Automobilzulieferer Continental arbeitet mit einer globalen IT-Sicherheits-Policy, die sich an dem vom VDA empfohlenen Standard ISO 27 001 orientiert und mit einer Reihe von Dokumenten detailliert für das Unternehmen beschrieben wird. Alle Elemente lassen sich den drei wesentlichen Säulen Vertraulichkeit, Integrität und Verfügbarkeit zuordnen. Regelmäßige Audits sorgen dafür, dass die Anforderungen der Kunden und externen Prüfer erfüllt werden. Bei seinen IT-Dienstleistern legt Continental Wert auf die ISO-27 001-Zertifizierung. „Unsere IT-Security-Policy erfüllt alle rechtlichen Rahmenbedingungen. Ausnahmen, zum Beispiel für Länder, in denen Verschlüsselung nur eingeschränkt erlaubt ist, werden über einen eigenen Prozess gesteuert“, sagt Thomas Ullrich, CSO (Chief Security Officer, Corporate IT) bei Continental. „Personelle Konsequenzen zum Beispiel bei Fehlverhalten sind kein direkter Bestandteil der Policy. Sicherheitsverstöße werden wie andere Verstöße auch lokal bewertet und behandelt.“
Bei globalen Konzepten steht dennoch der Mitarbeiter im Fokus. Auch wenn sich per Log zum Beispiel einfach aufzeichnen lässt, was die Administratoren tun – die Kontrolle kann nur stichprobenartig erfolgen und letztlich bleibt immer eine Grauzone. „Im Rechenzentrum lässt sich nicht alles über Rechte schützen – da muss man sich auf ehrliche Mitarbeiter verlassen können. Zudem bedarf es auch für das Ausland sicherer Verfahren für die Herausgabe und Pflege von Berechtigungen“, meint von Faber. „Es gibt viele Themengebiete, die sich nicht technisch forcieren lassen, sondern von Einsicht und Verhalten der Anwender abhängen“, erläutert Ullrich. Beispielsweise gebe es in Brasilien und China heute weitaus mehr Websites mit Schadcode, der Antivirenschutz könne jedoch nie alle Angriffe abwehren. In diesem Zusammenhang gehe es in erster Linie darum, dass die Mitarbeiter lernen, im Rahmen ihrer beruflichen Notwendigkeit am Arbeitsplatz effektiv zu surfen. „Die Kommunikation an die Mitarbeiter wird dabei auf die entsprechende lokale Kultur abgestimmt, um die jeweiligen Botschaften zu vermitteln“, meint der CSO. Auch der Umgang mit Social Media und Vorgaben zu mobilen Endgeräten gehören für IT-Sicherheitschef Ullrich zu einem globalen und übergreifenden Konzept. Hier arbeitet das Unternehmen aus Hannover derzeit an einer „Any Device“-Strategie, die zwar unterschiedliche Endgerätetypen zulässt, jedoch mit zentralen Regeln und Werkzeugen die Sicherheit gewährleistet.
Richtig heikel wird es bei Entwicklungsdaten. „Wenn Unternehmen Konstruktionsdaten auch für ausländische Töchter und Partner zur Verfügung stellen, ist in der Automobilindustrie die so genannte ‚Verschattung‘ der Informationen eine wesentliche Schutzmaßnahme“, so von Faber. Besonders kritische Informationen, die im CAD- oder PLM-System über die im Ausland benötigten Stücklisten erreichbar sind – also selbst Konstruktionszeichnungen von Zulieferbauteilen –, sollten tunlichst ausgeblendet werden. Dazu gehörten das Kappen von Referenzen, die Veränderung von Baumstrukturen sowie die Entfernung von Features und Umbenennung. Je nach System können sich entsprechende Maßnahmen sehr aufwendig gestalten. Vielfach sind über Jahrzehnte gewachsene Legacy-Systeme im Einsatz, die Funktionen wie Rechtemanagement, Datensegmentierung und Funktionstrennung oder Virtualisierung nicht unterstützen. „Das Thema Sicherheit gehört in die Anwendungen, das ist aber nicht einmal bei allen neueren Systemen gegeben“, so von Faber. Im Prinzip müsse jede Information im System mit dem Rechtemanagement verknüpft sein. Auch das Verhindern von Datenlecks (Data Leakage Prevention: DLP) ist laut von Faber maßgeblich. Dazu gehören registrierte und verschlüsselte USB-Sticks sowie das Überwachen und Filtern von E-Mails und Netzwerkverkehr. So lassen sich beispielsweise entsprechende Anwendungen direkt auf den E-Mail-Gateway aufsetzen und verdächtige Mails „in Quarantäne“ schicken.
Gerade in China ergibt sich in mehrfacher Hinsicht eine besondere Situation. Zum einen sind nicht alle Verschlüsselungstechniken erlaubt, zum anderen sind die üblichen Sanktionen gegen Mitarbeiter hier weniger effektiv: Das liegt an der hohen Fluktuation, aber auch an der milderen Wahrnehmung von Datendiebstählen. Von Faber verweist auch auf den schwer einzuschätzenden Umstand, dass in China rund 800 000 Personen für den Geheimdienst tätig sind, der – anders als in Deutschland – auch im Industrieumfeld arbeiten darf. Hinzu komme, dass es keine Copyright-Gesetzgebung und deren Durchsetzung wie im Westen gebe.
„Die Bedrohungslage auf die IT wird schärfer, das zeigen nicht nur die zunehmenden Medienberichte“, konstatiert Ullrich. Wer genau wissen will, was das Unternehmen von außen angreifbar macht, kann auch externe Vulnerability-Management-Dienstleister damit beauftragen herauszufinden, wo die wunden Punkte sitzen. „Jedes Unternehmen muss sich natürlich die Frage stellen, ob es möchte, dass seine IT-Schwachstellen im Rechenzentrum eines externen Dienstleisters abgespeichert sind“, meint Ullrich. Für ihn liegt jedoch gerade hierin die Herausforderung für das eigene Personal, die der gelegentlich trockenen Materie IT-Security Reiz verleiht: „Die Mitarbeiter müssen sich wie Kriminalisten in die Rolle der Angreifer versetzen, um eventuellen Attacken einen Riegel vorzuschieben.“ „In einer globalen IT-Security-Strategie geht es immer darum, viele Maßnahmen zu kombinieren. Als besonders wirkungsvoll haben sich die Segmentierung von Netzen und Datenbeständen und die Arbeit über funktionsminimierte Terminalserver erwiesen, bei denen das Kopieren von Dateien nicht möglich ist“, fasst Eberhard von Faber zusammen.
Autor: Daniela Hofmann
Foto: iStockphoto/digitalcraft