Ganzheitliches Sicherheitskonzept
Einleitung (Am Anfang war …) – Zur Rechnerseitigen Sicherheit (Firewalls, Virenscanner, IDS) gibt es eine Unzahl an Dokumenten. Diese lassen aber ausser Acht, dass neben der reinen Softwaresicht auch andere Faktoren wesentlich sind. Es entsteht damit eine gefährliche Situation in der Serverbetreiber glauben dass durch den Kauf einer Firewall jede Gefahr gebannt ist. Tatsächlich jedoch ist mehr als bloße Soft/Hardware erforderlich um ein vernünftiges Sicherheitskonzept zu erhalten.
Konzepte zum ganzheitlichen Sicherheitskonzept machen es sich teilweise recht einfach indem sie voraussetzen dass sich jeder Prozess und jede Firma dieser neuen Sicherheit unterordnen. In der Realität haben aber Unternehmen bereits vorhandene IT und auch nicht änderbare Prozesse. Daher muss ich jedes Sicherheitskonzept auch an bereits vorhandene Strukturen anpassen und kann diese nicht grundlos auflösen. Auch die Erwartung, dass unbegrenzte Mittel für die Sicherheit zur Verfügung stehen ist blauäugig. Erst nach einem schweren Vorfall wird es ausreichende Mittel für Sicherheitsmaßnahmen geben.
Es werde Licht … – Der Erste Schritt für ein ganzheitliches Sicherheitskonzept ist eine Bestandsaufnahme. Die Hard/Software lässt sich dabei noch am schnellsten erfassen. Daher wird sie gerne in den Vordergrund gestellt da hier schnell Diagramme oder hübsche Poweropint-Folien für’s Management erstellt werden können. Dabei kommen dann andere Gefährdungspotentiale zu kurz. Geschäftsprozesse sind hier genau so als Risiko zu sehen wie Menschen. Hier lassen sich Fehler aber nicht durch einen Patch oder zB. Redundanten Aufbau beseitigen. Daher kann man unterscheiden zwischen:
…. Erde …
Physische Sicherheit ist ein wesentlicher Teil der leicht messbar und bestimmbar ist. Ein Server wird ausfallsicher wenn er eine zweite Platte besitzt und im Gebäude senkt man zB. das Brandrisiko durch sensible Melder oder automatische Löschanlagen. Für all das gib es fertige Handbücher die man abarbeitet ohne sich dem Risiko auszusetzen etwas zu übersehen.
…. Luft …
Ganz anders sieht es mit den nicht greifbaren Sicherheitsproblemen aus. Ein Geschäftsprozess in dem zwar definiert wurde dass ein Backup zu erstellen ist aber nirgendwo steht dass dieses dann auch in einem Panzerschrank versperrt sein soll ist noch relativ leicht zu finden. Abteilungsübergreifende Aufgaben oder ausgelagerte Funktionen sind eine Lösung. In beiden Fällen müssen mehrere Beteiligte über Prozesse reden und diese festschreiben. Fehler werden daher leichter erkannt. Das andere Extrem sind „Workoholics“ die alle wesentlichen Aufgaben selbst übernehmen. Es wird selten etwas dokumentiert weil die Zeit oder Lust fehlt. Es werden ausgefallene oder schnell zusammengebastelte Lösungen gewählt die niemand sonst versteht. Und das Desaster ist perfekt wenn der eine „Single Point of failure“ ausfällt. Dann bricht ein komplettes System zusammen wie ein Kartenhaus.
…. Wasser …
Ein Tropfen stellt keine Gefahr dar. Aber im Meer ist man verloren ohne Hilfe. Genau so sind einzelne Risiken vertretbar oder zu lösen. Alle zusammen sind aber so gross dass man nur mit passenden Mitteln überlebt. Ob es sich um einen Tretboot oder eine Luxusjacht handelt ist nur eine Frage der Finanzen. Und schon die Titanic hat bewiesen dass auch grosse Lösungen nicht immer perfekt sind.
…. Feuer …
Wenn es einmal passiert ist dass etwas passiert ist dann gibt’s Panik. Zuerst werden die Schuldigen gesucht, dann jemand der’s repariert und schließlich jemand der alles besser macht. Es folgen Versprechungen dass in Zukunft mehr in Sicherheit gesteckt wird und grosse Pläne werden ausgearbeitet. Die Realität sieht anders aus. Letztendlich wird doch wieder nur in absolut notwendige Sicherheitsmaßnahmen investiert und das ganzheitliche Sicherheitskonzept ist reine Illusion und Wunschdenken. Das Feuer ist aus, also sind wir jetzt sicher.
… Genesis …
Zuletzt fängt wieder alles von vorne an. Die bestehenden Konzepte werden überarbeitet, Fehler erkannt und (manchmal) behoben. Neue Sicherheitsmechanismen eingeführt und funktionierende Prozesse durch solche ersetzt die „sicher“ sind. Analysen werden gemacht und dann abgelegt. Hardware wird eingekauft bevor man weiss wofür man sie einsetzt oder nachdem die alte zusammengebrochen ist.
Alles ist wieder so wie es war und wir sitzen weiterhin in einem Ruderboot auf einem Meer aus Risiken.
Mal sehen, wen die nächste Welle erwischt.
Foto: Firat – Fotolia.com