KMU-Magazin Nr. 7, September 2011

86 ICT & Technik

IT-Security

Grenzenlose Freiheit nicht möglich

Obwohl die Kriminalität in der elektronischen Welt ständig zunimmt, wird Datensicherheit noch in vielen Un-ternehmen als notwendiges Übel empfunden. Damit die konsequentere Umsetzung von Sicherheitsrichtlinien auch mit einfachen Lösungen durchgesetzt werden kann, ist ein Umdenken notwendig.

Rainer M. Richter

Daten sind das Kapital des 21. Jahrhunderts und ihr Wert steigt tagtäglich. Meldungen über Datenverluste und Datendiebstähle häu-fen sich und die Gefahren für das Kapital ei-ner Unternehmung werden kontinuierlich grös ser. Wie so manches in der heutigen Zeit hat sich auch die Kriminalität entsprechend verändert und verlagert sich zunehmend in die elektronische Welt. Wirtschaftsspionage wird vom Computer aus betrieben und neue Ge-schäftsmodelle für die Beschaffung von ge-heimen Informationen – der sogenannte Cy-ber Crime – laufen ihrer Blütezeit entgegen.

Flexibilität vs. Sicherheit

Notwendige Schutzmassnahmen fehlen den-noch in den meisten Unternehmungen, denn IT-Sicherheit und Datenschutz werden oftmals als Belastung und notwendiges Übel empfun-den. Das Interesse an einer grösstmöglichen IT-Sicherheit lässt sich selten mit der grösst-möglichen Flexibilität für die Mitarbeiter ver-einbaren. Denn umso mehr Freiheiten es beim Zugriff auf Firmendaten gibt, desto grösser ist die Möglichkeit, dass dies zu bewusstem oder ganz unbewusstem Datenabfluss führt. Bild-lich ausgedrückt: Man stelle sich einen Auto-Sicherheitsgurt aus Gummibändern vor. Auch dieser würde im Notfall nicht ausreichend Sicherheit bieten, sondern es bedarf eines

richtigen Gurts, um sich zu schützen. Sicher-heit kann nicht mit grenzenloser Flexibilität Hand in Hand gehen.

Geschäftsprozesse müssen sich verändern können, denn der Markt wandelt sich konti-nuierlich und damit entstehen neue Anforde-rungen an Unternehmen. Und hier beginnt der Teufelskreis: Aus Sicht der Anwender verstösst die IT gegen das Gebot, dass Geschäftspro-zesse unterstützt werden sollten. Doch um dieses Gebot mit den heute geforderten Schutzmassnahmen zu vereinbaren, müssten handelsübliche Lösungen individuell den Ge-schäftsprozessen angepasst werden, wofür die vorhandenen Budgets der IT selten den dafür benötigten Spielraum bieten.

Weitreichende Folgen

Der Nutzen von Sicherheitslösungen ist selten greifbar und deren Einsatz wird von Mitarbei-tern als störend empfunden. Auf den ersten Blick bringt Datensicherheit dem Unterneh-men kein Geld und engt die Anwender zusätz-lich ein. Sicherheitsverantwortliche stehen damit in einem Spannungsfeld zwischen An-wenderwünschen – sprich den Geschäftspro-zessen – und dem Bewusstsein hinsichtlich kosten orientierter Lösungen zum Schutze von versehentlichem oder böswilligem Datenab-fluss. Denn auf den zweiten Blick wird klar, dass vorsorgen besser ist, als im Fall der Fälle

das Nachsehen zu haben. Sicherheitsverant-wortliche befinden sich an diesem Punkt oftmals unter Zugzwang: Der Bedarf an Lösun-gen, welche die bestmögliche Flexibilität bie-ten, steigt weiterhin und die Unternehmens-führungen verlangen trotz möglicher Konse-quenzen oftmals Unmögliches möglich zu machen, nämlich die Sicherheit kostengünstig zu steigern und gleichzeitig die Flexibilität der Mitarbeiter zu wahren. Man denke hier bei-spielsweise an die oftmals gewünschte Nut-zung von Facebook, Twitter, XING etc., wel-che vermehrt als Kommunikationskanäle in Unternehmen eingesetzt werden sollen.

Die Folgen können aber weitreichend sein: Er-höhtes Gefahrenpotenzial, erhöhter adminis-trativer Aufwand, unglückliche Anwender, komplexe Geschäftsprozesse, überforderte IT-Mitarbeiter, nicht mehr überschaubare IT-Sys-teme, keine durchgängigen IT-Architekturen und damit wieder vermehrte Sicherheitslücken.

Einfache Lösungen gefragt

Der sinnvollste Weg aus diesem Dilemma ist die konsequentere Umsetzung von Sicher-heitsrichtlinien, welche mittels einfachen Lö-sungen gewährleistet werden können. Die Angst, dass die Flexibilität behindert wird, ist beim näheren Betrachten möglicher Unglücks-szenarien nach Datendiebstählen nahezu hin-fällig. Die Flexibilität teilweise einzuschränken,

KMU-Magazin Nr. 7, September 2011

87ICT & Technik

stellt sich als eigentliche Voraussetzung her-aus, die IT langfristig überhaupt handlungs-fähig zu halten. Klare Regeln mit möglichst wenigen Ausnahmen lassen sich mittels IT- Lösungen einfach umsetzen, kostengünstig unterhalten und bleiben überschaubar und damit sicherer. Wichtig ist, Gefahren zu erken-nen, um sein Unternehmen, wie mit einem Si-cherheitsgurt, unkompliziert und anwender-freundlich zu schützen.

Wie erwähnt, können Anwenderwünsche un-gemein vielfältig sein. Jeder beansprucht für sein Anliegen die erwünschte, umfangreiche Flexibilität und begründet dies mit der damit einhergehenden Kosteneffizienz und Markt-konformität. Sämtliche Anwenderwünsche umzusetzen bedeutet jedoch einen enorm ho-hen Aufwand für IT-Abteilungen, was zu statt-lichen Kosten führen wird. Die Kosteneffizienz wäre somit wieder stark infrage gestellt.

Nachstehend ein kurzes Beispiel zu den un-terschiedlichen Blickwinkeln beim Themenfeld Datensicherheit:

Anforderung aus Sicht der IT-Datensi-cherheitDaten, welche das Haus auf einem USB-Stick verlassen, müssen grundsätzlich verschlüsselt auf dieses Medium gespeichert werden.

Anforderung aus Sicht des AnwendersEr braucht für seine tägliche Arbeit die Mög-lichkeit, Daten auch unverschlüsselt auf einen USB-Stick abzuspeichern, damit er diesen sei-nem Kunden nach der Präsentation überge-ben kann.

Generelle kritische HinterfragungWerden wirklich so viele USB-Sticks den Kun-den übergeben? Macht es nicht mehr Sinn, wenn man dem Kunden die Informationen nach dem Besuch beispielsweise per E-Mail oder per Post zusendet und sich hierbei gleich nochmals für den Termin bedankt?

Die möglichen LösungenEs könnte eine komplexe Lösung implemen-tiert werden, bei welcher unterschiedliche Ausnahmen je nach Benutzer sowie Art der Daten definiert werden können. Hierfür müs-sen vorab sämtlichen Mitarbeitenden klare Berechtigungsprofile zugeteilt sowie sämtli-che Daten in Sicherheitsstufen klassiert wer-den. Somit ist es möglich, dass einzelne An-wender für spezifische, unkritische Daten (zum Beispiel eine Verkaufspräsentation) das Ab-speichern auf einem USB-Stick in unverschlüs-selter Form vornehmen.

Die andere Möglichkeit wäre eine einfache Lö-sung, bei welcher Sicherheit ohne vorherige Datenklassifizierung sowie Zuteilung von Be-rechtigungsprofilen u.v.m. gewährleistet wer-den kann. Für den Markt bedeutet diese Va-riante jedoch einen neuen Weg zu beschrei-ten, welcher teilweise eine Änderung von Gewohntem darstellt.

Zum Vergleich mit dem Sicherheitsgurt; frü-her gab es keinen, dann musste jedes Auto einen in der Frontreihe haben, später wurde dort das Anlegen Pflicht, dann kam der Fond dazu und dort herrscht inzwischen in den meisten Ländern auch Anschnallpflicht. Dies war auch mit einer Änderung der Gewohn-

heiten und den entsprechenden Vorbehalten verbunden.

Fehlende Verantwortung

Bei der oben beschriebenen Situation han-delt es sich lediglich um die vereinfachte Dar-stellung eines alltäglichen Prozesses. Mittler-weile findet man in der Praxis mehrere Wege und Möglichkeiten, um zu einem sicheren Ziel zu gelangen. Vorteile von einfachen Lösun-gen: Der Mitarbeiter müsste zwar seine Ar-beitsabläufe geringfügig umstellen, dafür wäre jedoch die Aufgabenstellung der IT-Ab-teilung um ein Vielfaches einfacher und die Datensicherheit könnte drastisch gesteigert werden.

Leider fehlt oftmals die Bereitschaft für solche «Eingriffe» in die Geschäftsprozesse und es ist niemand bereit, dafür die Verantwortung zu übernehmen. Das Ziel, den eigenen Stuhl zu behalten oder gar den nächsthöheren zu erreichen, scheint eine zu grosse Hemm-schwelle darzustellen. Anscheinend ist es be-quemer, die IT-Lösungen den Wünschen der Mitarbeiter anzupassen und dafür mit all den Nachteilen zu leben, welche mit dieser Ent-scheidung für ein Unternehmen einhergehen.

Wirksame Schutzmassnahmen gegen Datenklau oder -verluste werden immer wichtiger. Gleich-zeitig fehlt in vielen Unternehmen entweder die Sensibilität dafür oder Sicherheitsrichtlinien werden nicht konsequent umgesetzt.

KMU-Magazin Nr. 7, September 2011

88 ICT & Technik

Meist wird dabei aber vergessen, dass Firmen-daten in den Händen Dritter oftmals verhee-rende Folgen haben.

Unternehmen haben auf jeden Fall die Wahl, welche Sicherheitslösung sie möchten. Komple-xe Systeme zu implementieren, welche volle Anpassungsfähigkeit für bestehende Ge-schäftsprozesse versprechen, erhalten oft gros-sen Zuspruch. Die praktische Umsetzung ist dann allerdings meist nicht mehr ganz so ein-fach, wie sie zuvor dargestellt wurde. Denn je anpassungsfähiger die Lösung, desto komple-xer und damit umso grösser die Gefahr, dass bei der Umsetzung Fehler entstehen. Man schafft sich weitere Sicherheitslücken, ohne dass man sich deren bewusst ist. Ebenso steigt meist noch der administrative Unterhalt, den man weder einkalkuliert noch die dafür not-wendigen personellen Ressourcen hat. Gerade bei Klein- und Mittelbetrieben ist dies ein ent-scheidender Faktor. Es ist deshalb nicht verwun-derlich, dass in der Praxis derartige Projekte oft nicht komplett umgesetzt oder die Lösungen nach einiger Zeit wieder ausgeschaltet werden, da sie den eigentlich verfolgten Zweck doch nicht oder nur bedingt erfüllen.

Umdenken ist notwendig

Geschäftsleitungen müssen sich den Folgen ihrer Entscheidungen bewusst werden: Nur

mit einfachen Lösungen, welche unter Um-ständen eine gewisse Einschränkung in der Flexibilität mit sich bringen, können auf län-gere Sicht die Informationssicherheit und damit das Kapital der Unternehmen gesichert werden. Die Sicherheit zu erhöhen und dafür Einschränkungen zu akzeptieren, scheint ein guter Tausch zu sein. Oder gibt es wirklich trif-tige Gründe, weshalb Organisationen die Be-nutzung von Web-Mail, Instant Messaging etc. zulassen sollen, obwohl man weiss, dass damit ein Risiko zum Verlust von sensitiven Daten entsteht?

Zusammengefasst sollten sich Unternehmen jedenfalls auf die Suche nach der für sie ge-eigneten Sicherheitsvariante begeben. Wie schon zuvor definiert, gibt es einerseits die am Markt verankerten, handelsüblichen Lö-sungen, die eine vorherige Datenklassifizie-rung benötigen, damit das System effektiv sein kann. Dadurch können hohe Kosten ent-stehen. Auf der anderen Seite gibt es die Möglichkeit einer neuen Sicherheitsvariante, welche aufgrund ihrer Kostenfreundlichkeit gerade für Klein- und Mittelbetriebe interes-sant sein kann. Mithilfe eines innovativen An-satzes wird ohne grossen Aufwand, vorheri-ge Datenklassifizierung, zusätzliche Passwör-ter oder aufwendiges Key Management gearbeitet, womit sich die Anschaffungs- so-wie die Unterhaltskosten enorm verringern. Voraussetzung hierbei ist, dass Unternehmen

ihren Mitarbeitenden nicht jede erdenkliche Freiheit, wie etwa Kommunikationskanäle aus dem World Wide Web, zugänglich machen dürfen.

Porträt

Der Autor ist Chief Executive Officer der Barclay Technologies Holding AG und der Barclay Technologies (Schweiz) AG. Rainer M. Richter kann auf mehr als 20 Jahre Er-fahrung in der ICT-Branche zurückgreifen. Seine Karriere führte den gebürtigen Ös-terreicher als Nachrichtentechniker in un-terschiedliche Managementfunktionen. Zu seinen beruflichen Stationen zählen u.a. Unternehmen wie Exinda Networks und ForeScout Technologies. In der Funktion als Vice President führte er beide Unterneh-men in EMEA erfolgreich auf den Markt. Zuvor war Richter ursprüngliches Mitglied des Gründungsteams und General Mana-ger bei Nokia Internet Communication, New Technologies EMEA & APAC. Richter trug hier massgeblich zum Aufbau des Geschäftsbereiches IT-Sicherheit bei. Als Gründungsmitglied des Arbeitskreises IT- Sicherheit beim BITKOM, dem Bundesver-band Informationswirtschaft, Telekommu-nikation und neue Medien in Deutschland, bringt Rainer M. Richter seine volle Bran-chenerfahrung ein. Seit 2010 bekleidet er nun die Position des CEO bei Barclay Tech-nologies Holding sowie der Barclay Tech-nologies (Schweiz) AG.

Kontakt

Rainer M. RichterCEO

Barclay Technologies (Schweiz) AGGrossmattstrasse 9, 8902 Urdorf

Tel. +41 44 847 31 31rainer.richter@bthag.com

www.barclaytechnologies.ch

Angriffe auf die Datensicherheit können vielfältig sein, es muss nicht immer gleich Wirtschaftsspionage dahinterstecken. Häufig geschieht der Datenabfluss durch den Anwender.