IT-Sicherheit: Das nächste Enron?

Neumann, der in seinen zehn Jahren bei Bell Labs auch am Vorgänger von Unix mitarbeitete und 31 Jahre im Computer Science Lab von SRI tätig war, berichtete zu mindestens vier Anlässen vor dem amerikanischen Kongress über Sicherheitsrisiken. SRI, ein unabhängiges und gemeinnütziges Forschungsinstitut mit Sitz in Silicon Valley, Kalifornien, betreibt Forschung und Entwicklung im Auftrag von Regierungsbehörden, gewerblichen Unternehmen und gemeinnützigen Stiftungen.

In seiner Funktion als Chefinformatiker bei SRI und Kovorsitzender des Gutachterausschusses des Verbandes der Computerfachleute in den USA (ACM) ist Neumann mit zahlreichen Bereichen vertraut, von der Sicherheit und Zuverlässigkeit von Netzwerken bis hin zur Integrität von Wahlsystemen und den sozialen Auswirkungen des Datenschutzes. Im Juni dieses Jahres wurde Neumann der Computer System Security Award 2002 vom National Institute of Standards and Technology (NIST) verliehen.

Howard Baldwin von TechRepublic sprach mit Neumann über dessen Ansichten zum Thema Unternehmenssicherheit.

TechRepublic: Worüber sollten sich IT-Leiter in puncto Sicherheit Gedanken machen, und was sollten sie tun?

Neumann: Die IT-Leiter müssen besser informiert werden. Zunächst einmal sollten sie über die Risiken und Gefahren, denen sie ausgesetzt sind, aufgeklärt werden. Jeder einzelne Bereich der öffentlichen Infrastruktur ist angreifbar, ob es sich nun um das Informationssystem eines Unternehmens handelt oder um Telefonnetze, Kernkraftwerke oder die Flugsicherung. Sobald ein System mit dem Internet verbunden wird, ist es noch gefährdeter und kann zum Ziel bvon Angriffen werden. Ein unabhängiges System ist zwar sicherer, doch bestehen hier noch immer interne Risiken. Ein System kann niemals immun gegen Missbrauch durch Insider oder Außenstehende sein, auch wenn es noch so sorgfältig entwickelt und realisiert wurde.

Aus diesem sehr einfachen Grund ist der größte Teil der öffentlichen Infrastruktur mit Sicherheitsschwachstellen durchsetzt. Auch im Internet gibt es nicht viele vertrauenswürdige Strukturen. Wenn man davon ausgeht, dass dies bei den Informationssystemen, auf die sich Unternehmen verlassen, nicht anders ist, hat man ein Problem.

Die Händler behaupten, dass alles in bester Ordnung sei. Microsoft behauptet, dass alles in bester Ordnung sein wird, wenn man nur seine 100 Sicherheitspatches anwendet. Schon allein die Tatsache, dass es deren so viele gibt, beweist doch, dass dies Blödsinn ist. Entweder haben sie die tausend anderen Patches noch nicht gefunden oder sie wollen nicht darüber sprechen.