SSE: Plattform für Security-Diskurse
Die zunehmende Durchdringung von Geschäftsprozessen durch IT im Verbund mit sich wandelnden wirtschaftlichen und rechtlichen Rahmenbedingungen haben Security zu einem unabdingbaren, aber auch komplexen Instrument werden lassen, das Entscheidungsträger verstehen sollten. Unter dem Titel Swiss Security Exchange (SSE) [1] finden regelmässig Workshops statt, an welchen Security-Entscheidungsträger von Unternehmen und öffentlichen Institutionen solche zentrale Fragen der Information Security aus der Schweizer Perspektive diskutieren. Dieser Artikel fasst in einem ersten Teil die an den vier letzten SSE-Workshops besprochenen Themen und Ergebnisse zu Security im Outsourcing, dem Umgang mit sicherheitsrelevanten Vorfällen (Incident Management), der Sicherheit mobiler Geräte und Sicherheitsprobleme bei Voice over IP zusammen. Im zweiten Teil werden die Gemeinsamkeiten der an den Workshops besprochenen Themen identifiziert. Eingebettet wird diese Betrachtung in eine Analyse der Marktentwicklung im Bereich Information Security.
Security im Outsourcing
Outsourcing von Geschäftsbereichen oder infrastrukturnahen Diensten dient in der Regel der Kosteneinsparungen oder der Konzentration auf das Kerngeschäft einer Unternehmung. Hier stellt sich die Frage, wie Informationssicherheit in einem solchen Umfeld durchgesetzt werden kann. Als Grundsatz gilt, dass sich die Verantwortung für die Informationssicherheit nicht vom auslagernden Unternehmen (Outsourcer) auf den Dienstleistungsanbieter (Service Provider) übertragen lässt. Dieses Prinzip findet sich in entsprechenden Regulatorien – wie beispielsweise dem für die schweizerische Finanzbranche relevanten Rundschreiben der eidgenössischen Bankenkommission zum Outsourcing. Aus diesem Grundsatz folgen unmittelbar zwei Forderungen an den Outsourcer:
- Er muss Art und Umfang der vom Service Provider betriebenen Sicherheitsmassnahmen kennen und mitbestimmen können.
- Er soll Audits und Reviews zu den vom Service Provider betriebenen Sicherheitsmassnahmen durchführen dürfen.
Diese grundlegenden Punkte waren bei den Teilnehmern des SSE unbestritten. Hingegen zeigte sich, dass die Umsetzung dieser Punkte komplex ist, woraus sich bei der Umsetzung oft Sicherheitsprobleme ergeben.
Die in der Praxis auftretenden Schwierigkeiten hängen vom Umfang und der Komplexität der ausgelagerten Dienste ab. Das Outsourcing infrastrukturnaher Dienste benötigt einen eher geringen Koordinationsaufwand der involvierten Parteien. Hier kann die Sicherheitspolitik des Outsourcers oft einfach in so genannte Service Level Agreements (SLA) übersetzt werden (z.B., die tägliche Aktualisierung von Virensignaturen).
Die Auslagerung ganzer Geschäftsbereiche hingegen ist meist von einer Umstrukturierung beim Outsourcer selbst begleitet. Dies kann zu Personalfluktuationen und daraus resultierendem Wissensverlust führen. Zudem ist die Interaktion zwischen Outsourcer und Service Provider weit komplexer und schwieriger zu formalisieren. Hier kann die Implementierung von Information Security nicht isoliert betrachtet werden. Sie muss in die Art und Weise der Zusammenarbeit beider Partner eingebettet werden. So kann beispielsweise die Umsetzung der Sicherheitspolitik des Outsourcers nicht nur durch SLA geschehen. Vielmehr bedarf es der Schaffung von klar definierten Koordinationsfunktionen bei den Vertragsparteien. Dabei sollte darauf geachtet werden, dass die Zusammenarbeit nicht nur auf der Einhaltung von SLAs und sonstigen vertraglichen Bestimmungen basiert. Vielmehr muss ein partnerschaftliches Verhältnis angestrebt werden, so dass flexibel auf Sicherheitsvorkommnisse und neue Gefahrenlagen reagiert werden kann. Zwei weitere Aspekte wurden an den Diskussionen als wichtig erachtet:
- Nicht alle Defizite in der Informationssicherheit lassen sich durch ein Outsourcing lösen. Der Outsourcer muss bereits vorher die organisatorischen Aspekte der Informationssicherheit beherrschen und entsprechende Verantwortlichkeiten definieren. Ansonsten könnten Sicherheitsprobleme durch ein Outsourcing sogar verstärkt werden.
- So genanntes off-shore-outsourcing (z.B. nach Indien) wird skeptisch beurteilt. Unsicherheiten hinsichtlich Datenschutz und der Fähigkeit zur Durchsetzung von schweizerischen Regulatorien wurde als Hauptgrund genannt.
Incident Management
Incident Management (IM) ist ein Schlüsselprozess für die Aufrechterhaltung der Informationssicherheit eines Unternehmens. Obwohl IM ein klassisches Thema der Information Security darstellt, besitzt IM anhaltende Aktualität und gilt weiterhin als ein Bereich mit erheblichem Verbesserungspotential.
Dies liegt zum einen an der dem IM inhärenten Komplexität. Diese zeichnet sich dadurch aus, dass IM-Prozesse einerseits genügend flexibel sein müssen um rasch anlaufen zu können, wenn neuartige Vorfälle auftreten. Andererseits müssen sie hinreichend formalisiert und durch definierte Zuständigkeiten unterlegt sein, damit Kontrolle und Qualität gesichert sind. Zum anderen sind die Ansprüche an das IM gestiegen, da heutzutage angestrebt wird, das IM in das umfassende Management operationeller Risiken einzubinden. In technischer Hinsicht nannten die Teilnehmer der SSE-Workshops zwei Hauptprobleme:
- Die Flut heterogener Log-Daten (Systemmeldungen) macht es sehr schwierig, Incidents zuverlässig zu detektieren. Die hierfür geschaffenen Security Management Systems wurden als verbesserungswürdig eingestuft.
- Technisch ausgefeilte Attacken bereiten vielen Unternehmen besondere Schwierigkeiten, weil die Spezialisten für deren Analyse fehlen.
Jeder IM-Prozess ist unternehmensspezifisch. Dennoch waren sich die Teilnehmer der SSE-Workshops einig, dass gute IM-Prozesse folgende Merkmale aufweisen:
-
Einbettung des IM: IM-Prozesse dürfen nicht von der IT-Abteilung alleine, sondern müssen in enger Zusammenarbeit zwischen Geschäftsabteilungen und der IT-Abteilung eingeführt und gepflegt werden. Für die Risikoeinschätzung sind die Geschäftsbereiche verantwortlich – dies unter Einbezug des Fachwissens der IT.
-
Lernen aus Vorfällen: Incidents müssen analysiert werden, wobei abgeklärt wird, ob Verbesserung des bestehenden Sicherheits-Dispositivs nötig sind. Ein solches Lernen aus Incidents muss systematisch erfolgen und bedarf der Bereitstellung hinreichender Ressourcen. An den Gesprächen wurde dazu die Luftfahrtindustrie als ein Vorzeigebeispiel genannt, da Flugunfälle umfassend untersucht und ausgewertet werden, was zu einer Anpassung der Sicherheitsbestimmungen führt.
-
Incident-bewusste Kultur: Mitarbeiter müssen mögliche Incidents kennen, sich derer Tragweite für das Unternehmen bewusst sein und ihre Pflichten bei der Reaktion auf Incidents wissen. Soweit möglich soll ein offener Umgang mit Incidents gepflegt werden, zumal ein systematisches Verschweigen von Incidents den oben genannten Lernprozess erschwert oder gar verunmöglicht.
-
Kollaborationen mit Herstellern: Das technische Fachwissen der Zulieferer (Software, Hardware) zu Incidents sollte genutzt werden. Kollaborationen sollen auf gegenseitigem Vertrauen basieren und gegenseitiges „Geben und Nehmen“ beinhalten.
Sicherheit mobiler Geräte
Laptopcomputer und Handhelds (Handys, Smartphones, PDAs etc.) halten Einzug in den privaten und beruflichen Alltag. Bei den Teilnehmern der SSE-Workshops herrschte denn auch Einigkeit, dass sich die Verwendung mobiler Geräte in Unternehmen kaum mit einem vernünftigen Aufwand unterbinden lässt, obgleich sich diverse Sicherheitsprobleme stellen. Es stellen sich zwei Grundprobleme.
- Ihr mobiler Einsatz erhöht das Risiko eines Verlusts bzw. Diebstahls des Geräts und der darin gespeicherten Daten.
- Die Risikoanalyse ist erschwert, da der Einsatz dieser Geräte den Gebrauch von Netzwerken Dritter benötigt. Damit befindet man sich ausserhalb des Sicherheitsperimeters des Unternehmens. Die Risikoanalyse wird zudem erschwert durch die Vielfalt dieser Geräte und eines raschen Innovationszyklus.
Bei Handhelds stellen sich zudem spezifische Fragen:
- Es gibt kaum Möglichkeiten, diese in das bestehende Sicherheitsmanagement einzubinden (Patch Updates, Virenschutz, Monitoring etc.).
- Zum Teil fehlen Netzwerkverschlüsselungstechnologien (VPN, SSL etc.).
- Die Benützung privater Handhelds der Mitarbeiter führt zu einem Verlust der Kontrolle über das Geräteinventar und die Standards der für ein Unternehmen betriebenen Geräte.
Bei den SSE-Teilnehmern bestand Konsens, dass mobile Geräte in einem Unternehmen nicht unbeschränkt zugelassen werden sollten. Vielmehr soll – basierend auf einer differenzierten Risikobetrachtung – entschieden werden, welche Klasse von Geräten (z.B., alle Geräte welche die Verschlüsselung der gespeicherten Daten erlauben) auf welche Arten von Daten und Applikationen zugreifen darf.
Schliesslich sei bemerkt, dass die klassischen Sicherheitsziele (Vertraulichkeit, Integrität, Verfügbarkeit) bei den Sicherheitsverantwortlichen im Vordergrund stehen. Privacy-Fragen, wie die von mobilen Geräten generierten Lokalisations-Daten, sind den Sicherheitsverantwortlichen zwar bekannt, werden aber als wenig relevant eingestuft.
Voice over IP
Die Voice over IP (VoIP), die Nutzung von Datennetzen zur Sprachkommunikation, wird in immer mehr Unternehmen eingesetzt. Die SSE-Teilnehmer berichteten von partiellen VoIP Implementierungen in Zweigstellen eines Unternehmens bis hin zu einer vollumfänglichen Umstellung auf VoIP. Rund ein Fünftel der vertretenen Unternehmen benutzt derzeit VoIP und hat damit gute Erfahrungen gemacht.
Die Sicherheitsrisiken von VoIP sind gemäss den SSE-Teilnehmern hauptsächlich technischer Art. Eine kompetente IT Abteilung vorausgesetzt, werden diese Risiken als kontrollierbar betrachtet. Im Vergleich zur herkömmlichen Telefonanlagen kann eine vergleichbare oder gar überlegene Sicherheit erreicht werden, bietet doch der Einsatz von VoIP die Möglichkeit, Gespräche mit geringem Aufwand zu verschlüsseln. Hingegen bestehen Bedenken betreffend der gemeinsamen Verwendung der Netzwerkinfrastruktur für Daten und Sprachinhalte. Einerseits wird durch diese gemeinsame Nutzung ein „Single Point of Failure“ geschaffen. Ein schwerwiegender Sicherheitsvorfall kann demnach alle Kommunikationskanäle gleichzeitig zum erliegen bringen, und somit die Reaktion auf den Vorfall erheblich erschweren. Anderseits wird – vor allem mit der Einführung von Softphones (PC als Telefon) – das Sprachkommunikationsnetz den Gefahren von Malware (Vieren, Würmer etc.) ausgesetzt. Die Entwicklung des letzteren Risikos ist zum jetzigen Zeitpunkt noch schwer einzuschätzen.
Generelle Security-Trends
Trotz der Vielfalt an Themen, die an den bisherigen SSE-Workshops besprochen wurden, finden sich unseres Erachtens folgende Gemeinsamkeiten im Hinblick auf die künftige Entwicklung im Bereich Information Security:
-
Die Wahrnehmung der Informationssicherheit hat sich gewandelt. Sie wird nicht mehr als Freipass für Netzwerktechniker verstanden, die im Namen einer „absoluten Sicherheit“ ganze Geschäftsbereiche bei der Arbeit behindern dürfen. Vielmehr hat ein Paradigmenwechsel stattgefunden, da umfassende Informationssicherheit nicht realisierbar ist, sondern mit anderen Ansprüchen des Unternehmens abgewogen werden muss. Man benötigt demnach eine risikobasierte Allokation der Ressourcen auch im Security-Bereich. Diese Sichtweise entspricht jener des Managements anderer Geschäftsbereiche und ermöglicht damit eine bessere Integration der Informationssicherheit in die Ziele des Unternehmens. Damit einher geht eine neue Anspruchshaltung an die Information Security. Sie soll zu einer „enabling technology“ mutieren, welche die Geschäftsziele eines Unternehmens unterstützt. Dies stellt den Kernanspruch an den heutigen Chief Information Security Officer (CISO) dar.
-
Die Hauptsorge des CISO betrifft heutzutage die organisatorische Security. Sie überwiegen die technischen Probleme der Security. Letztere gelten oft als lösbar, auch wenn sie zuweilen den Einbezug externer Experten benötigen. Ausnahmen bilden Technologien, die zu einem Paradigmenwechsel führen. Ein Beispiel sind die genannten mobilen Technologien, welche den Sicherheitsperimeter des Unternehmens zum Verschwinden bringen. Solchen Herausforderungen muss dann auf technischer Ebene, aber auch wieder auf der Ebene der organisatorischen Security begegnet werden, etwa mittels einer adaptierten Sicherheitspolitik.
-
Die Komplexität von Security-Fragestellungen nimmt zu. Dies ergibt sich zum einen aus der zunehmenden Durchdringung der Geschäftsprozesse von Unternehmen durch eine Vielzahl unterschiedlicher IT-Systeme. Zudem ist die sichere Konfiguration selbst einfachster Systeme, wie z.B. eines Web-Servers aufwendig. Diese Problematik potenziert sich bei Infrastrukturen, die oft aus tausenden von vernetzten Systemen bestehen. Hier ist zu erwarten, dass zukünftig jene Technologien an Bedeutung gewinnen, welche die Komplexität der Security verringern. Erste Trends in diese Richtung zeichnen sich ab. Beispielsweise dienen „Identity-Management“-Systeme der Vereinfachung der organisatorischen und technischen Verwaltung von Benutzern. Ein weiters Beispiel ist das Aufkommen von „Security Appliances“ – also Sicherheits-Systemen mit minimalem Konfigurationsaufwand.
Weitere Quellen der Komplexität sind rechtliche und branchenregulatorische Fragen. Der künftige CISO wird demnach kein reiner Techniker mehr sein, sondern muss ein Verständnis für solche „weichen“ Faktoren entwickeln. Diese soziale Komplexität kann dadurch aufgefangen werden, indem die für Security zuständigen Teams einen interdisziplinären Charakter haben.
Wirtschaftliche Aspekte
Schliesslich stellt sich die Frage nach der wirtschaftlichen Einschätzung von Information Security. Soll diese von den Unternehmen als Wettbewerbsvorteil angesehen werden (wie beispielsweise Sicherheit bei Autos) – oder vielmehr als ein notwendiger, gemeinsamer Standard (wie bei Flugzeugen)? Noch kann diese Frage nicht abschliessend geklärt werden – zumal die Antwort stark vom regulatorischen Umfeld geprägt ist. Heute scheint eher letztere Interpretation zuzutreffen – Security wird demnach von Unternehmen noch nicht als Wettbewerbsvorteil angesehen.
Unabhängig davon erkennen die Finanzmärkte in Security-Produkte ein wachsendes Marktpotential. So hat die Schweizer Privatbank Pictet die Lancierung eines Security-Funds per Anfang November dieses Jahres angekündigt [2]. Begründet wird dieser Schritt mit der Erwartung, dass Unternehmen weltweit ihre Budgets in Information Security in den kommenden fünf Jahren verdoppeln würden. Dies dokumentiert die wachsende ökonomische Bedeutung eines Gebiets, das einst als notwendiges Übel angesehen wurde – und auch die Erwartung, dass die Bedeutung des Themas Security zunehmen wird.