Auf der Gemeinschaftsveranstaltung von TelekomForum und T-Systems am 8. November in Hamburg informierten und diskutierten hochkarätige Referenten aus Politik und Wirtschaft über Sicherheitsfragen, Notfallplanung und aktuelle Bedrohungen. Auch in diesem Jahr war das Themenspektrum der Sicherheits-Fachtagung wieder breit gestreut, so dass die Besucher die Gelegenheit hatten, weit über die Thematik der IT-Sicherheit hinauszublicken.
Dies zeigen auch zwei Schwerpunkte der Veranstaltung
Dies zeigen auch zwei Schwerpunkte der Veranstaltung: die Themen Wirtschaftsspionage und Business Continuity Management. Ein Aspekt tauchte fast durchgängig in allen Vorträgen auf – das größte Risiko ist das fehlende Bewusstsein für Sicherheit. Das gilt noch stärker im Kleinen, d.h. im privaten Bereich und im Unternehmen, als beispielsweise bei so riesigen Sportevents wie der Fußball-WM 2006 in Deutschland oder bei politischen Veranstaltungen.
In der Innenpolitik ist wohl kaum ein Thema so umstritten wie der Plan des Bundesinnenministers Wolfgang Schäuble, Sicherheitsbehörden heimliche Online-Durchsuchungen zu erlauben. Auch der wohl prominenteste Redner auf dem SecuritySymposium, der Hamburger Innensenator Udo Nagel, unterstützt diese Pläne und erläuterte in seinem Vortrag „ Globalisierung der Wirtschaftskriminalität und ihre Auswirkungen“ auch die Gründe dafür: „Bei der Strafverfolgung im Internet stoßen wir ständig an Grenzen, deshalb brauchen wir die Online-Durchsuchung als rechtlich abgesichertes Instrumentarium.“ Nagel gab in seinem Vortrag aber vor allem auch einen allgemeinen Einblick in die Entwicklung der Wirtschaftskriminalität.
Diese werde auf der einen Seite immer globaler, auf der anderen Seite gebe es aber trotz steigendem Warenverkehr, erhöhter Mobilität und globaler Finanztransaktionen immer noch einen lokalen Tatort. Und da seien die Sicherheitsbehörden gefragt. Es sei schwer, mit der rasanten Entwicklung der Wirtschaftskriminalität mitzukommen: „Behörden hinken immer einen Schritt hinterher, und wir sind schon froh, wenn wir diesen Abstand halten können.“ Gleichzeitig erschwere aber auch die viel zu langsame Rechtsanpassung den Sicherheitsbehörden die Arbeit, gerade wenn es um neue technologische Entwicklungen wie beispielsweise VoIP gehe: „VoIP werden wir nicht mehr abhören können, denn das Rechtsgebäude ist auf drahtgebundene Telefonie abgestellt.“ Dies sei ein Grund mehr, warum Online-Durchsuchungen sinnvoll seien. Aber auch auf Unternehmensseite bedürfe es eines höheren Sicherheitsbewusstseins. Generell werde es der organisierten Kriminalität zu leicht gemacht: „Es gibt ein ganz einfaches Gegenmittel: Ein stark ausgeprägtes Sicherheitsbewusstsein bis hinauf in die Chefetage.“
Damit wurde Nagel direkt zum Stichwortgeber für Reinhard Vesper, zuständig für die Abwehr von Wirtschaftsspionage im Innenministerium NRW. In seinem Vortrag „Wirtschaftsspionage und Know-how-Schutz“ mahnte Vesper nämlich genau dieses Sicherheitsbewusstsein an. Wie relevant das Thema Wirtschaftsspionage sei, zeige die Tatsache, dass Industriespionage durch den ungewollten Abfluss von Know-how 30 Prozent der Kosten der deutschen Wirtschaftsdelikte verursache. 27 Prozent entfielen zusätzlich noch auf die Produktpiraterie. Dabei steige die Zahl der in Deutschland von Industriespionage und Produktpiraterie betroffenen Unternehmen nach einer Studie von PricewaterhouseCoopers stark an, von acht Prozent im Jahr 2003 auf 13 Prozent im Jahr 2005.
Trotz dieser erschreckenden Zahlen sei das Sicherheitsbewusstsein in deutschen Unternehmen nach wie vor nicht ausreichend vorhanden: „Unsere Firmen betreiben geradezu Exhibitionismus, während in vielen Ländern die Geheimdienste sogar gesetzlich zur Wirtschaftsspionage verpflichtet sind.“ Vesper nennt als Auftraggeber für Wirtschaftsspionage neben Ländern und Regionen wie Russland, Asien und dem Nahen und Mittleren Osten auch das westliche Ausland und zitiert aus dem Jahr 2001 den ehemaligen CIA-Chef James Woolsey: „Natürlich spionieren wir Euch aus, weil Ihr dauernd betrügt und wir nie.“
Leistungsstarke Sicherungslösungen seien enorm wichtig, dennoch gelte im IT-Zeitalter nach wie vor: „Der Mensch bleibt die größte Sicherheitslücke.“ Neben so häufigen Problemen wie Social Engineering oder dem Verlieren von PDAs und Laptops würde beispielsweise oft vergessen, dass moderne Kopierer, Drucker und auch Faxgeräte mit einer Festplatte ausgestattet seien und darauf Kopien der Dokumente gespeichert würden. Allein bei einer Druckereinheit mit 128 MB Dokumentenspeicher könnten so Tausende von Seiten rekonstruiert werden. Vesper appellierte: „Lassen Sie uns Ihre Erfahrung zukommen. Anders als die Polizei brauchen wir keinen konkreten Verdacht, sondern nur Erkenntnisse, um zum Schutz der deutschen Wirtschaft tätig werden zu können.“
Das eigene Sicherheitsbewusstsein kritisch überdenken
Das eigene Sicherheitsbewusstsein kritisch zu überdenken, war auch eine Forderung von Dirk Fox, Geschäftsführer der Secorvo Security Consulting GmbH, aus seinem Vortrag „Bypass – oder: warum kompliziert, wenn es doch ganz einfach geht?“ Fox erläuterte: „Wir glauben immer, dass wir ein Problem mit technischen Lösungen im Griff haben. Dabei haben wir bestenfalls ein punktuelles Erfolgserlebnis. Solange wir IT-Sicherheit als Behinderung der Arbeit betrachten und sie mit Bypässen aushebeln, bewegen wir uns auf dünnem Eis.“ Als typische Bypässe bezeichnete der Sicherheitsberater beispielsweise Laptops mit unverschlüsselter Festplatte oder fehlende Backups bei Privatrechnern. Hinzu kämen unkontrollierte Internetzugänge wie DSL-Anschlüsse in Niederlassungen oder auch drahtlose Zugänge auf Dienstreisen. Genau wie Vesper charakterisiert auch Fox Menschen als größte Risikofaktoren für die IT-Sicherheit, die häufig Schäden mit verursachten, sei es durch die Wahl ungeeigneter Passwörter, den nachlässigen Umgang mit sensiblen Daten oder auch durch die Anfälligkeit für Social Engineering.
„Für jede kreative Schutzmaßnahme finden Mitarbeiter eine noch kreativere Umgehung“, konstatiert Fox. Ursachen für das gefährliche Verhalten der Mitarbeiter seien häufig Fehleinschätzungen bezüglich der Bedeutung von Informationen, Unkenntnis über Methoden, Tools und Vorgehensweisen der Angreifer, die Empfindung, dass Sicherheitsmaßnahmen hinderlich und zeitintensiv seien, oder die Abwälzung der Verantwortung auf die IT-Abteilung. Oft werde die Bedeutung des eigenen Verhaltens unterschätzt. Das Resumé von Fox: „Wer eindringen will, kommt nicht frontal mit dem Panzer, er sucht die Lücke. Und der wirksamste Schutz dagegen sind loyale, kompetente und starke Mitarbeiter.“
Business Continuity Management
Einen weiteren Schwerpunkt auf dem SecuritySymposium bildete in diesem Jahr das Thema Business Continuity Management (BCM). BCM umfasst die Planung und Vorsorge für Notfälle und Krisensituationen und geht auch über die reine IT-Notfallplanung hinaus. Was beispielsweise auf ein Unternehmen zukommen kann, wenn sich eine Grippewelle zur Pandemie steigert, erläuterte Timo Kob, Vorstand der HiSolutions AG, in seinem Vortrag „Betriebliche Notfallplanung für den Fall der Pandemie“.
Gleich zu Beginn verdeutlichte Kob die Relevanz und die Tragweite des Themas Business Continuity: HiSolutions erstelle derzeit im Auftrag des Bundesamts für Sicherheit und Informationstechnik (BSI) den BSI Standard 100-4, der Teil des IT-Grundschutzes werde und alle Aspekte der Notfallplanung, nicht nur die technischen, beinhalte. „Will sich ein Unternehmen also in Zukunft grundschutzkonform ausrichten, muss es auch das Thema Personalausfall und somit Szenarien wie Epidemien betrachten.“ Pro Jahrhundert gäbe es drei Influenza-Pandemien, die rund acht Wochen dauerten, vier dieser Wochen seien heftig. Eine Erkrankungsrate von 25 Prozent der Bevölkerung bedeute bereits 50 bis 75 Prozent Abwesenheit am Arbeitsplatz. Bei 50 Prozent Erkrankungsrate könne ein Unternehmen dicht machen. „Solche Krisen haben enorme soziale Folgen für ein Unternehmen“, so Kob.
Deswegen brauche ein Unternehmen unbedingt eine Notfallplanung. Diese müsse vier Ziele verfolgen: Schutz der Beschäftigten und ihrer Angehörigen, Minimierung des wirtschaftlichen Schadens für das Unternehmen, optimales Krisenmanagement während der Pandemie und Sicherstellung der schnellstmöglichen Rückkehr zum Normalbetrieb nach der Pandemie. Daraus leitete Kob Aufgaben ab wie beispielsweise die Information der Mitarbeiter im Vorfeld, die Reduktion der Infektionsgefahr, die Anpassung des Geschäftsbetriebs an die Situation, die vollfunktionale Gewährleistung geschäftskritischer Prozesse oder auch die Vermeidung von Ausfällen durch Panik. Bei der Panikvermeidung sorgten Information und Professionalität im Umgang mit Krisen für Vertrauen und für die Beruhigung der Mitarbeiter. Das Wichtigste sei, dass es überhaupt einen Notfallplan gebe. Ob Alternativstrategien, Facility-Management oder eine betriebliche Bevorratung mit Medikamenten: „Der richtige Zeitpunkt dafür ist jetzt!“
Notfallpläne sind natürlich nicht nur für Unternehmen wichtig
Notfallpläne sind natürlich nicht nur für Unternehmen wichtig, sondern werden auch für Großveranstaltungen aller Art ausgearbeitet – so auch für die Fußball-WM 2006 in Deutschland. Wie sich die für den Informations- und Telekommunikationsbereich größtenteils verantwortliche Deutsche Telekom gegen Krisen geschützt hat, verdeutlichte Michael Sorg, Projektleiter Sicherheit bei T-Systems, in seinem Vortrag „BCM am Beispiel der Fifa WM 2006“. „48 Kameras in zwölf Stadien produzierten Fernsehbilder von bis zu vier Spielen täglich für die ganze Welt“, reißt Sorg die Dimension des Ereignisses allein für den Bereich TV an. Alle Stadien mussten mit Medienarbeitsplätzen und Pressezentren sowie Anschlüssen am Spielfeldrand ausgestattet werden. „Unsere Pressezentren haben 20.000 Journalisten versorgt.“ Alle Stadien und die Fifa-Standorte habe man über ein Hochgeschwindigkeitsnetz mit hoher Ausfallsicherheit verbunden. In einem zentralen Rechenzentrum seien die für die Durchführung und Organisation des Turniers benötigten Softwareapplikationen für beispielsweise Transport, Logistik und Akkreditierung betrieben worden – auf hochverfügbaren und gedoppelten Hardwareplattformen. Und der Einsatz von TETRA als Stadion-Funknetz unter anderem für Sicherheitskräfte, Hospitality und Event-Management habe eine drahtlose, abhörsichere und stabile Kommunikation garantiert. Das BCM schloss neben dem Backbone – mit Maßnahmen wie beispielsweise mechanischen Schachtabdeckungen mit elektrischen Schließsystemen und der Nutzung von Panzerrohren bei unsicherer Verlegung – auch Sicherheitskonzepte für die Stadioninfrastruktur mit ein. Für jedes Stadion existierten zudem Desaster Recovery Pläne der T-Mobile. Das Fazit von Michael Sorg: „Unser BCM hat funktioniert. Oder haben Sie etwas anderes bemerkt?“
Ein Netz, bei dem noch höhere Ansprüche an die Ausfallsicherheit gestellt werden als im Bereich Telekommunikation, ist das Europäische Stromverbundnetz, das rund 440 Millionen Menschen versorgt. Klar, dass auch hier BCM ein Thema ist. Welches Kriterium dabei eine zentrale Rolle spielt, zeigte Joachim Vanzetta, Leiter Systemführung Netze bei der RWE Transportnetz Strom GmbH, in seinem Vortrag „BCM-Prozess am Beispiel eines europäischen Übertragungsnetzbetreibers“. Im Prinzip seien Stromnetze recht einfach zu regeln: „Es muss immer genau so viel Strom produziert werden, wie im gleichen Moment verbraucht wird“, erläutert Vanzetta. Problematisch sei dabei aber die Energiequelle Wind, die vollkommen unkonstant und damit sehr schwer einzuschätzen sei.
Zudem müssten unter den Bedingungen liberalisierter, internationaler Strommärkte auch gesetzliche Vorgaben der EU und der EnWG eingehalten werden. Vanzettas BCM-Kriterium lautet „n-1“: „Jedes Betriebsmittel darf jederzeit ausfallen, ohne dass man etwas merkt.“ Das „n-1“-Kriterium sei genau dann erfüllt, wenn keine Spannung im Netz zulässige Grenzen über- oder unterschreite, es keine unzulässigen Versorgungsunterbrechungen gebe, es im Extremfall nicht zu Störungsausweitungen komme und keine verbleibenden Betriebsmittel überlastet würden.
Eines zeigten die interessanten und informativen Vorträge des SecuritySymposiums deutlich: Sicherheitsmanagement heißt immer auch Bewusstsein für Sicherheit zu schaffen. Der Mensch bleibt der limitierende Faktor Nummer eins in punkto Sicherheit. Ob privat oder im Unternehmen, ob kleiner Angestellter oder Geschäftsführer – die Verantwortung für die IT-Sicherheit lässt sich nicht auf Softwarelösungen oder die IT-Abteilung abwälzen. Gleichzeitig bedeutet Sicherheitsmanagement aber auch für Notfälle vorzusorgen. Dafür muss man sich mit Krisenszenarien und Lösungsmöglichkeiten auseinandersetzen. Und um mit Timo Kob zu sprechen: der richtige Zeitpunkt dafür ist immer jetzt.
Redaktion
