wird mit dem Datenschutzbeauftragten und den Beteiligten gemeinsam nach einem akzeptablen Weg für alle gesucht. Bisher wurde immer einer gefunden, denn Vertrauen entsteht nur aus Gegenvertrauen. Auf keinen Fall sollte die Datensicherheit „Zum Winkel“ der verdeckten Geheimermittlung rutschen, dann ist das Vertrauen schnell verwirkt und Du treibst die Kollegen ins „Posthorn“ und „Der Wahn kommt“.
act-online: Ist ein sicheres Firmennetzwerk denn überhaupt möglich?
Heiner Frings: Wenn Du Dich thematisch mit etwas auseinander setzt, musst Du immer auch Ideale haben, nach denen Du Dein Streben ausrichtest. Es ist nicht immer nur die absolute Erreichung dieser Ideale maßgeblich für Deinen Erfolg, sondern vielmehr die realistische Einschätzung der Umsetzbarkeit des Ideals, möglichst vor dessen Postulierung. Der Erfolg ist eben immer die Relation zwischen Anforderung und Erreichung. Bezug nehmend auf die Frage bedeutet das sicherlich nicht den Ratschlag, die Ziele Deiner IT-Sicherheit möglichst niedrig anzusetzen, um mit wenig Aufwand der „King of Security“ zu werden. Andererseits ist der Aufbau eines datentechnischen Fort Knox kaum praktikabel, weil dadurch einerseits die Operabilität und Funktionalität praktisch gegen Null strebt, andererseits dies jedes IT-Budget um ein vielfaches erhöhen würde. In einschlägigen Kreisen spricht man von erfolgreichen Angriffen sogar auf das NSA. Bemüht man die Literatur, so stößt man sehr schnell auf eine allgemein gültige Definition: „Eine IT-Infrastruktur gilt als sicher, wenn die Risiken, die beim Betrieb der IT-Infrastruktur aufgrund von Bedrohungen vorhanden sind, auf ein tragbares Maß beschränkt sind.“ Genau das Wort „tragbar“ macht die Projekte aus diesem Umfeld so interessant.
act-online: Und was ist ein tragbares Maß?
Heiner Frings: Du musst für jedes Unternehmen genau den Zwischenweg finden, der die sich gegenseitig negativ beeinflussenden Parameter ausgewogen berücksichtigt. Das sind im Einzelnen: Transparenz, Sicherheit, Budget, Verfügbarkeit, Funktionalität und Operabilität, Performance und Akzeptanz. Für den, der das Thema treibt bedeutet das eine sensible Bestimmtheit, mit der er seine Ziele verfolgen soll.
Wir haben weiter oben erkannt, dass sich IT-Sicherheit in den Unternehmen aus mehreren Komponenten zusammensetzt, aus der Technik, dem Mensch und dem Prozess. Jede Teilkomponente an sich wird nie ganz sicher sein. In der Gesamtheit multiplizieren sich die Unsicherheiten, so dass wir das Ideal der absolut sicheren IT-Infrastruktur, und dazu zähle ich alle drei oben aufgeführten Komponenten, nie erreichen werden.
Die absolute Sicherheit gibt es nicht, aber es gibt die bezahlbare und zügig umzusetzende Sicherheitspolitik in den Unternehmen, die den Angreifern nach kurzer Zeit die Lust rauben, weitere Aufwendungen in das Eindringen zu investieren. 90 Prozent der Attacken werden nach zehn Minuten der Erfolglosigkeit einfach abgebrochen. Das zu erreichen kostet kein Vermögen. Wir haben hier erfolgserprobte Verfahren. Diese kommen die Unternehmen oft deutlich günstiger zu stehen als befürchtet, vorausgesetzt, man macht es strukturiert, mit Verstand und mit Erfahrung. Letzteres ist für die Unternehmen selbst fast nicht möglich – wenn man damit beginnt, hat man ja noch keine Erfahrung. Hier sollte man sich nicht scheuen, das Wissen Anderer gezielt zu nutzen, um solche Projekte kalkulier- und bezahlbar zu halten. Da kommen wir dann ins Spiel.
act-online: Wie steht es aus Ihrer Sicht in Deutschland überhaupt um das Bewusstsein für IT-Sicherheit?
Heiner Frings: Eine Vogel Strauss Politik daraus abzuleiten, ist absolut nicht angebracht. Vergleicht man die IT-Sicherheits Budgets der letzten 7 Jahre in Deutschland und in der USA, so erkennt man, dass letztere von 2001-2004 praktisch eine jährliche Verdopplung des Budgets verzeichneten, von 2005 bis heute eine lineare aber deutliche Steigerung ausweisen. Der Gradient der Sicherheitsbudgets in Deutschland kann da im vergleichbaren Zeitraum nur als „Kinderkram“ bezeichnet werden. Dies ist insoweit alarmierend, da die Bösen Buben, und wir reden hier nicht von den sogenannten „Script Kiddies“, die mit aus dem Internet herunter geladenem malicious Code sportiv in fremde Netze eindringen, sondern von international organisierten Hackerringen, die nur eins im Sinn haben, sich das Know-how und finanzielle Barmittel aus dem westlichen Wirtschaftsraum anzueignen, um daraus das höchstmögliche Kapital zu schlagen. Dabei liegt das Wissenskapital von Deutschland nicht nur in den Konzernen, sondern zum Großteil bei den Wissenschaftlern und Ingenieuren des Mittelstandes. Der hält zurzeit sicherheitstechnisch noch den Dornröschenschlaf. Es ist bereits fünf Minuten nach zwölf. Die blauen Bohnen fliegen bereits durch die Luft, nur hier hilft kein Wegducken mehr, um nicht getroffen zu werden.
act-online: Viel diskutiert wird im Zusammenhang mit IT-Sicherheit die Rolle des Menschen. Würden Sie den Menschen als „Risikofaktor Nummer eins“ bezeichnen?
Heiner Frings: Um diese Frage nur ansatzweise und seriös zu beantworten, sollte man sich das „IT-System Mensch“ einmal näher anschauen. Wir werden von klein an von den Leuten, bei denen wir unser gesamtes Misstrauen ablegen, nämlich von unseren Eltern, darauf getrimmt, ihnen zu gefallen, das zu tun, was sie von uns erwarten, hilfreich und zuvorkommend zu sein, ihnen zu Vertrauen, nicht aufzumucken und in der vorgegeben Spur zu laufen. Eben der perfekt angepasste Mensch zu werden, getreu nach ihrem Erfahrungsschatz aus ihrem Beruf und ihrem restlichen sozialen Umfeld. Wenn Du Glück hast, bekommst Du die Gabe der Selbstreflektion und einen niedrigen Level der Gleichgültigkeit mit auf den Weg. Was wir von Mama und Papa dafür ernten, ist Zuneigung, Anerkennung und Liebe. Zu einem großen Teil hält das ein ganzes Leben lang vor und das ist auch gut so, denn es hat sich ja seit Millionen von Jahren gut bewährt.
act-online: Sie meinen, der Mensch ist zu sehr angreifbar für Manipulationen von Außen?
Heiner Frings: Woher kommen denn die Millionen von überzogenen Lebensversicherungen, die völlig überteuerten Handyverträge, die Beteiligungen an Buchclubs, wo für teueres Geld die alten Schinken von gestern als Vorschlagsbände aufgedrückt werden, die Zeitungsabonnements, die Dir vom 17-jährigen Drückerkolonnenopfer mit 20 Jahre Knasthintergrund „aufbemitleidet“ werden?
Und so einer Person gibst Du Zugriff auf das Allerheiligste Deines Unternehmens und meinst noch dazu, dass Deine Daten sicher sind. Nicht umsonst nutzen die professionellen Hacker sämtliche psychologischen Tricks, um mit dem sogenannten „Social Engineering“ an sensible Daten zu gelangen und haben leider in den meisten Fällen Erfolg. Ich selbst bin jahrelang vertrieblich orientiert, und höre oft die Antwort: „Nein die Durchwahl des IT-Leiters darf ich Ihnen nicht sagen.“ Es war dann nur am Anfang eine Herausforderung, diese doch zu bekommen. Heute erschreckt es mich immer wieder, wie leicht es ist, an Passwörter zu gelangen ohne auch nur einmal meine Tastatur berührt oder IT-Technik bemüht zu haben. Somit ist der Mensch losgelöst von den anderen Komponenten einer IT-Infrastruktur bereits ein kritischer Sicherheitsfaktor. Es kommt aber noch schlimmer, denn er manipuliert seinerseits die Technik (sprich: er konfiguriert, customized, programmiert, er plant etc.) und er beeinflusst die Prozesse (sprich er designed und führt aus und bezeichnet das als Arbeit). Durch diese Beziehungen wird er zum Risikofaktor schlechthin.
Somit ist jedes Sicherheitskonzept, das neben den Gebäude- wie technischen Einrichtungen und den internen Abläufen die Komponente Mensch nicht berücksichtigt, das Papier nicht wert, auf dem es geschrieben steht. Konkret bedeutet das, die Einführung einer Sicherheitspolice muss immer auch eine Phase durchlaufen, in der das Sicherheitsbewusstsein der Menschen sensibilisiert wird.
act-online: Vielen Dank für das Gespräch, Herr Frings.
