Zürich – IT-Sicherheit ist zunehmend Gegenstand von Medienberichten. Welches sind typische Angriffspunkte und -szenarien? Wie können Unternehmen sich und uns besser schützen?
Die durch Snowden aufgedeckte NSA-Affäre war letztes Jahr das dominante IT-Sicherheits-Thema in den Medien. Die täglichen Angriffe auf IT-Systeme wurden dadurch fast überschattet. Obwohl die Geheimdienst-Aktivitäten Insider kaum überraschen, erstaunte doch deren Umfang und kompromisslose Anwendung. Als Haupterkenntnis aus der Affäre lässt sich feststellen, dass Insider-Attacken (wie diejenige durch Snowden selber) verheerende Auswirkungen haben können und dass die Bedrohungsmodelle in der IT Security bisher wohl zu optimistisch waren. Denn bisher ging man frohen Mutes davon aus, dass Standardisierungsgremien, Staaten und Hersteller im Allgemeinen vertrauenswürdige Akteure seien. Diese Annahme hat sich mittlerweile als falsch herausgestellt. Ein Beispiel für eine Schwächung von IT-Standards und IT-Produkten ist der “gotofail”-Fehler bei Apple. Unabhängig davon, ob ein solcher Fehler im Auftrag eines Geheimdienstes gemacht wurde oder versehentlich entstand, er wird über kurz oder lang bekannt und auch von unlauteren Akteuren genutzt werden.
Schildwache am Tor durch Patrouillengänge im Innern ergänzen
Wie stellt sich denn heute die Bedrohungssituation für Unternehmen dar und wie können sie sich schützen? Während Unternehmen früher mehr oder weniger in sich geschlossene Organisationen mit klar definierten Schnittstellen gegen aussen waren, sind heute in der Regel Partner, Broker, Kunden, Supplier und sogar Konkurrenten direkt in die Geschäftsprozesse involviert. Man spricht hier auch von der Extended Enterprise (vgl. Tim Cole, Unternehmen 2020. Hanser, München/Wien 2010). In der Zusammenarbeit mit diesen Stakeholders werden sowohl sensitive Daten nach aussen gereicht wie auch Daten ins Unternehmen zurückgespiesen, die kontaminiert sein können.
Das Aufbrechen des traditionellen Security-Perimeters eines Unternehmens hat Konsequenzen für die Gestaltung der Sicherheitsmassnahmen. Es reicht nicht mehr, einen Schutzwall um das Unternehmen zu bauen und die Tore zu bewachen. Vielmehr ist die Schildwache am Tor durch Patrouillengänge im Innern zu ergänzen. Mit anderen Worten: Massnahmen für die ‘innere’ Sicherheit in der Unternehmung wie Intrusion Detection und Anomalie-Erkennung gewinnen zunehmend an Bedeutung. Parallel dazu wird auch die Security-Einbindung externer Akteure z.B. über Identity Federation, IAM as a Service oder Trust Delegation immer wichtiger. Sensitive Daten wie Passwörter oder Kreditkarteninformationen werden heute dezentral in diversen Applikationen und bei diversen Organisationen gehalten und können über undichte Stellen, Datendiebstahl oder Profiling in die falschen Hände geraten.
Sicherer Umgang mit Identitätsdaten
Für einen sicheren Umgang mit Identitätsdaten existieren technische Lösungsansätze wie z.B. Privacy by Design, Life Management Platforms und Records Management. Letztlich heisst das, dass heute nicht mehr nur Geräte, Orte, Applikationen und Unternehmen geschützt werden müssen, sondern auch direkt die sensitiven Daten. Wie ein solcher Schutz aussehen könnte, zeigt zum Beispiel der Einsatz des OAuth-2.0-Protokolls für Open Authorization. Dieser IETF-Standard ist ein freies und offenes Protokoll, mit dem einer Drittpartei sicher Zugriff zu Web-Ressourcen gewährt werden kann, ohne dafür ein Passwort freigeben oder sich registrieren zu müssen.
Gefragt: Data Ownership
Die wachsenden Datenflut und die Dezentralisierung erfordern eine Verschiebung vom Paradigma der Applikations- und Systemverantwortlichen hin zur Data Ownership, also zur Verantwortung für Daten über System- und Applikationsgrenzen hinweg. Als erstes gilt es, die etablierten IAM-Systeme schrittweise um adaptive Methoden wie Risk-Adaptive Access Control (RAdAC) zu erweitern. Diese Methoden werten Umgebungsfaktoren der Userinnen und User dynamisch aus und beziehen dabei Metadaten wie beispielsweise die Schutzwürdigkeit mit ein. Damit dies möglich wird, müssen Applikationen, Datenbanken und IAM-Systeme wieder miteinander verbunden werden, die man über Dekaden aus Sicherheitsgründen separiert hat. Damit hilft Identity- und Access-Management Unternehmen letztlich dabei, Benutzerinnen und Benutzer und ihre Bedürfnisse besser zu verstehen und ihr Angebot zu optimieren. (AdNovum/mc/hfu)
AdNovum Informatik AG
AdNovum zählt zu den Schweizer Informatikunternehmen erster Wahl für die Umsetzung von anspruchsvollen IT-Vorhaben. Ihre massgeschneiderten Lösungen erfüllen höchste Qualit.tsansprüche im Sinn der Schweizer Ingenieurtradition. AdNovum bietet umfassende Dienstleistungen für die Realisierung und Pflege von Software- und Security-Lösungen mit hohen fachlichen und technischen Anforderungen. Ihr Angebot umfasst die Bereiche Application Development & Integration, Security Engineering, IT Consulting und Application Management. Renommierte Unternehmen aus verschiedenen Branchen und Behörden vertrauen auf das Knowhow, die IT-Dienstleistungen und die Produkte von AdNovum.
AdNovum wurde 1988 gegründet. Am Hauptsitz in Zürich und in den Büros in Bern, Singapur und Budapest arbeiten heute über 380 Personen, 70 Prozent davon sind Software-Ingenieure mit Hochschulabschluss.
