IT-Sicherheit: Das nächste Enron?

TechRepublic: Der Enron-Skandal hat viel Aufmerksamkeit auf unlautere Bilanzierungspraktiken gelenkt. Bedarf es einer ähnlichen Katastrophe in Bezug auf Sicherheit?




Neumann: Das ist ein guter Vergleich. Wegen Enron haben alle angefangen, in sämtlichen Ecken zu kehren, und ausnahmslos jeder findet Probleme. Auch Sicherheitssysteme für Computer werden hiervon nicht verschont, wenn auch die Probleme bislang nicht offen sichtbar geworden sind. Bis jetzt ist das elektronische Pearl Harbor, der Sicherheits-GAU der Unternehmenssysteme, ausgeblieben. Ich sagte einmal zusammen mit dem Sicherheitsbeauftragten einer großen Bank vor dem Wissenschaftsausschuss des US-Repräsentantenhauses aus. Er gab an, dass es noch nie ein ungemeldetes Eindringen gegeben habe, doch sind mir eine ganze Reihe davon bekannt. Banken sind extrem besorgt, dass ihre Kunden herausfinden könnten, was los ist. Sie sind aber gesetzlich verpflichtet, solche Dinge zu melden. Wenn Sie glauben, dass sämtliche Probleme gemeldet werden, haben Sie wirklich eine reiche Fantasie. Das ist ganz offensichtlich nicht wahr.

TechRepublic: Was können IT-Leiter sonst noch tun?

Neumann: Drei hauptsächliche Aspekte sind zu berücksichtigen: Authentifizierung, Berechtigung und Verantwortlichkeit. Man könnte die Authentifizierung verstärken. Vermutet man ein Insiderproblem, kann man die Zugangs- und Berechtigungskontrollen verschärfen, genau wie man auch die Buchhaltungssysteme vor dem Zugriff der Unternehmensmitarbeiter schützt. In den meisten Systemen ist die Verantwortlichkeit ziemlich dürftig organisiert. Man hat keine Ahnung, wo ein Eindringen stattgefunden hat, da die IP-Adresse gefälscht ist. Die zusätzlichen Kosten für Prüfpfade sind recht hoch, weswegen sie häufig deaktiviert werden. Dies sind die Grundlagen, die jedem IT-Leiter bewusst sein sollten. Das Problem ist, dass die Best Practices im Gegensatz zu den Internet-Technologien auf Legacy-Technologien bezogen sind. Alle versuchen verzweifelt, auf den neuesten Stand der Dinge zu kommen.

TechRepublic: Es scheint, als ob IT-Leiter wie Anwälte denken und alle Eventualitäten in Betracht ziehen müssen.

Neumann: Man muss wirklich vorausschauend denken und handeln. Tut man das nicht, wird man aus heiterem Himmel getroffen. Das amerikanische Verteidigungsministerium redet von der Stärke und Tiefe der militärischen Kapazität. Was wir haben, ist eher Schwäche und Tiefe, da es so viele Schwachstellen gibt. Vieles ist schon vom Prinzip her untauglich, unter anderem auch wegen der Nutzung völlig unspezifischer Anwendungen.

TechRepublic: Sind Sie im Bezug auf irgendeinen Sicherheitsaspekt optimistisch?

Neumann: Ja. Mein Optimismus rührt von den Leuten her, die die erforderliche Geduld aufbringen, um ihr Handeln zu durchdenken. Die meisten sind jedoch träge und entscheiden völlig unüberlegt. In puncto Computersicherheit bin ich nicht optimistisch. Die meisten Bemühungen gehen am Problem vorbei. Man kann mit einem schlechten System eben keine guten Ergebnisse erzielen.

 

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu IT-Sicherheit: Das nächste Enron?

Kommentar hinzufügen

Kommentare sind bei diesem Artikel deaktiviert.