CeBIT 2012: IT- und Datensicherheit sind keine Sternschnuppe

Impressionen von ds-Herausgeber Dirk Pinnow

[datensicherheit.de, 11.03.2012] Die „CeBIT 2012“ stand unter dem Motto „Managing Trust“ – nach Angaben des Veranstalters sollte auf der weltweit als wichtigste Veranstaltung der digitalen Wirtschaft geltenden Messe das Thema „Vertrauen und Sicherheit in der digitalen Welt“ in den Mittelpunkt gerückt werden, denn diese seien ein gemeinsames Interesse von Staat, Wirtschaft und Verbrauchern. Der Veranstalter bezeichnet Vertrauen nicht als einen weichen Faktor, sondern als einen „wesentlicher Grundpfeiler wirtschaftlichen Handelns“, den es aufzubauen und zu festigen gelte…
Ohne Frage ein löbliches Ansinnen – ganz im Sinne eines ganzheitlichen Managements der Datensicherheit, das nicht allein auf Technik fokussiert, sondern eben auch Aspekte der Psychologie und Kultur umfasst. Gleichwohl ist und bleibt dieser Ansatz – ob nun bei der IT oder der noch papiergebundenen DV – ein Dauerthema, das auf jeder bedeutenden IT-Messe zu behandeln wäre. Wenn dieser Ansatz nun für die „CeBIT 2012“ als thematischer Schwerpunkt fungierte, hätte sich irgendwo ein Roter Faden auf dem riesigen Messegelände finden lassen müssen. Es mag ihn wohl gegeben haben – bei meinem Messerundgang am 8. März 2012 jedenfalls schien er sich weitgehend versteckt zu haben; dies mag auch an den Besuchermassen gelegen haben, die trotz der durch einen ÖPNV-Streik in Hannover erschwerten Anreise zum Gelände am späteren Vormittag die Hallen gut füllten.

So lag es nahe, den eigenen Fokus des Messebesuchs auf das gebündelte Sicherheits-Know-how in Halle 12 zu setzen – gemeinsam mit der Deutschen Messe AG hatte heise Events dort eine Neuauflage der „Security Plaza“ geboten, als den zentralen Anlaufpunkt zu Sicherheitsthemen. Auf rund 500 Quadratmetern präsentieren Aussteller der IT-Sicherheitsbranche Produkte und Dienstleistungen. Während beim Betreten der Halle 12 zunächst die „großzügige“ Aufteilung ins Auge fiel, die sich in großen Ruhezonen und auch in durch Raumteiler separierte „Freilaufzonen“ manifestierte – und Zweifel an der Bedeutung der IT- und Datensicherheit für die Gesamtmesse und diese Schwerpunkthalle aufkommen ließ –, schien das kompakte Angebot der „Security Plaza“ rege Nachfrage zu finden. Die Gänge und Stehplätze vor den Ständen waren jedenfalls gut gefüllt, wie auch das Auditorium im Vortragsbereich. Vielleicht ein weiterer Beweis, das Qualität sich nicht automatisch in Quantität widerspiegeln muss, wenn auch der diesjährige offizielle thematische Schwerpunkt der „CeBIT“ große Erwartungen geweckt hatte.

Die Themenvielfalt der Vorträge an diesem Tag beeindruckte – eben weil nicht allein nur technische Aspekte behandelt wurden. So lautete ein Vortragstitel „Wir zähmen das Berechtigungsmonster“, gehalten von Christian Zander von der protected-networks.com GmbH aus Berlin. Zwar bietet dieses Unternehmen eine eigene Softwarelösung für das Berechtigungsmanagement an, doch werden hierbei zunächst grundsätzliche Sicherheitsfragen in behördlichen und gewerblichen Institutionen angesprochen, die somit auch psychologische, kulturelle und nicht zuletzt rechtliche Aspekte berühren.

Foto: Dirk Pinnow

Christian Zander führt die Zähmung des „Berechtigungsmonsters“ vor.

In seiner Vorführung stellte Zander die Chefanfrage, wer z.B. alles Zugriff auf ein geheimes Projekt habe, an den Anfang und zeigte die im Prinzip – ab einem gewissen Umfang und der damit verbundenen Komplexität – unüberwindlichen Schwierigkeiten auf, eine vollständige Liste aller Nutzer mit ihren Zugriffsrechten auf die betriebliche IT zu erstellen.
Wer etwa allein auf den Active Directory, den Verzeichnisdienst von „Microsoft Windows Server“, angewiesen ist, steht vor einer wahren „Sisyphusarbeit“, denn die Namen der Nutzergruppen, wie auch deren Mitglieder, und die eingeräumten Rechte müssten händisch abgeschrieben werden. Die kaskadenhafte Verschachtelung von Gruppen und Untergruppen lässt kaum eine kurzfristige Erfassung zu.
Als er damals feststellen musste, dass es dafür noch keine brauchbare Softwarlösung gab, habe er sich motiviert gefühlt, etwas Besseres schaffen zu wollen, so Zander in seinem kurzweiligen, engagierten Vortrag. Ihm sei es darum gegangen, mit seinen Partnern IT- in Menschensprache zu übertragen, ja eine „Software für jedermann“ zu entwickeln, die innerhalb kürzester Frist eine revisionstaugliche Antwort auf die essentielle wie existenzielle Frage geben kann, wer in der betrieblichen IT worauf Zugriff hat.
Sodann zeigte er am Beispiel der Softwarelösung „8MAN“ aus dem Hause protected-networks.com, wie eine Antwort schnell und zuverlässig generiert sowie als Grundlage für Reports verwendet werden kann. Volltextsuchen werden ermöglicht, die Berechtigten sind mit ihren Zugriffsrechten einfach zu kopieren; auch automatisch erstellte regelmäßige Reports sind möglich. In diesen Reports werden auch die logisch und organisatorisch problematische „Gruppen-Rekursionen“ (Verschachtelungen, die zu unerwünschter Rechtevererbung führen) aufgeführt. Praktisch und für den Alltagsgebrauch dringend erforderlich erscheint auch die einfache Sortierungsmöglichkeit nach Nutzern und Rechten. „8MAN“ unterstütze vier organisatorische Aufgabenfelder – Information, Dokumentation, Administration sowie Delegierung. Es sei für den Admin leicht möglich, Rechte zu terminieren – etwa für temporär eingesetzte externe Mitarbeiter, Techniker von Wartungsfirmen bzw. Praktikanten. Auch beim Ausscheiden von Mitarbeitern müssten deren Rechte bekannt sein und widerrufen werden können – denn in der Praxis erbe nicht selten der Nachfolger von seinem Vorgänger sämtliche Zugriffsrechte, die unter Umständen in jahrzehntelanger Mitarbeit, gar in unterschiedlichen Abteilungen oder bei diversen Projekten, eingeräumt und nicht wieder entfernt wurden. Wer aber solche Rechtevielfalt erhalte, verspüre dann vielleicht auch kein Unrechtsbewusstsein, mal einen Einblick in Daten außerhalb des eigentlichen Aufgabengebietes zu nehmen, warnte Zander eindringlich. Diese Warnung muss wohl angekommen sein, jedenfalls bildeten sich am Stand der protected-networks.com GmbH nach diesen lebhaften wie aufrüttelnden Ausführungen zuweilen Warteschlangen.

Im Rahmen des „ZVEI IT-Security-Forums 2012“ unterrichtete Horst Flätgen, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), über die „Aktuelle Bedrohungslage“.
So benannte er die aktuellen „Top 6“ – Hacking von Weberservern, Drive-by-Downloads, Malware-Infiltration, DDoS mittels Botnetz, Identitätsdiebstahl durch Malware und schließlich z.T. auch schon mehrstufige Angriffe auf Sicherheitsinfrastrukten etwa durch den Trojaner „Duqu“, einen „Stuxnet“-Nachfolger.
Als Köder für Angriffe würden vermehrt individualisierte gefälschte E-Mails verwendet, für die Informationen aus Sozialen Netzwerken dienten. Die Akteure, d.h. Angreifer, ließen sich wie folgt klassifizieren: Hacker (Cracker), Staaten, Organisierte Kriminalität (OK) sowie oftmals politisch motivierter „Hacktivismus“. Beim OK werde der gefährliche Trend beobachtet, dass regelrechte „Trojaner-Baukästen“ bzw. Informationen über Schwachstellen via Webshops vertrieben würden – sogar mit einem 24-Stunden-Kundendienst. Diese Software und Informationen seien selbst von Laien einsetzbar, spezielle IT-Kenntnisse nicht erforderlich, warnte Flätgen. Da sich die betreffenden Server im Ausland befänden, sei auch das Entdeckungsrisiko gering.
Abschließend erläuterte er die Aufgaben des BSI, die quasi Teil eines Kreisprozesses seien, der die Beobachtung der Lage, die Reaktion auf Krisen, die Abgabe von Empfehlungen und die Koordination von Maßnahmen umfasse. Das BSI dürfe nach Erlangung von Erkenntnissen über Schachstellen ganz konkret vor bestimmten Produkten warnen. Da sich rund 80 Prozent der Angriffe durch Standard-Sicherheitsmaßnahmen abwehren ließen, habe das BSI kürzlich die „Schwachstellenampel“ online gestellt, um einen schnellen Überblick über aktuelle Schwachstellen in gängigen Softwareprodukten zu geben. In jeder komplexen neu herausgegebenen Software sei mit mindestens 2,5 Promille Fehlern („Bugs“) zu rechnen – bei mehreren Millionen Befehlszeilen gebe es also eine signifikante Anzahl von Schachstellen. Solche bisher offiziell nicht erkannten „Zero-Day-Exploits“ bei neuer Software würden gerne von Angreifern ausgenutzt.

Foto: Dirk Pinnow

Horst Flätgen: 86 Prozent der im Auftrag des BSI befragten Nutzer sind sich ihrer ureigenen IT-Sicherheitsverantwortung bewusst.

Immerhin sind sich laut Flätgen 86 Prozent der im Auftrag des BSI befragten Nutzer ihrer ureigenen Sicherheitsverantwortung bewusst. Dies ist immerhin eine Aussage, auf die aufgebaut werden kann – ist erst einmal die sonst so übliche „Suche nach Schuldigen“ überwunden und die Eigenverantwortung erkannt, kann den Datensicherheitsproblemen nüchtern und zielgerichtet begegnet werden.
Gleichwohl lassen auch Flätgens Ausführungen erahnen, dass auch in Zukunft mit einer Art „Rüstungswettlauf“ zwischen Anwendern und Cyber-Kriminellen zu rechnen ist – umso mehr als Informations- und Kommunikationstechnologie noch weiter unser Alltagsleben durchdringen wird, zunehmend Basis von Wertschöpfungsprozessen ist und Daten bedeutende immaterielle Vermögenswerte darstellen bzw. zur Verwaltung materiellen Vermögens dringend benötigt werden. Egal also, welchen thematischen Schwerpunkt die „CeBIT 2013ff“ haben wird – Daten- bzw. IT-Sicherheit bleibt das zentrale Thema. Deshalb verwundert es nicht, dass sich in den letzten Jahren mit der „it-sa“ in Nürnberg eine Fachmesse zur IT-Sicherheit erfolgreich herausgebildet hat, ist doch der Bedarf zur ständigen Auseinandersetzung mit dem Thema unausweichlich.

Weitere Informationen zum Thema:

CeBIT
Leitthema der CeBIT 2012 / CeBIT 2012 steht unter dem Leitthema „Managing Trust“

MittelstandsWiki
EVENT: CEBIT SECURITY PLAZA 2012, PROGRAMM / Das Programm am 8. März auf einen Blick

datensicherheit.de, 02.03.2012
BSI-Schwachstellenampel: Neuer Indikator für aktuelle IT-Sicherheitslage in Deutschland / Analyse und Bewertung von Schwachstellen in gängigen Softwareprodukten

datensicherheit.de, 10.01.2012
Datenschutz: Das einstige Nischenthema wird zum Grundpfeiler des Vertrauens / Angefangen vom Handwerksbetrieb bis hin zum internationalen Konzern