Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Klare Orientierungshilfen schaffen

Klare Orientierungshilfen schaffen

26. September 2007, 16:46 Uhr |

Runder Tisch: die Rolle des BSI – Wer sein Netz gegen moderne Attacken absichern möchte, steht vor einem Berg voller Fragen. Welche Technologie, welches Zertifikat, welche gesetzlichen Vorgaben? Network Computing und das Security-Forum haben dazu neben sechs führenden Herstellern den Präsidenten des BSI (Bundesamt für Sicherheit in der Informationstechnik) Dr. Udo Helmbrecht zu einer Stellungnahme nach Poing eingeladen.

Die Sicherheitslandschaft hat sich in den vergangenen zwölf Monaten stark verändert. Das Transportmedium E-Mail flutet die Netze mit Spam und feindlichen Attachments. Cracker sprengen Applikationen, indem sie ihren aggressiven Zündstoff in Strukturschwächen der Anwendungen platzieren und per Knopfdruck kollabieren lassen. Die IT-Industrie hat für all das Antworten parat. Eine Menge Antworten, die ein in vielen wichtigen Security-Funktionen widersprüchliches Bild schaffen. Das stellt die Verantwortlichen in für Sicherheits in Unternehmen vor Probleme. Wie sollen sie ihr Netz angesichts solch vielfältiger Lösungsansätze zukunftssicher schützen?

Network Computing und das Security-Forum haben daher neben sechs führenden Herstellern aus dem Sicherheitsbereich Dr. Udo Helmbrecht, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), zu einem runden Tisch eingeladen. Es wurde diskutiert, welche Rollen das BSI und die Industrie einnehmen sollten, um deutschen Unternehmen dabei zu helfen, mehr Sicherheit zu schaffen.

Standortbestimmung
Der Großteil der Teilnehmer sieht gerade im Mittelstand, dem oft gebrauchten KMU-Bereich (kleine und mittelgroße Unternehmen), Nachholbedarf in Sachen IT-Security. Wegen der neuen Bedrohungslage stehen aber auch die Musterschüler in Sachen Sicherheit unter Druck. Christoph Skornia, Technical-Manager Central-Europe bei Check Point, sagt dazu: »Wenn man fünf Jahre alte Bedrohungsszenarien als Basis nimmt, sind Enterprises im Vergleich zu KMU sehr gut aufgestellt. Nach Blaster und anderen modernen Schädlingen muss man aber fragen, ob Enterprises auch dagegen abgesichert sind.« Ingmar Lüdeman, Security-Sales-Manager Central & Southern-Europe bei F5, wirft ein: »Unternehmen haben den Fokus bisher auf den Netzwerkbereich gerichtet, obwohl zunehmend im Applikationsbereich die größeren Gefahren liegen.« Wieland Alge, CEO & Co-Founder bei Phion, relativiert: »Wir haben festgestellt, dass die Firmengröße kein echtes Kriterium ist. Es gibt zwar eine Tendenz, aber die statistischen Abweichungen sind viel zu groß. Ich kenne Mittelstandsunternehmen, die fantastische Arbeit liefern. Ich kenne aber auch Großunternehmen, bei denen es peinlich ist, mit den Verantwortlichen zu reden. Wir sollten uns weniger darauf konzentrieren, ob die KMUs oder der Enterprise-Bereich es richtig machen.«

Woran liegt es aber, dass einige Unternehmen gut aufgestellt sind, während andere »peinliche« Abwehrstrukturen aufsetzen? Udo Helmbrecht, Präsident des BSI, erklärt die Lage so: »Große Unternehmen können sich professionelle IT-Abteilungen leisten. Ab welcher Größenordnung kann ein Mittelständler dies?« Alexander Peters, Client-Services-Manager DACH bei Messagelabs, sieht es ähnlich: »Es fehlen Geld und Wissen, um die Thematik richtig anzugehen.« Petra Jenner, Regional-Director Central-Europe bei Check Point, fügt hinzu: »Generell fehlt die Einsicht, dass etwas für Sicherheit getan werden muss. Wenn sie dann da ist, stellt sich die Frage: Wie viel ist mir Sicherheit wert?« Gerhard Beeker, Business-Unit-Manager Etrust bei CA, ergänzt: »»Eine Meta-Group-Studie besagt, dass es auf dem KMU-Markt 40 Prozent Hasardeure gibt. Diese 40 Prozent tun grundsätzlich gar nichts, bis etwas passiert. Dort ist das Thema Risikomanagement und präventiver Schutz im Kopf noch gar nicht angekommen.«

Klaus Gheri, CTO & Co-Founder bei Phion, bringt es auf den Punkt: »Das Thema Security ist an sich negativ besetzt. Es für den kaufmännisches Entscheider nur Aufwand, der keinen Nutzen bringt. Die Hersteller können die Argumentation verfeinern, messianischen Eifer entwickeln und auf Probleme hinweisen. Wenn sie aber keinen simplen, greifbaren, einsichtigen Nutzen begründen können, wird es niemals zu den Investitionen kommen.« Die Branche sei selbst Schuld. Sie argumentiere mit üblen Bedrohungsbildern, die natürlich real sind, aber selten überzeugend.

Risikomanagement als Hebel
Wie lässt sich aber der Nutzen begründen, damit der Sicherheitsverantwortliche seinen Geschäftsführer von der Investitionsnotwendigkeit überzeugt? Wieland Alge von Phion erklärt: »Wenn ich IT-Security im Risikomanagement aufhänge, sind auch Geld und Verständnis da. Nicht so sehr für Sicherheit, sondern einfach für Risikomanagement.« Klaus Gheri von Phion ergänzt: »Sobald wir Sicherheit nicht in den Vordergrund stellen, sondern Themen wie Verfügbarkeit, begreifen die Entscheider das. Wenn ein Verantwortlicher seinem Geschäftsführer erklärt, er habe die Verfügbarkeit von SAP auf 99,999 gesteigert, dann kriegt er das Budget – und er wird weiteres bekommen.«

Gerade das Thema Verfügbarkeit ist eines der zentralen im Risikomanagement, wie der runde Tisch einstimmig feststellt. Wie aber lässt sich der Geschäftsführer zu diesem Schritt bewegen, steht der Prozess doch unter Generalverdacht, hohen Consulting-Aufwand und Kosten zu erzeugen? Udo Helmbrecht von BSI erläutert die Gründe: »Es fehlt ein Mechanismus, der IT-Security-Investitionen bewertet. Wir haben Diskussionen mit Verbänden aus der Versicherungs- und Bankenwirtschaft geführt. Aber in dem Punkt tut man sich schwer, das monetär zu bewerten.«

Mit dieser Antwort wollten sich die Hersteller nicht zufrieden geben. Gerhard Beeker von CA verlangt: »Wir können ja den Begriff Basel II ins Spiel bringen. Dies wäre eine Maßnahme. Nur sind ungefähr 0,1 Prozent des Scorings für die Bewertung eines Unternehmens an die IT-Security gekoppelt. Wenn man die Banken besser ins Boot bekommen könnte, indem diese ein standardisiertes IT-Security-Scoring bezogen auf Branche und Industrie definieren, dann steigt auch die Einsicht in den Unternehmen. Dann wäre auch Sicherheit über günstigere Kredite umsetzbar.«

Udo Helmbrecht vom BSI antwortet: »Es gebe eine Möglichkeit über Wirtschaftsprüfungsorganisationen. Man könnte dies auch mit anderen Verbänden tun. Am Ende braucht man mehrere an einem Tisch. Diese müssten ein System beschließen, das Versicherungen und Prämien mit berücksichtigt. Wir stehen hier sicherlich noch am Anfang. Vom BSI führen wir hier und da Gespräche. Das werden wir nachdrücklicher betreiben.« Das BSI hat den Bedarf erkannt, konkrete Lösungen aber noch nicht zur Hand.

Aufgaben des BSI
Diesen Scoring-Standard zu definieren, gehört sicher zu einer der wichtigeren Aufgaben des BSI. Welche Rolle soll dieses Amt noch einnehmen, welche Pflichten übernehmen? Alexander Peters von Messagelabs fordert: »Das BSI müsste zielgerichtet auf die Geschäftsführer- und Entscheiderebene zugehen. Die jetzigen Informationen wirken bisher doch sehr technisch orientiert.« Darauf Udo Helmbrecht: »Die Aufgabe, von der wir traditionell herkommen, ist Technik. Was wir im Laufe der vergangenen fünf bis zehn Jahre im Bereich Internet-Sicherheit und IT-Grundschutz etc. aufgebaut haben, geht ja in Ihre Richtung. Auch den Grundschutz informativ auf maximal 70 Seiten zu komprimieren, ist unser Ansatz, diese Informationen dem Entscheidungsträger näher zu bringen.«

Toralv Dirro, Security-Lead-Sales-Engineer bei McAfee, wünscht sich vom BSI eine engere Zusammenarbeit mit den jeweiligen Industrie- und Handelskammern (IHK). Wieland Alge von Phion schränkt ein: »Man darf das BSI nicht missbrauchen. Was es aber tun muss, ist, den Standort Deutschland zu verbessern. Dazu gehört, bei den Wirtschaftsprüfern den Blick dafür zu schärfen, dass auch Verfügbarkeit und Security Teile des Risikomanagements sind.« Christoph Skornia von Check Point schlägt in die gleiche Kerbe: »Bei den Wirtschaftsprüfungsgesellschaften müssten Prozesse ausgearbeitet werden, die Kriterien der IT-Security enthalten. Da ist das BSI ein idealer Kommunikationspartner, weil das Amt bei den Wirtschaftsprüfern ein hohes Ansehen genießt.«

Udo Helmbrecht antwortet: »Wir wollen gemeinsam die IT-Sicherheit in Deutschland erhöhen und den Standort stärken. An welchen Stellen aber soll das BSI beispielsweise gesetzgeberisch initiativ werden? Wo hört die Freiwilligkeit auf? Wo braucht man Gesetze, und wo sind sie wieder hinderlich, weil sie etwa den Wettbewerb einschränken?«

Peters von Messagelabs dazu: »Ich fände regulative Maßnahmen durchaus sinnvoll. Es ist die Pflicht der Regierung, dafür zu sorgen, dass nicht durch Fahrlässigkeit Schaden entsteht. Man könnte hier ähnliche regulative Maßnahmen treffen wie in der Flugindustrie: das BSI als Aufsichtsorgan über IT-Systeme.«

Gerhard Beeker von CA kontert: »Wir haben genügend regulative Vorgaben. KontraG, Basel II, die EU-Richtlinien, mehr brauchen wir wirklich nicht. Ich sehe uns alle gemeinsam mit dem BSI in der Pflicht, die Unternehmen auf diesem Gebiet weiter aufzuklären. Scheitern wir, bekommen wir noch mehr regulative Vorgaben.«

Udo Helmbrecht erklärt, dass das BSI in bestimmten Gebieten nicht aktiv sei, damit die Wirtschaft selbst Teilaufgaben übernehmen könne, beispielsweise beim Thema IT-Grundschutz. »Wir beziehen auch bei dem Thema Common-Criteria-Zertifizierung bewusst akkreditierte Prüfstellen ein. Dort soll das Geschäft gemacht werden. Auch bei den Grundschutz-Auditoren sagen wir, dass sie an die Zielgruppen gehen und über Beratung das Geschäft machen.« Die Industrie habe damit ein großes Stück Eigenverantwortung, die sie nicht auf das BSI abladen könne.

Transparente Zertifizierung
Eine der aktuellen Aufgaben des BSI ist es, Produkte nach international gültigen Standards zu zertifizieren. Hier sieht die Industrie großes Verbesserungspotenzial. Petra Jenner von Check Point dazu: »Ich wünsche mir vom BSI ein anerkanntes Prüfsiegel, das auf den bestehenden Gesetzesvorgaben basiert. Dies müsste von den Banken und Versicherern anerkannt werden.«

Udo Helmbrecht vom BSI antwortet: »Wir müssten dahin kommen, bestimmte Kriterien für bestimmte Produkte festzulegen. Dies wäre auch ein Weg zur Anerkennung der Zertifikate.« Christoph Skornia von Check Point kritisiert: »Die Zertifizierungen, wie wir sie heute kennen, sind sehr stark zustandsorientiert. Bei der Sicherheit sind Zustände eigentlich ja nicht zertifizierbar, weil die Lage in zwei Wochen ganz anders ausschauen kann. Wenn dieser Zertifizierungsprozess Monate und noch länger dauert, wird er der Entwicklung der Angriffe oder der Bedrohungsszenarien überhaupt nicht mehr gerecht.«

Udo Helmbrecht antwortet:»Wichtig ist, dass man entwicklungsbegleitende Zertifizierungen durchführt. Die Probleme in Sachen Kosten und Zeitaufwand entstehen meist, wenn man bereits ein Produkt hat und es dann zertifizieren lassen möchte. Das ist der ungünstigste Weg. Die grundlegende Frage ist, wofür diese Zertifizierung entwickelt wurde. Was ist ihr historischer Ursprung, was war der Ansatz? Dann ist das Produkt auch nur für den Einsatzfall sicher, für den es auch geprüft wurde.«

Christoph Skornia von Check Point kontert: »Bei der Zertifizierung sollte man die Unklarheiten beseitigen. Das ist sicher nicht ganz einfach, da viele Hersteller in eigenen Kriterien denken. Das BSI sollte hier einen Standardisierungsprozess einleiten, um Durchblick zu schaffen.«

Das BSI hat zu diesem Zweck mehrere Verbesserungen geplant. »Wir haben jetzt ein Pilotprojekt unter dem Titel vereinfachte Zertifizierung aufgesetzt. Damit wollen wir Massenprodukte in den Griff bekommen. Heute sind wir noch nicht in der Lage, ein Produkt mit einem Entwicklungszyklus von 18 Monaten nach Common-Criteria zu zertifizieren. Es rechnet sich für den Hersteller überhaupt nicht. Wir haben daraus gelernt«, so Udo Helmbrecht. Das BSI hat auch vor, Anfang kommenden Jahres Grundschutz und BS7799 als »ISO 17799«-Kombizertifikat anzubieten. Helmbrecht erklärt: »Heute besteht die Schwierigkeit, dass man beides machen müsste.«

Einsatzrichtlinie
Das BSI sollte aber bereits heute wichtige Aufgaben übernehmen. Gerade im Bereich der Aufklärung der Anwender über neue Sicherheitsgefahren oder Technologien kann das BSI als unabhängige Institution eine wichtige Rolle einnehmen. Toralv Dirro von McAfee wünscht sich, dass das Amt Einsatzempfehlungen definiert. »Das BSI sollte Antworten darauf geben, wie Anwender Produkte einsetzen und betreiben sollten.« Wieland Alge von Phion ergänzt: »Hier stelle ich mir klare Ideen zu Best-Practives für die größten Security-Probleme vor. Helmbrecht verspricht, dass das BSI natürlich produktneutral über neue Technologien berichten werde. »Auch im Virenschutz wollen wir die Informationsabstände verkürzen«, erklärt er. Michael Dickopf, Pressesprecher des BSI, beschreibt erste Ansätze, wie das BSI seinen Blick auch in die Zukunft auf neue Technologien richtet. »Wir werden eine neue Studie zum Thema VoIP herausgeben. Wir werden dieses Thema aus Sicht der IT-Sicherheit beleuchten.«

Zum Schluss der Gesprächsrunde vereinbarten Industrie und BSI, den offenen Dialog weiter zu führen und zu einem späteren Zeitpunkt den Stand der besprochenen Ansätze und Ideen zu bewerten.
pm@networkcomputing.de

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Riello UPS GmbH

Riello UPS GmbH
AixpertSoft GmbH

AixpertSoft GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
easybell GmbH

easybell GmbH