Security
| von ortlepp

Viele Unternehmen der Autoindustrie verzichten noch auf ein Risikomanagement – mit kaum kalkulierbaren Folgen für die Sicherheit.

 

Nur ein Teil aller Unternehmen hat ein Risikomanagement für IT-Sicherheit eingerichtet. Und das, obwohl deutsche Gesetze wie Bundesdatenschutzgesetz, KonTraG, Aktiengesetz oder HGB die Einführung eines IT-Sicherheitskonzepts vorschreiben. „Seit Juli 2008 greifen zudem EU-weit verschärfte Regeln in Bezug auf die Dokumentation der IT- und Telekommunikationsinfrastruktur eines Unternehmens“, erklärt Markus Dietz vom IT-Dienstleister Grass-Merkur. Diese Wahrnehmung wird von den jüngsten Studien bestätigt. Bei mehr als jedem zweiten Unternehmen in Deutschland ist die IT-Sicherheit durch Zeitmangel beeinträchtigt – zuviel Zeit entfällt für Routinearbeiten. Und: Nur gut jedes zehnte Unternehmen in Deutschland verfügt über einen Sicherheitsexperten, der sich vorrangig um die aktuellen Herausforderungen der IT-Sicherheit kümmern kann, so das Fazit einer Untersuchung von InformationWeek und Steria Mummert Consulting. Lediglich knapp die Hälfte der deutschen Manager kümmert sich um das Thema IT-Sicherheit, stellte eine nichtrepräsentative Studie des Security-Fachmagazins „kes“ und von Microsoft fest, bei der im letzten Jahr 144 Sicherheitsverantwortliche befragt wurden. Ebenso deutlich wird jedoch, dass das Sicherheitsbewusstsein wächst. „Die zunehmende Auseinandersetzung mit dem Thema ‚Gesellschafterhaftung‘ hat dazu geführt, dass Sicherheitsbemühungen stärker aus dem Management heraus getrieben, gestützt und gelebt werden als in den Jahren zuvor“, meint Marc Lindlbauer, Bereichsleiter Automotive Security beim Sicherheitsberatungshaus secunet. „Die Automobilhersteller arbeiten konsequent an der Umsetzung ihrer langfristigen Sicherheits- und Risikomanagement- Strategien. So werden beispielsweise regelmäßig Sicherheitsaudits durchgeführt und die relevanten Regelwerke kontinuierlich verbessert“, meint Lindlbauer zu diesem Punkt. Auch die großen Zulieferer engagieren sich stark im Bereich Security.

 

der Sicherheitsziele sehen wir heute unterschiedliche Ansätze. Ein Teil der Unternehmen verfolgt die Umsetzung eines ganzheitlichen IT-Sicherheitsmanagements und orientiert sich dabei an standardisierten Vorgehensweisen und Werkzeugen, wie zum Beispiel dem IT-Grundschutz des BSI. In anderen Fällen werden Maßnahmen zur Erreichung und Erhaltung des gewünschten Sicherheitsniveaus eher punktuell, also zum Beispiel anwendungsspezifisch umgesetzt“, erklärt Lindlbauer. Im Automotive-Bereich liegt dabei ein starker Fokus auf den Prozessen in Entwicklung, Produktion und Service. Im Vorfeld werden Daten klassifiziert, gerankt und festgelegt, welche Daten geheim sind. Anschließend wird analysiert, durch welche Prozesse und Systeme diese Daten geschleust werden. Um die Sicherheit zu gewährleisten, steht dann die Etablierung der erarbeiteten Maßnahmen – wie zum Beispiel die Verschlüsselung der schützenswerten Daten – in allen Bereichen auf dem Plan. Die IT-Sicherheit im Fahrzeug (embedded Security) ist selbst ein weiteres abendfüllendes Thema.

 

Während solche Security-Aufgaben automotive-spezifisch sind, gibt es ein breites Spektrum an allgemeinen Herausforderungen, zu dem durch neue Technologien immer wieder neue Aspekte hinzukommen. Die kleinen, praktischen USB-Sticks eröffnen beispielsweise eine ganze Reihe von Sicherheitslücken – schließlich lassen sich darauf auch große Datenmengen „entführen“. Stichwort: Innovationsschutz. Wenig beruhigend ist auch die Existenz von Programmen, die beim Einstöpseln des USB-Sticks in den Rechner automatisch Verzeichnisstrukturen auslesen und später einen probaten Eingangskanal ins Unternehmensnetzwerk darstellen. Aber auch als Träger von Crimeware stellen USB-Sticks ebenso wie CDs und DVDs Untersuchungen von Kapersky Lab zufolge eine wachsende Bedrohung dar. Auch wenn es für die Mitarbeiter lästig ist, kann eine Strategie, bei der die USB-Schnittstellen der Unternehmensrechner deaktiviert sind, für ein deutlich höheres Maß an Sicherheit sorgen. Darüber hinaus sollten Sicherheits-Policies etabliert sein, die beispielsweise die Verschlüsselung von Datenträgern vorschreiben. Als rechtlicher Stolperstein gelten private E-Mails der Mitarbeiter, die auf dem Unternehmensserver landen und dort auf Viren oder Spam-Verdacht geprüft werden. Das dazu notwendige Öffnen der Mails stellt eine Verletzung des Postgeheimnisses dar – ist also nur dann erlaubt, wenn die Mitarbeiter klar über die Softwaremechanismen informiert wurden und eine entsprechende Erklärung unterschrieben haben. Ebenfalls davon betroffen ist jedoch auch das rechtskonforme Archivieren nach GDPdU. Auch das Thema Jugendschutz kann im Unternehmen rechtlich relevant werden, wenn minderjährige Auszubildende am Arbeitsplatz versehentlich oder auch absichtlich zum Beispiel auf pornografische Websites gelangen.

 

Zudem warnen Sicherheits- und Antivirus-Softwareanbieter in ihren Trendreports davor, dass die Nutzung des Internet am Arbeitsplatz immer riskanter wird. Cisco spricht von einem 90-prozentigen Wachstum an Gefahren, die von legitimen Domains ausgehen. Kapersky Lab zufolge ist mindestens eine von 300 Sites aktuell infiziert. GData nennt als wichtigste Auslöser für die unbewusste Installation von Malware Aufforderungen zum Nachladen von Software, Virenschutz-Imitate und Emails zu Bestellungen oder Lieferungen. Darüber hinaus böten Web-2.0-Anwendungen, Social Networks und Blogs verstärkte Angriffsflächen. Das gilt auch im Hinblick auf die Mitarbeiter: „Es ist wichtig, organisatorische Regelungen zu treffen, damit Interna und spezifisches Know-how nicht in Blogs oder Foren landen“, so Dietz.

 

Das kleine Einmaleins der IT-Sicherheit umfasst zudem grundlegende Aspekte wie regelmäßige Datensicherung und Lagerung der Kopien an einem externen Ort ebenso wie redundant ausgelegte Systeme. „Viele Unternehmen sind mit einem historisch entstandenen Wildwuchs an Architekturen konfrontiert. Häufig ist es auch eine Kostenfrage, ob beispielsweise zwölf Standorte gegen Feuer und Einbruch gesichert werden oder ob sich das Outsourcing – und damit auch das Abgeben der Sicherheitsverantwortung an einen externen Partner – mehr lohnt“, meint Dietz. Wenn die Sicherheit beurteilt werden soll, geben die Experten auch mal Katastrophenalarm. Wie bei einer Brandschutzübung wird dann im Notfallszenario zum Beispiel geschaut, wie die Abläufe funktionieren, wenn die Hälfte der Server ausfällt. Laut Cisco Security Report stellen Sicherheitslücken bei den aus Kostengründen immer beliebter werdenden Virtualisierungstechnologien eine ganz neue Gefahrenklasse dar, deren Bedrohungspotenzial in den letzten zehn Monaten um knapp das Dreifache angestiegen sei. „Der Angriff auf eine zentrale Technologie wie die Virtualisierung ist lohnenswert, da er den Zugang zu sämtlichen Ressourcen und Informationen bietet und sich sehr gut tarnen lässt“, konstatiert Patrick Peterson, Cisco Fellow und Chief Security Researcher.

 

Zehn wichtige Regeln für die IT-Sicherheit

 

¬ Schriftliche Dokumentation der Sicherheitsrichtlinien

¬ Einen Sicherheitsverantwortlichen festlegen

¬ Risikomanagement einführen, das auch für alle neuen Projekte greift

¬ Schutz nach außen: Firewalls, flächendeckende Antivirus-Software

¬ Rollen- und Zugriffskonzept entwickeln

¬ Regelmäßige Schulung der Mitarbeiter

¬ Datensicherung, Brandschutz-, Wasserschaden- und Diebstahlsicherung

¬ Datenschutz-Guidelines einhalten

¬ Inventarisierung von Hard- und Softwarekomponenten

¬ Wirksamkeit durch Testangriffe prüfen

Autorin: Daniela Hoffmann