Senior Consultant Reiner Sittart im Interview
Datensicherheit ist immer wieder ein Thema in der IT Branche – auch für die Kunden der ACT AG. Auf dem Gebiet der Security berät die ACT in einer der größten SAP-Landschaften Europas.
Interviewpartner im September ist Reiner Sittart. Er unterstützt und berät ACT-Kunden in IT-Sicherheitsfragen. Seit über zwölf Jahren ist er als Berater im Unternehmen beschäftigt.
ACT-Online: Herr Sittart, wie war Ihr beruflicher Werdegang bevor Sie zur ACT kamen?
Nach zwei Beschäftigungen im Bereich Service & Support für Computer- und Industrienetzwerke und anschließend drei Jahre in der Software-Entwicklung kam ich 1996 zur ACT. Zur der Zeit hatte ich gerade zehn Jahre Abendschule mit den Abschlüssen zum Staatl. Techniker in Elektronik / Nachrichtentechnik sowie zum geprüften
Wirtschaftsinformatiker bei der IHK hinter mir.
ACT-Online: Sie arbeiten nun schon mehrere Jahre für die ACT AG. Wie ist der Kontakt entstanden?
Ein alter Schulfreund, der seinerseits selbst Mitarbeiter der ACT war, hat den Kontakt damals hergestellt. Nach einem langen abendlichen Telefonat mit dem Unternehmensgründer Werner Bücher und einem anschließenden Vorstellungsgespräch bei einem samstäglichen Frühstück war ich der siebte Mitarbeiter bei der ACT und der erste speziell im Unix / C-Umfeld. Was sich dann aber schnell ändern sollte.
ACT-Online:Was hat sich denn so schnell geändert?
Ich selber habe noch jemanden aus meinem Bekanntenkreis für die ACT AG angeworben und dann hat es maximal ein Jahr gedauert, bis das die Unix / C Fraktion personell genauso stark besetzt war, wie das Host und Cobol Team. Wobei dies zu den Anfangszeiten der ACT, das Kernteam für Beratung und Entwicklung bildete.
ACT-Online: Eben haben Sie über das Unix / C-Umfeld gesprochen. War das eine der ersten Anwendungen im ACT Portfolio?
Ja, mein Start bei der ACT waren Projekte bei der Postbank im Unix Umfeld. Ich unterstützte damals bei der Administration, Programmierung in C und dem Systemtest die Entwicklung von Kommunikations-komponenten für ein Buchungssystem und einem Telefonbanking-Projekt.
ACT-Online: Wo liegen heute Ihre Arbeitsschwerpunkte im Allgemeinen?
Die Schwerpunkte meiner heutigen Tätigkeiten im Unternehmen liegen im Bereich Software-Support, der Java-Entwicklung, Systemtest und der IT-Sicherheit. In verschiedenen Projekten in diesem Umfeld nahm ich die Funktion des Architekten, Teamleiters und technischen Projektleiters wahr.
ACT-Online: Derzeit sind Sie im Bereich der Datensicherheit beschäftigt. Wie kam es dazu?
Wie der Zufall es so wollte, bin ich vor gut drei Jahren in das Projekt gerutscht. Es wurde damals ein Mitarbeiter mit möglichst breitgefächertem Wissen in der IT-Landschaft gesucht. Durch die eben schon erwähnten Tätigkeiten im Bereich Hardware-Service, Support und Software-Entwicklung schien ich damals der qualifizierteste Mitarbeiter hierfür zu sein. Anfangs erstellte ich einen Prototypen, der die Möglichkeiten einer Smartcard basierten Authentifizierung an einer Citrix- und SAP- Infrastruktur demonstrieren sollte. Zwischenzeitlich berate und unterstütze ich das Projekt SASPF bei vielfältigen IT-Sicherheitsfragen und Konzepten zu den Themen PKI, Audit und Anbindung externer Mitarbeiter.
ACT-Online: Ein Schlüsselwort im Bereich der Datensicherheit lautet „Public Key Infrastructure“ (PKI). Was ist darunter zu verstehen und wie funktioniert das?
Unter einer PKI versteht man eine unternehmensweite Infrastruktur von DV-Systemen und Personal, die vertrauenswürdige Tokens mit eindeutigen und zuordnungsbaren Schlüsseln (für Zertifikate, Hardwaretokens, Smartcards) entsprechend ihrem Anwendungsbedarf und Lebenszyklus erzeugt, verwaltet und löscht. Sie basiert auf dem hierarchischen Vertrauen zu einem eindeutigem Root (Wurzel) Zertifikat mit zugehörigem Schlüssel und vielen davon abgeleiteten Anwendungszertifikaten beziehungsweise Schlüsselpaaren.
Eine PKI im Unternehmen alleine macht aber nicht sicher!
ACT-Online: Wo können denn sonst noch Sicherheitslücken entstehen?
Eine PKI muss in einem Unternehmen auch angewendet werden, indem beispielsweise die Mitarbeiter sich mit durch die PKI erstellten Smartcards am Intranet oder über das WWW gegenüber dem Unternehmen authentifizieren. Ein anderer Anwendungsfall ist die unternehmensweite Verschlüsselung des Datenverkehrs mit Schlüsseln, die von einer PKI ausgestellt werden.
Ein stark zunehmendes Anwendungsgebiet heute und vor allem für die Zukunft ist die digitale Signatur und rechtskräftige Unterzeichnung von digitalen Dokumenten im IT-Bereich. Durch den ab 2010 verfügbaren digitalen Personalausweis inklusive der Möglichkeit eines qualifizierten Signaturzertifikates und Bestrebungen durch die Bundesregierung und in der EU, wird die Möglichkeit dieses Einsatzes im geschäftlichen Datenverkehr stark zunehmen. Da die beschriebenen Anwendungsfälle in einem Unternehmen rund um die Uhr auftreten bzw. durchgeführt werden, müssen auch die zur Prüfung der Vertrauenswürdigkeit notwendigen Komponenten einer PKI rund um die Uhr verfügbar sein.
Eine PKI berührt somit alle Kernbereiche der IT-Sicherheit die da sind:
• Vertraulichkeit
• Integrität
• Verbindlichkeit
• Verfügbarkeit
ACT-Online: Was ist im Bereich der Datensicherheit Ihrer Meinung nach verbesserungsfähig?
Es herrscht im Allgemeinen sehr viel Unsicherheit im Umgang mit dem Begriff „IT-Sicherheit“. Die Vielzahl von Begriffen, Normen und technischen Komponenten in diesem Bereich führen dazu, dass es gerne falsch dimensioniert oder gar verdrängt wird. Der Begriff Datenschutz und die dazugehörigen gesetzlichen Bestimmungen sind in der IT-Welt allgemein bekannt. Bei deren Umsetzung beziehungsweise Realisierung in den Projekten neigt man aber häufig dazu, das Maximum zu fordern. Dies ist dann aber entsprechend aufwändig und es entstehen hohe Kosten, was dann wiederum dazu führt, dass man nur ein Minimum oder nichts realisiert.
ACT-Online: Sie wollen gerade dem entgegenwirken. Wie tun Sie das?
Hier sollte es innerhalb von Projekten das Ziel sein, die IT-Sicherheitsanforderungen mittels einer sorgfältigen Risikoanalyse auf ein realistisches Maß einzudämmen. IT-Sicherheit besteht nicht nur aus komplexen Regeln für Passwörter zur Authentifizierung. Deren Komplexität ist dann so hoch, dass der Anwender diese auf einem Zettel schreibt und im Umfeld seines Arbeitsplatzes ablegt.
ACT-Online: Was erhoffen Sie sich für die Zukunft in Ihrem Projekt?
Das Projekt ist schon durch seine Größe bedingt sehr vielseitig und die IT-Sicherheit wird hier in vielfältiger Weise gefordert. Dies umfasst sowohl das Bewusstsein der Anwender, sowie auch die technischen Komponenten und Schnittstellen zur Außenwelt (der Industrie und anderen öffentlichen Stellen). Da ich diese Vielseitigkeit von Technik, individuellen Einflüssen und IT-Sicherheit sehr mag, hoffe ich, noch viel von meiner Erfahrung im Bereich der Anwendung, Systemen und Netzen einbringen zu können.
ACT-Online: Vielen Dank für das Gespräch, Herr Sittart.
