IT-Sicherheit der nächsten Generation
Herausforderungen und Entwicklungen
Von Prof. Dr. Claudia Eckert
Die wachsende Komplexität der Prozesse und Infrastrukturen erfordert neue Ansätze, um digitale und physische Werte der Unternehmen zu schützen. Um die Sicherheit von Diensten, Daten und Dingen zu erhöhen, arbeitet die Forschung an neuen Technologien und Verfahren.
Heutige IT-Sicherheitstechnik reicht nicht mehr aus, um die Unternehmen der Zukunft zu schützen. Um aktuelle und zukünftige Sicherheitsbedrohungen und risiken zu begrenzen, werden maßgeschneiderte Lösungen benötigt, denn die Schutzbedarfe hängen von den unternehmensspezifischen Prozessen und Anwendungen ab.
Informationstechnologie (IT) ist heute in allen Bereichen von zentraler Bedeutung: Gesundheit, Mobilität, Bildung, Unterhaltung, Produktion, Logistik, Handel, Finanzen, aber auch öffentliche Verwaltung. IT ist der Schlüssel zur Steigerung der Wertschöpfung, doch die IT-Landschaft ist im Umbruch. Die Computer werden immer leistungsstärker und immer kleiner. Gleichzeitig verbinden sich unterschiedliche Netze. Mit Cloud Computing und serviceorientierten Architekturen verlagern Unternehmen ihre Geschäftsprozesse und Dienstleistungen verstärkt ins Internet.
Diese Entwicklungen bergen nicht nur zahlreiche neue Wertschöpfungspotentiale, sie schaffen auch neue Sicherheitsprobleme. Dazu zählen die erhöhte Verwundbarkeit durch den hohen Grad an Vernetzung mit den damit verbundenen Abhängigkeiten ebenso wie der Verlust von Kontrollmöglichkeiten durch die zunehmende Dezentralisierung der Verarbeitung. Galt es früher, Unternehmen vor externen Bedrohungen zu schützen, so verschwimmt die Grenze zwischen Innen und Außen zunehmend.
Parallel dazu wächst die Komplexität der Prozesse und Infrastrukturen. Neue Ansätze werden etwa benötigt, um geistiges Eigentum zu schützen oder um Markenpiraterie zu unterbinden. Um digitale und physische Werte der Unternehmen zu schützen, gilt es, geeignete Technologien zu entwickeln und einzusetzen, um die Sicherheit von Diensten, Daten und Dingen zu erhöhen und ein umfassendes Sicherheitsmanagement im Unternehmen zu etablieren.1
Prof. Dr. Claudia Eckert Leiterin Fraunhofer-Institut für Sichere Informationstechnologie (SIT), Darmstadt/München
Sicherheitsmanagement
Jedes Unternehmen muss sich heute mit Informationssicherheit auseinandersetzen und ein Sicherheitsmanagement etablieren. Wichtigste Aufgabe des Sicherheitsmanagements ist es, Sicherheitsrichtlinien mit einzuhaltenden Schutzzielen und angemessenen Maßnahmen zur Einhaltung der Ziele und der rechtlichen Vorgaben sowie zur Reduktion von Risiken einzuführen. Rechtliche Anforderungen verbunden mit hohen Sicherheitsanforderungen und Nachweisverpflichtungen ergeben sich beispielsweise durch das Bundesdatenschutzgesetz oder auch durch das Bürgerliche Gesetzbuch, das eine Absicherung der wesentlichen Unternehmenswerte und der damit verbundenen Prozesse vorschreibt.
Hinzu treten noch die branchentypischen Compliance-Anforderungen (zum Beispiel im Finanzwesen), die sich unter anderem aus den Basel-II-Auflagen oder dem Sarbanes-Oxley Act ergeben. Verletzungen von Compliance-Vorgaben können gravierende Folgen für ein Unternehmen haben, wie die jüngst bekannt gewordenen Datenschutzvorfälle in deutschen Großunternehmen zeigen. Durch die steigende Bedeutung von IT-Sicherheit werden in Zukunft noch mehr rechtliche Vorgaben entstehen, wie IT-Sicherheit bei Produkten und Dienstleistungen umzusetzen ist.
KPIs zur Steuerung und Anpassung der Sicherheitsmaßnahmen an geänderte Bedrohungssituationen
Kennzahlen für die IT-Sicherheit
Da die Bedrohung der unternehmerischen Werte durch gezielte kriminelle Angriffe auf Unternehmen (Cyber Crime) oder Wirtschafts-/Industriespionage pro Jahr um rund 10 Prozent ansteigen2, ist es in Zukunft unerlässlich, dass Unternehmen ihre elektronischen Geschäftsprozesse, Verfahren und IT-Infrastrukturen kontinuierlich überwachen und die Sicherheitsmaßnahmen bei Bedarf an die geänderte Bedrohungslage anpassen. Aus Managementsicht ist es deshalb wünschenswert, zu beliebigen Zeitpunkten schnell kompakte Informationen über den aktuellen Sicherheitsstatus und über eventuelle Abweichungen zu erhalten. Dazu werden üblicherweise Kennzahlen, Key Performance Indikatoren (KPIs), als Messgrößen genutzt – getreu dem Motto „If you can’t measure it, you can’t manage it.“
Derartige Kennzahlensysteme fehlen jedoch bislang für den Bereich des IT-Sicherheitsmanagements. Die Anwendungsforschung entwickelt derzeit entsprechende Konzepte und IT-gestützte Instrumente zur kontinuierlichen Messung und Darstellung der IT-Sicherheitssituation. So arbeiten auch wir am Fraunhofer SIT beispielsweise zusammen mit Unternehmen derzeit an einem kennzahlenbasierten Information-Security-Management-Monitoringund -Reportingsystem, das den Controlling-Anforderungen der Geschäftsleitungsebene entspricht und gleichzeitig Analyseaufgaben der operativen Ebene unterstützt.
Der Schutz von kritischen Unternehmensdaten, von geistigem Eigentum und der Privatsphäre von Personen als große Herausforderung für das Internet der Dienste
Sichere Dienste: SOA- und Cloud Security
Neue serviceorientierte Architekturen (SOA) ermöglichen es Unternehmen, ihre Geschäftsprozesse in das Internet zu verlagern und internetbasiert Dienstleistungen global anzubieten. Für die deutsche Wirtschaft eröffnet sich die große Chance, im Internet der Dienste eine Führungsrolle einzunehmen. Das erfordert aber innovative IT-Sicherheitslösungen, welche die bestehenden ernstzunehmenden Risiken von offenen Serviceumgebungen begrenzen. Weiterhin sind Maßnahmen erforderlich, um ein sicheres Zusammenspiel von heterogenen Serviceplattformen und Anwendungen (Interoperabilität) oder aber auch ein diensteübergreifendes Identitäts- und Rechtemanagement zu ermöglichen. Der Schutz von kritischen Unternehmensdaten, von geistigem Eigentum und der Privatsphäre von Personen ist eine große Herausforderung für das zukünftige Internet der Dienste.
Der Übergang zum Cloud Computing stellt einen weiteren Trend im Bereich der servicebasierten Internetnutzung für Unternehmen der Zukunft dar. Dabei werden Dienste, Anwendungen und Datenhaltung nicht mehr vom Nutzer selbst betrieben, sondern von IT-Versorgern im Internet. Hier entstehen derzeit zahlreiche neue Angebote für private Nutzer und Unternehmen, die die Installation und den Betrieb von Anwendungen auf eigenen, lokalen Rechnern zunehmend ablösen. Auch Daten müssen nicht mehr lokal gehalten werden, sondern lassen sich in großen Rechenzentren im Internet speichern. Nutzer können so über das Internet jederzeit und von überall auf Anwendungen und ihre Daten zugreifen.
Durch ein solches Auslagern von Dienstleistungen können Unternehmen erhebliche Kosten sparen, doch gehen damit auch erhebliche Risiken einher. Ob Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS), – gleichgültig in welcher Ausprägung Unternehmen Cloud-Computing-Angebote nutzen, sie machen sich damit von ihren IT-Versorgern noch abhängiger als von herkömmlichen Versorgungsunternehmen wie Strom, Wasser, etc. Denn bei Cloud Computing geht es nicht nur um Verfügbarkeit, sondern auch um digitale Inhalte und Daten, die leicht in falsche Hände gelangen können.
Es muss deshalb für Unternehmen nachvollziehbar und überprüfbar sein, was mit ihren Daten in der Cloud geschieht – das heißt, die beteiligten Cloud-Anbieter müssen vertrauenswürdig sein und müssen mittels geeigneter Sicherheitsmaßnahmen nachweisen können, dass sie als Cloud-Betreiber alle Schutzanforderungen (zum Beispiel Datenschutz) ihrer Kunden erfüllen.
Cloud-Sicherheitsservices
In aktuellen Projekten der Anwendungsforschung werden Lösungen erarbeitet, um Unternehmen technische Lösungen zur Beantwortung der Fragen nach der Sicherheit in der Cloud an die Hand zu geben. Ergänzt wird dies durch das Testangebot von Forschungslaboren wie dem Fraunhofer SIT, wo Unternehmen sicherheitskritische Komponenten wie Webportale, Datenbanken, Content-Management-Systeme etc. von Diensteanbietern systematisch und unter Nutzung von speziell dafür entwickelten Testwerkzeugen auf Schwachstellen untersuchen lassen können. In Zukunft werden Unternehmen aber auch ausgewiesene Cloud-Sicherheitsservices zur Verfügung stehen.
Parallel hierzu ist im Internet die Goldgräberstimmung bei den Web-2.0-Anwendungen ausgebrochen, mit denen Unternehmen ihre Portale anreichern. Leider geschieht dies oft auf Kosten der Sicherheit....