Veränderung ist die einzige Konstante in der Informationssicherheit

Die einzige Konstante ist die Veränderung und das trifft auch auf die Informationstechnologie zu. Der Ausdruck, Stand der Technik, sollte dementsprechend als momentaner Stand der Technik verstanden werden. Best Practice Guides, als Handlungsempfehlung sich an den besten Umsetzungen zu orientieren, unterliegen auch einer Wandlung. Einige dieser Änderungen von Empfehlungen und Praktiken werden hier exemplarisch vorgestellt.

Kennwortrichtlinie

Unter anderem hält auch Microsoft fest, dass eine regelmäßige Änderung des Benutzerkennworts per se nicht sonderlich viel zur Systemsicherheit beiträgt. Neu ist das Thema nicht. Im Jahr 2010 haben Wissenschafter der University of North Carolina at Chapel Hill eine Studie zum Thema Sicherheit auf Grund von zeitlich begrenzten Kennwörtern ( The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis, 2010) veröffentlicht. Ein Ergebnis ist, dass der gewünschte Effekt der mit einer Kennwortänderung erzielt werden soll, zumindest fraglich ist. Fraglich, weil Benutzer – Administratoren mit eingeschlossen – meist das gleiche Verhalten, Vorgehen, an den Tag legen, wenn sie ein neues Kennwort vergeben. Das neue Kennwort lässt sich mit hoher Wahrscheinlichkeit erraten, aufdecken. Das beginnt damit, dass Benutzer das Kennwort aufschreiben, geht weiter mit, dass es einfach zu erraten ist, weil offenkundige Informationen aus dem Benutzerkontext verwendet werden, bis hin zu, dass generische Informationen, die permutiert werden. (Anm.: Gemeint ist hier vor allem das Hinzuzählen beim Kennwort – passwort01, passwort02 …)

Dem entgegenwirken kann ein Authentifizierungsmechanismus, der mehr als einen Faktor benötigt, um einen Benutzer eindeutig zuordnen zu können. Über eine zentrale Benutzerverwaltung, kontextorientierte Rollen- und Rechteverwaltung, multifaktorielle Authentifizierungsverfahren und so weiter werden an anderer Stelle behandelt.

VPN – virtual private network

Ein virtuelles privates Netzwerk (vgl.: VPN) steht für die Verschlüsselung von Kommunikation zwischen mehreren Kommunikationsteilnehmern. Nichtbeteiligte können die Kommunikation zwar mitlesen, aber den Inhalt zumindest nicht erfassen. Einsatzzwecke sind die verschlüsselte Übertragung von Information, aber auch der Zugang von ausserhalb zu Informationen. Ausserhalb bezeichnet den Bereich zum Beispiel ausserhalb der Netzwerkumgebung, die von der eigenen Firewall verwaltet und geschützt wird. Auch lässt sich mittels eines VPN das Benutzerverhalten zumindest verschleiern. Der unterstellte Sicherheitsgewinn durch Verwendung eines VPN tritt aber meist nicht ein. Meist ist ein VPN mehr ein Placebo und das kann einige Gründe haben.

Meta Informationen von Verbindungen (vgl.: IP Header, Ethernet Frame, etc.) sind (meist) im Klartext lesbar und geben einen Hinweis, wer mit wem zu welcher Zeit, in welchem Umfang, mit welcher Anwendung und in welcher Form kommuniziert. Abgesehen davon, dass vielfach die eigentliche Verbindung über ein VPN geschliffen wird, aber die Ressourcenabfrage (vgl.: DNS Query) vom Client direkt ohne VPN abgesetzt wird.

Das Aufbrechen von eingesetzten Verschlüsselungsalgorithmen, und sogenannte Man-In-The-Middle Angriffe, stellen schon einen wesentlich höheren Aufwand auf Angreiferseite dar. Die Wahrscheinlichkeit als Angreifer dabei entdeckt zu werden steigt auch. Zu guter letzt sind die Endpunkte der Kommunikation auch eine Betrachtung wert. Dort endet die Verschlüsselung und Daten liegen im Klartext vor. Wenn diese Daten dann vielleicht auch noch ausgedruckt werden, dann liegen sie auch noch im Klartext im Druckerspool vor, auch wenn das eigentliche Dokument bereits gelöscht wurde.

Zusammengefasst kann man ein VPN als Sichtschutz, Paravent, bezeichnen. Man kann sehen, wer dahinter geht und wer wieder herauskommt, aber man sieht im besten Fall nicht, was dahinter geschieht. Was hinter dem Paravent passiert sieht man zwar nicht, aber man kann hören, wer mit wem redet. Ein VPN hat natürlich seinen Zweck und seine Berechtigung, sollte aber immer in Kombination mit anderen Maßnahmen eingesetzt werden, um den Schutz- und Sicherheitscharakter zu entfalten, der erwartet wird. Erwartet wird dieser nicht nur vom Benutzer, sondern zum Beispiel auch vom Gesetzgeber.

Firewall

Auch einer Firewall wird mehr Schutzpotential unterstellt, als sie zu leisten im Stande ist. Eine Firewall ist eine technische Schutzmaßnahme der eigenen Netzwerkumgebung vor unberechtigten Zugriffen. Der Schutzmechanismus bezieht sich auf die Netzwerkschicht und da auch nur in der Regel auf die Zulässigkeit der Verbindung. Hinzukommt, dass meist der Verbindungsaufbau von innen nach aussen in jeder Form erlaubt ist.

Anforderungen heutzutage sind aber im wesentlich höher und komplexer. Sei es, dass ein möglicher Datenabfluss vermieden, oder zumindest protokolliert werden soll. Sei es, dass es Richtlinien – zB.: DSG, DSGVO, NIS RL, … – gibt, die es gilt zu erfüllen.

Nur die Mauer aufziehen und Verbindungen zuzulassen, oder zu unterbinden, ist nicht mehr ausreichend. Mehr ist heute gefragt die dauerhafte Verfügbarkeit zu gewährleisten – Stichwort DDOS – mögliche Verletzungen von Richtlinien zu erkennen, zu isolieren und zu untersuchen und aktiv darauf zu reagieren und vor allem auch die Überwachung so ausführen, dass eine Auswertung auch nachvollziehbar bleibt. Es gibt Lösungen und Produkte, die eingesetzt werden können, um Erwartungen und Forderung durch Gesetze, Normen und Richtlinien, zu erfüllen. Es gibt einen direkten Zusammenhang zwischen (wirtschaftlichen) Aufwand und Erreichung eines Schutzniveaus von hundert Prozent. Mehr als hundert Prozent zu erreichen ist nicht möglich, man spricht in diesem Fall von einem Defizitrisiko. Je höher der Erfüllungsgrad bezüglich Risikoausschluss geht, desto höher ist der Aufwand bei gleichbleibenden Intervall. Als Konsequenz muss jeder Entscheidungsträger mit beschränkten Mitteln ein möglichst hohes Sicherheitsniveau erreichen, um sein Restrisiko zu minimieren.

Cloud

Aus reinen Sicherheitsbedenken Cloudanwendungen zu vermeiden hat sich überholt. Wichtig ist aber zu beachten, dass der Clouddienst zwar den Dienst übernimmt und die Komplexität im eigenen Betrieb senkt, aber die Verwaltung und die Verantwortung nicht an den Clouddienst delegiert werden kann. Clouddienste, als Standardlösung, erfüllen in der Regel aktuelle Complianceanforderungen. Wie die ISO Norm 27108, diese bezieht sich auf Datenschutzes (vgl.: DSGVO) im Bereich Hosting.

Datendiebstahl

Der Schutz vor unberechtigtem Abfluss von Information und Daten (vgl.: Datendiebstahl) ist nur ein Bereich des betrieblichen Schutzinteresses. Früher war es in der Regel der alleinige Punkt an dem sich alle Maßnahmen ausgerichtet haben – Datendiebstahl zu vermeiden. Das Spektrum hat sich aber massiv erweitert. An Geschäftsgeheimnisse und persönliche vertrauliche Informationen zu gelangen ist nur mehr eines der vielen Ziele und Beweggründe.

Neben dem Datendiebstahl zählt die Störung und Unterbrechung des Betriebs, der Imageschaden  und einhergehender Vertrauensverlust durch vernachlässigte Sicherheitsmaszstäbe, das Verursachen von immensen Kosten durch Hinzubuchen von Cloudressourcen zu den Bedrohungen denen begegnet werden muss. Die Liste ist sicher nicht vollständig und lässt sich fast beliebig erweitern. Konsequenter Weise muss die Überwachung und Steuerung des Informationsflusses auf diese Bereiche ausgedehnt werden. Auch die betroffenen Benutzer sind zu sensibilisieren, um geforderte Aufmerksamkeit für dieses Thema zu erreichen.

Schlussfolgerung

Der Stand von Technik, Datenschutz und Datensicherheit entwickelt sich ständig fort. Maßnahmen, die früher zielführend waren und dem allgemeinen Gebrauch entsprachen, sind meist überholt und obsolet heute. Das hängt nicht direkt von der technischen Weiterentwicklung ab, sondern vor allem von der Art und Weise, wie sich Bedrohungen und Risiken laufend verändern indem sie neue Technologie adaptieren. Eine Adaption, die wahrscheinlich nicht im Fokus der Entwicklung gestanden ist. Darum muss auch eine Sicherheitsstrategie nicht nur ergänzt und angepasst werden, sondern in ihrer Gesamtheit laufend auf Korrektheit und Zulässigkeit überprüft werden.

Share on:

Schreibe einen Kommentar