Runder Tisch Security, Teil I – Wie sehr traut ein großes Unternehmen wie SAP den Herstellern von Sicherheitsprodukten? Was erschwert seinen Security-Alltag? Und welche Tipps hat es, mit denen auch kleinere Unternehmen ihre Probleme mildern können? Diese Fragen und mehr diskutierte Sachar Paulus, CSO von SAP, mit fünf Herstellern am runden Tisch.

Mit seinen rund 35800 Mitarbeitern, die über den ganzen Globus verstreut über ein entsprechendes Netz miteinander kommunizieren, zählt SAP definitiv zu einem den größeren Unternehmen in Deutschland. Als Chief-Security-Officer (CSO) trägt Sachar Paulus in Sachen EDV die Strategieverantwortung für SAP. In dieser Rolle prägt er alle wichtigen IT-Entscheidungen, so auch im Bereich IT-Sicherheit. Grund genug, mit ihm heutige Probleme auf diesem Gebiet zu diskutieren und fünf Hersteller von entsprechenden Produkten damit zu konfrontieren. Muss Sachar Paulus in seinem Alltag doch aktuellen Herausforderungen in all ihren Spielarten begegnen. Ein Alltag, der schonungslos offenbart, ob die Produkte halten, was ihre Verkäufer versprachen. Klaus Lenssen von Cisco, Sebastian Rohr von Computer Associates (CA), Esther Donatz von F5 Networks, Toralv Dirro von McAfee sowie Klaus Gheri und Wieland Alge von Phion stellten sich der Diskussion. Im zweiten Teil spricht der runde Tisch über das Problem des Patch-Managements und die fehlende Verknüpfung zwischen technischen und geschäftsbezogenen Informationen. Der zweite Teil wird in einer der kommenden Ausgaben der Network Computing publiziert.

Eine Frage der Angst

Das Marketing der Hersteller malt unaufhörlich neue Bedrohungsbilder, die Unternehmen dazu bewegen sollen, in entsprechende Gegenmaßnahmen zu investieren. Leben sie doch von Umsatz und Verkauf. Sind es Würmer, Spyware, Saboteure »oder trivialere Probleme wie der Baggerfahrer in Chile oder der Praktikant bei der Telekom, der den Router rekonfiguriert«, wie es Wieland Alge von Phion formuliert?

Sachar Paulus: »Am meisten Angst habe ich vor Industriespionage. Auch um die Verfügbarkeit unserer Supportsysteme.« Als Haupteintrittsvektor sieht er nicht technische Verbrechen, sondern Social-Engineering. »Zu 80 Prozent«. Seine Gegenmaßnahmen sind demnach technikfremd. »Positives Unternehmensklima, gute Identifikationsmöglichkeiten des Mitarbeiters. Das sind weiche Faktoren.« Also gar keine Angst vor Crackern und Saboteuren, da sie nur 20 Prozent der Attacken verursachen? Paulus relativiert: »Die technisch erlangten Informationen sind viel besser auswertbar. Denn der technische Kanal lässt sich ausbauen und automatisch filtern, siehe Blackberry-Diskussion.« Darin liegt die Gefahr des digitalen Einbruchs. Einmal erfolgreich, richtet er viel größere Schäden an als ein geglückter Social-Engineering-Versuch.

Damit Mitarbeiter für letztere Attacken weniger anfällig sind, führt das Team von Sachar Paulus eine Reihe von Maßnahmen durch. »Wir machen im Schnitt zwei bis drei Mal im Jahr Awareness-Kampagnen, wo wir vor Ort mit den Leuten in Dialog treten. Hin und wieder kriegen wir die Vorstände dazu, bestimmte Vorfälle publik zu machen, um dem gesamten Unternehmen unser Konsequenzmanagement zu belegen. Je nach Schwere entlassen wir den jeweiligen Mitarbeiter oder mahnen ihn ab.« Die Mitarbeiter müssen schließlich begreifen, dass ihr Fehlverhalten unangenehme Folgen hat. Welche, hängt von der Schwere des Verstoßes ab. Paulus setzt unter anderem auch Tiger-Teams ein. Das sind gebuchte White-Hat-Hacker, die das Sicherheitsniveau, auch das organisatorische ohne Wissen der Mitarbeiter untersuchen. So lassen sich Schwachstellen aufspüren, bevor ein externer Hacker sie durch einen erfolgreichen Einbruch offen legt.

Viele Abwehrtools beherrschen Funktionen, die das Fehlverhalten der Anwender auch dokumentieren könnten. Gesetzliche Vorgaben wie der Datenschutz verbieten es, diese einzusetzen. Hält sich SAP daran?

Sachar Paulus: »Erstens ist es so, dass bei begründeten Verdachtsmomenten viele dieser Kontrollen oder Einsichtsnahmen dann doch vorgenommen werden. In dem Fall ist die Staatsanwaltschaft involviert. Man muss das also offiziell machen. Wenn es hart auf hart kommt, stört es uns nicht. Das Zweite ist, ich glaube persönlich nicht an Sicherheitsmaßnahmen, die durch Detection funktionieren. Wir setzen sehr stark auf präventive Maßnahmen. Wenn jemand bestimmte Informationen nicht einsehen soll, dann muss das System so konfiguriert sein, dass es das verhindert. Das ist in der Praxis aber noch ein Riesenproblem. Wir versuchen beispielsweise, den Datenschutz flächendeckend einzuhalten und nur bei begründeten Verdachtsmomenten auch weiter zu gehen.«

Alle Teilnehmer des runden Tisches stimmten zu, dass die Mitarbeiter prinzipiell einen Vertrauensvorschuss bekommen sollten. Ohne jedoch auf die Möglichkeit zu verzichten, im Extremfall Sanktionen zu ergreifen.

Sebastian Rohr von CA wirft ein: » Im Gespräch mit Kunden habe ich gehört, dass die meisten ihren Mitarbeitern vertrauen. Sie haben doch eine Policy, die Regeln aufstellt. Und wie setzen sie die Policy durch? Gar nicht!. Sie haben also Regeln vorgeschrieben, aber kein Medium, das sie durchsetzt oder ihre Einhaltung kontrolliert.«

Klaus Gheri von Phion dazu: »Es ein feiner Unterschied, ob Sie die Auswertung der Daten dazu verwenden, Repressalien gegen Mitarbeiter zu setzen. Oder ob der Mitarbeiter durchaus wissen darf, dass Sie die Daten aufzeichnen, sogar gelegentlich anschauen, ohne dass dies Folgen hätte. In einem größeren Betrieb funktionieren solche Regelungen im Gentleman-Stil nicht. Erst ein Web-Filter kriegt das in Griff. So lange Sie keine Sanktionen setzen, ist es für die Mitarbeiter unglaubwürdig.« Toralv Dirro von McAfee ergänzt: »Im Unternehmen ist die gleiche Mischung wie in der Gesellschaft zu finden. Unter anderem einen geringen Anteil an Schwerkriminellen, auch wenn er weniger als ein Prozent beträgt.«

Mit welchen Zielen hat Sachar Paulus die Policy bei SAP ausformuliert? »Dieses Regelwerk ist wie ein Gesetz, das die Werte ausdrücken muss, die das Verhalten steuern sollen.«

Wie sieht dies konkret aus, Beispiel private E-Mail- und Web-Nutzung? Dazu Paulus: »Wir haben in der Policy ganz explizit aufgeschrieben, was an Privatnutzung erlaubt ist. Wir haben genau geschrieben, welche Server, welche Systeme zugelassen sind, ohne die Uhrzeit festzusetzen. Wir wollen ja auch den Übergang zwischen Privat- und Dienstzeit möglichst ausdehnen, weil es ja zu unserem Nutzen ist. Die Mitarbeiter dürfen auch MP3s auf ihrem Firmenrechner speichern. Sie dürfen aber weder P-2-tP-Netzwerke aufbauen, noch MP3s auf einen Share legen.« Das alles ist ohne Betriebsrat geschehen, was den Prozess erschwert hat. Denn Paulus musste einen Workflow implementieren. Darin hat jeder einzelne Mitarbeiter bestätigen müssen, dass er die Policy gelesen hat und auch annimmt. Mit einem Betriebsrat wäre es viel leichter gewesen, weil er dann eine Betriebsvereinbarung hätte abschließen können.

Sebastian Rohr ergänzt: »In dem Zusammenhang gab es ein paar interessante Gerichtsurteile. Ein Unternehmen hat ihre Policy, die das private Surfen verboten hat, nur auf einer Intranetseite veröffentlicht. Ein Mitarbeiter hat aber trotzdem mehrfach Dinge angesurft und wurde entlassen. Das Arbeitsgericht hat ihm Recht gegeben. Denn das Veröffentlichen der Richtlinien im Intranet genügt nicht, weil der Nutzer von dieser Einschränkung Kenntnis haben muss. Der Mitarbeiter hätte also ein Papier vom Betriebsrat, eine Betriebsvereinbarung oder eine Erweiterung des Arbeitsvertrags unterschreiben müssen. Einige Unternehmen lassen beispielsweise beim Logon eine kleine Maske hochfahren. Darin steht: Hiermit teilt Ihnen ihre IT mit, die zur Verfügung gestellten Infrastrukturen Geräte etc. sind nur für den dienstlichen Gebrauch zu nutzen. Wenn der Nutzer dann ,nein’ klickt, fährt der Rechner runter.«

Vertrauensfrage

Die IT-Industrie wird von amerikanischen Anbietern dominiert. Diese beherrschen neben vielen anderen eine Kunst ganz ausgezeichnet: Produkte, mögen sie gut oder schlecht sein, durch buntes und lautes Marketing im richtigen Licht erscheinen zu lassen. Die darin geborenen Argumente überdauern manchmal sogar bis zur Projektplanung oder Ausschreibung. Glaubt jemand wie Sachar Paulus den Aussagen der Anbieter überhaupt noch, sei es im Marketing oder bei Ausschreibungen? »Wir glauben den Fachherstellern erstmal nichts. Das liegt in der Natur der Sache und hat nichts mit Personen zu tun. Es läuft darauf hinaus, ob sich die Informationen der Hersteller mit dem Eindruck und der Einschätzung des Markts oder der technischen Möglichkeiten decken. Wenn wir mit zu starken oder zu innovative Gedanken konfrontiert werden, sind wir sehr kritisch und hinterfragen die Sachlage. Nicht, dass wir es nicht glauben wollen – wir verlangen jedoch gute Argumente oder wollen Beweise«, erklärt Paulus seinen Standpunkt.

Dieses Misstrauen gegenüber Angaben ist aber nicht einseitig. Auch die Hersteller kritisieren, dass Unternehmen gerade bei Ausschreibungen schlecht arbeiteten. Sebastian Rohr von CA dazu: »Ab und zu merkt man sehr deutlich, dass nach allem gefragt wird, was als mögliches Feature irgendwo in einem bestimmten Markt genannt wurde.«

Toralv Dirro von McAfee ergänzt: »Gerade solche Request-for-Information (RFI) oder Request-for-Papers (RFP) sind interessant. Wahrscheinlich kursieren in Industriekreisen vorgefertigte Bögen. Denn 10 Prozent dieser 300 bis 400 Fragen mächtigen Werke werden ständig abgefragt. Kein Kunde, den ich kenne, benutzt die darin verlangten Funktionen. Ein Beispiel: Rekonfiguriert ihr Produkt die Firewall, um irgendwelche Sachen zu blocken? Ich wäre sehr dankbar, wenn mit jemand einen Kunden zeigt, der das wirklich einsetzt.«

Wieland Alge von Phion fügt an: »Die 300 bis 400 Fragen sind zudem viel zu wenig quantifiziert. Darin sind manchmal Fragen eingebettet wie: GUI – Ja/Nein«. Die Vertreter der Industrie klagten nahezu einmütig darüber, dass in den Dokumenten oft ersichtlich wird, dass von vornherein das Produkt eines gewissen Herstellers favorisiert ist. Die Ausschreibung als Scheinwettkampf, bei dem der Sieger vorher feststeht.

Entscheidungskriterien

Was spricht für oder gegen ein Produkt, wenn es nicht die Argumente der Hersteller sind, sei es aus Marketing oder Ausschreibung? Sachar Paulus bezieht Stellung: »SAP selbst spielt eine im Vergleich zu einem durchschnittlichen großen Unternehmen eine andere Rolle. Wir sind natürlich selbst in der Technologiebranche. Über unsere eigenen Aktivitäten haben wir Kooperationen mit unterschiedlichen Technologieprovidern. Wenn ich mit zwei, drei Firewall-Herstellern ohnehin zusammenarbeite, würde ich zuerst diese fragen.« Er gesteht aber ein, dass es für jemanden, der nicht aus der Technologiebranche stammt, in der Tat schwierig ist, an vertrauenswürdige Informationen zu gelangen. » Für nichttechnologische Unternehmen gibt es in der Tat begrenzte Möglichkeiten. Beispielsweise jene Anbieter auszuprobieren, die der Verantwortliche auf der Messe getroffen hat. Oder er geht auf einen Analysten zu und lässt sich beraten.«

Wieland Alge bringt noch einen weiteren viel versprechenden Weg ins Spiel. Den ominösen Heinz, mit dem man Tennis spielt. Der arbeitet mit dem Hersteller schon seit längerem, warum also nicht bei dem kaufen? Damit dieses Peer-Group genannte Prinzip greift, müssen einige Bedingungen erfüllt sein. Alge dazu:» Sofern der Heinz eine ähnliche Herausforderung hat wie man selbst. Der einfachste Weg ist in dem Fall der seriöseste.«

Einen Dienstleister zu fragen, sieht der runde Tisch als keinen guten Weg. »Sie sind auch nicht unabhängig, weil sie verschiedene Produkte und somit unterschiedliche Margen haben«, so Alge. Sebastian Rohr von CA fügt hinzu: »Dienstleister sind durch ihre Zertifizierungen gebunden und diese wiederum an Vorgaben über Volumina, die zu leisten sind. Sonst gehen beispielsweise Rabatte verloren.«

Toralv Dirro von McAfee ergänzt: »Großunternehmen haben es da tatsächlich leichter. Auf diesem Niveau existieren oft kleine, informelle Kreise, in denen Verantwortliche auch über die Unternehmensgrenzen ihre Erfahrung austauschen. Je kleiner Unternehmen sind, desto bedeutsamer ist am Ende die Peer-Group – das Tennismatch, der Golfplatz, die Runde Tischtennis.«

Wie gelingt es unter diesen Bedingungen einem vergleichsweise jungen Anbieter von Sicherheitslösungen, in die Auswahl zu kommen? Für Sachar Paulus ist das wichtigste Kriterium die finanzielle Rentabilität. Wie er das prüft? »Wenn hinter dem Start-up beispielsweise eine bedeutende Investmentgruppe steht. Am Ende bleibt es schwierig, Start-ups hineinzubekommen. Die Fachabteilung muss sagen, das ist genau das, was wir brauchen. Die haben das richtige Denken und passen zu uns. Es erfordert unter dem Strich deutlich mehr Aufwand, als wenn ich bei CA oder McAfee einkaufe.«

Was bringt daneben ein so großes Unternehmen wie SAP dazu, überhaupt einen kleinen Anbieter ins Kalkül zu ziehen? Dazu Paulus: »Innovation. Wenn wir mit einem kleinen Hersteller arbeiten, dann erwarten wir, dass er die fehlende Reputation mit einem neuen Ansatz oder Konzept ausgleicht.«

Esther Donatz führt weiter aus. »Ich kann das für diese Zusammenarbeit mit SAP nur bestätigen. F5 hat den Anbieter Uroam übernommen, deren Kunde SAP war. Wir haben uns die Frage gestellt, wie es zu dieser Entscheidung kam, weil Uroam damals sehr, sehr klein war. Eine wichtige Rolle hat neben der Innovation der direkte Draht zu dem Development gespielt. Diese Flexibilität muss auch bei der Eingliederung in das größere Unternehmen gewährleistet bleiben.« Klaus Gheri von Phion ergänzt: »Dass Sie als Start-up überhaupt erfolgreich sein können, heißt, dass Sie besser sein müssen, zwangsläufig. Sie müssen erreichbarer sein, ein besseres Produkt haben. Dem Preis wird unterstellt, ein De-facto-Kriterium zu sein. Keineswegs. Denn Sie müssen nicht billiger sein als der Top-Wettbewerb, sondern viel besser.«

Esther Donatz von F5 hakt nach: »Wie wichtig ist Ihnen die Supportstruktur, da SAP als multinationales Unternehmen fungiert?« Dazu Sachar Paulus: »Je nachdem, wie das Produkt eingesetzt werden soll. Bei einer kleinen Softwarekomponente wie einer Passwort-Verwaltungssoftware beispielsweise ist kein weltweiter Support nötig. Es reicht völlig, wenn man das lokal macht.«

Als wichtiges Kriterium bewertet Paulus die Flexibilität eines Produkts. Ein weiches Kriterium, wie Klaus Lenssen von Cisco zu bedenken gibt. Paulus erklärt, wie er diesen Punkt bemisst: »Das bringt die Erfahrung. Ein Pilot ist auch hilfreich. Für die Fachabteilung ist abschreckend, wenn der Anbieter träge arbeitet oder nicht genau verstanden hat, was wir eigentlich machen wollten.«

Eins sollten aber gerade mittelständische Unternehmen nicht gering schätzen, war sich der runde Tisch einig. Für ein kleines Start-up ist ein solcher Kunde ein großer und wird entsprechend privilegiert behandelt. Während solch eine Firma bei einem großen Anbieter in einen Einheitstopf fällt und dementsprechend in der Masse untergeht.

Und mit einer weiteren, typischen Marktreaktion müssen sie auch rechnen. Wenn der Anbieter eine gewisse kritische Masse überschritten hat, wird er seine Flexibilität in strengere Prozesse gießen. Esther Donatz dazu: »Wenn es einmal richtig läuft, dann verschiebt sich der Fokus. Am Anfang dominieren Innovation und Flexibilität, dafür wenig Bürokratie. Später kommen entsprechende Prozesse dazu, die eine überregionale und qualitativ hochwertige Unterstützung für den Kunden sichern.«

Wieland Alge spricht aus Erfahrung: »Gerade im Security-Bereich, das haben wir als Phion lernen müssen. Gerade in den ersten zwei, drei Jahren haben wir für die Kunden alles gemacht. Das haben wir dann radikal gestoppt. Wesentlich ist, dass ein Anbieter ein Advisory-Board ausbaut. Dadurch wird für Kunden und Hersteller eine wichtige Plattform geschaffen, die auch Raum für notwendige Diskussionen zulässt; beispielsweise zur Roadmap.«

Paulus von SAP ergänzt seine Kundensicht: »Am Anfang wollen wir diese hohe Flexibilität und starke Innovation. Später möchte ich eine hohe Standardisierung bei den Produkten und Prozessen des Herstellers und einen hohen definierten Standard bei Quality-of-Service.« Ein interessantes Spannungsfeld, in dem Kunden und Hersteller leben.

pm@networkcomputing.de