16.03.2006, 15:23 Uhr
«Eine Kultur der gemeinsamen Verantwortung»
Wie lassen sich IT-bezogene Sicherheitsrisiken in unternehmensübergreifenden Datenzentren quantifizieren und entschärfen? Eine Security-Expertin mit jahrzehntelanger Erfahrung rät.
Computerworld: Unternehmen gehen ihre IT immer umfassender an und bauen Datenzentren auf, die Supply-Chains weltweit unterstützen sollen. Inwiefern verändert das die Best Practices?
Rhonda MacLean: Die globale Supply-Chain macht IT-Umgebungen immer heterogener. Zwar gibt es immer noch vereinzelte «Glashäuser», aber im Prinzip wird überall in virtuellen Verbundstrukturen gerechnet. Gleichzeitig brauchen verschiedene Stellen Zugriff auf heikle Daten, und ohne Kollaboration geht gar nichts. Für die Security bedeutet dies, dass es nicht mehr das Ziel sein kann, lediglich den Zugang zu beschränken. Sondern Prozesse und Technologien müssen optimiert werden, damit viele Mitarbeiter auf dieselben Daten zugreifen können. Best Practices müssen überall umgesetzt werden: in der Ursprungsfirma, bei ihren Lieferanten, Partnern und Kunden. Das bedingt ein erhebliches kulturelles Umdenken. Jahrelang galt, dass Security das schwächste Glied in der Kette sei. Solange man die gesamte Lieferkette unter Kontrolle hatte, war die Welt auch so einfach, aber das ist vorbei. Firmen praktizieren Virtualisierung, Grid-Computing, Webservices, Open-Source-Code, sogar alles zusammen. Umso wichtiger ist es, dass jeder um die gemeinsame Verantwortung weiss. IT-Umgebungen sind Ökosysteme, in denen jeder einen Teil der Verantwortung übernehmen muss, damit alles funktioniert.
Rhonda MacLean: Die globale Supply-Chain macht IT-Umgebungen immer heterogener. Zwar gibt es immer noch vereinzelte «Glashäuser», aber im Prinzip wird überall in virtuellen Verbundstrukturen gerechnet. Gleichzeitig brauchen verschiedene Stellen Zugriff auf heikle Daten, und ohne Kollaboration geht gar nichts. Für die Security bedeutet dies, dass es nicht mehr das Ziel sein kann, lediglich den Zugang zu beschränken. Sondern Prozesse und Technologien müssen optimiert werden, damit viele Mitarbeiter auf dieselben Daten zugreifen können. Best Practices müssen überall umgesetzt werden: in der Ursprungsfirma, bei ihren Lieferanten, Partnern und Kunden. Das bedingt ein erhebliches kulturelles Umdenken. Jahrelang galt, dass Security das schwächste Glied in der Kette sei. Solange man die gesamte Lieferkette unter Kontrolle hatte, war die Welt auch so einfach, aber das ist vorbei. Firmen praktizieren Virtualisierung, Grid-Computing, Webservices, Open-Source-Code, sogar alles zusammen. Umso wichtiger ist es, dass jeder um die gemeinsame Verantwortung weiss. IT-Umgebungen sind Ökosysteme, in denen jeder einen Teil der Verantwortung übernehmen muss, damit alles funktioniert.
Computerworld: Gilt das auch für Governance und die flankierenden Sicherheitsregeln selbst?
Rhonda MacLean: Governance ist ein komplexes Thema. Am Anfang stehen unternehmensinterne Regeln, dazu kommen gesetzliche und behördliche Auflagen. Das sind die vorgegebenen Rahmenbedingungen. Die Finanzbranche beispielsweise versucht, ihre Anbieterlandschaft in den Griff zu bekommen. Die Finanzinstitute arbeiten mit verschiedenen Anbietern und verlangen von ihnen gewisse Garantien hinsichtlich der Security. Denken Sie zum Beispiel an den unterbrechungsfreien Systembetrieb, die Business Continuity. Wie viel Spiel liegt drin, wenn ich sicher sein will, dass meine Firma 24 Stunden am Tag, sieben Tage die Woche, 365 Tage im Jahr störungsfrei arbeiten kann? Dazu muss ich die Best Practices aller in der Supply-Chain involvierten Firmen kennen, denn ich bin auf korrekte Zulieferung angewiesen.
Rhonda MacLean: Governance ist ein komplexes Thema. Am Anfang stehen unternehmensinterne Regeln, dazu kommen gesetzliche und behördliche Auflagen. Das sind die vorgegebenen Rahmenbedingungen. Die Finanzbranche beispielsweise versucht, ihre Anbieterlandschaft in den Griff zu bekommen. Die Finanzinstitute arbeiten mit verschiedenen Anbietern und verlangen von ihnen gewisse Garantien hinsichtlich der Security. Denken Sie zum Beispiel an den unterbrechungsfreien Systembetrieb, die Business Continuity. Wie viel Spiel liegt drin, wenn ich sicher sein will, dass meine Firma 24 Stunden am Tag, sieben Tage die Woche, 365 Tage im Jahr störungsfrei arbeiten kann? Dazu muss ich die Best Practices aller in der Supply-Chain involvierten Firmen kennen, denn ich bin auf korrekte Zulieferung angewiesen.
Computerworld: Wenn eine dritte Partei Ihre Standards nicht erfüllt, kündigen Sie die Zusammenarbeit?
Rhonda MacLean: So ist es. Denn gewinnen kann am Ende nur der, der sich eine robuste Arbeitsumgebung zu sichern weiss.
Rhonda MacLean: So ist es. Denn gewinnen kann am Ende nur der, der sich eine robuste Arbeitsumgebung zu sichern weiss.
Computerworld: Heisst das, dass die Grosskonzerne die Standards und Sicherheitsregeln festsetzen?
Rhonda MacLean: Richtig. Je mehr Unternehmen man zu ihren Regelwerken befragt, je mehr Governance und Überblick in ihren Händen liegt, desto mehr Sicherheitsvorkehrungen können sie im voraus implementieren. Wenn sie Teil der globalen Supply-Chain sein wollen, müssen sie Security und Ausfallsicherheit im Prinzip für jedes einzelne Produkt oder Dienstleistung vorsehen. Im nachhinein anzupassen und zu korrigieren kommt sehr viel teurer zu stehen.
Rhonda MacLean: Richtig. Je mehr Unternehmen man zu ihren Regelwerken befragt, je mehr Governance und Überblick in ihren Händen liegt, desto mehr Sicherheitsvorkehrungen können sie im voraus implementieren. Wenn sie Teil der globalen Supply-Chain sein wollen, müssen sie Security und Ausfallsicherheit im Prinzip für jedes einzelne Produkt oder Dienstleistung vorsehen. Im nachhinein anzupassen und zu korrigieren kommt sehr viel teurer zu stehen.
Computerworld: Haben wir überhaupt das nötige Rüstzeug, um die Datenzentrenarchitekturen rundum abzusichern?
Rhonda MacLean: Die grundlegenden Konzepte für Schutz, Fehlerentdeckung, Reaktion und Schadenskorrektur sind nach wie vor gültig. Damit sind auch die entsprechenden Techniken immer noch wichtig. Weil Infrastrukturen aber immer öfter virtualisiert werden, müssen wir trotzdem in Neues investieren und gleichzeitig die altbekannten Funktionalitäten weiter entwickeln. Konkret brauchen wir zum Beispiel ein stabiles Identity- und Zugriffsmanagement, das problemlos in heterogenen globalen Umgebungen läuft. Das bedeutet, wir brauchen Federated Identity. Das ist nicht trivial, denn dazu braucht es Policy-Vereinbarungen - da steckt viel Arbeit dahinter. Zudem müssen wir die Konzepte des Datenmanagements und der Verwaltung von Datenrechten besser verstehen. Wo werden Daten abgelegt? Wer hat darauf Zugriff? Wofür werden die Daten verwendet? Wie sieht es mit der Selbstbetimmung einer Person über ihre eigenen Daten aus? Softwareversicherung ist ein weiteres Thema angesichts der wachsenden Popularität von Open Source. Dabei kommt es auch darauf an, wo jemand ansässig ist - in China vielleicht, oder in Südamerika? Wie kann ich überhaupt wissen, ob die Software, die ich verwende, Open-Source-Code oder gar Malware beinhaltet? Werden Codeteile vor mir verborgen, oder handelt es sich nur um ein schlampig codiertes Programm? Für den operationellen Betrieb hat das erhebliche Konsequenzen. Die damit zusammenhängenden Risiken erfordern einiges an Investitionen. Daher müssen wir Versicherungen für Software mehr Aufmerksamkeit widmen.
Rhonda MacLean: Die grundlegenden Konzepte für Schutz, Fehlerentdeckung, Reaktion und Schadenskorrektur sind nach wie vor gültig. Damit sind auch die entsprechenden Techniken immer noch wichtig. Weil Infrastrukturen aber immer öfter virtualisiert werden, müssen wir trotzdem in Neues investieren und gleichzeitig die altbekannten Funktionalitäten weiter entwickeln. Konkret brauchen wir zum Beispiel ein stabiles Identity- und Zugriffsmanagement, das problemlos in heterogenen globalen Umgebungen läuft. Das bedeutet, wir brauchen Federated Identity. Das ist nicht trivial, denn dazu braucht es Policy-Vereinbarungen - da steckt viel Arbeit dahinter. Zudem müssen wir die Konzepte des Datenmanagements und der Verwaltung von Datenrechten besser verstehen. Wo werden Daten abgelegt? Wer hat darauf Zugriff? Wofür werden die Daten verwendet? Wie sieht es mit der Selbstbetimmung einer Person über ihre eigenen Daten aus? Softwareversicherung ist ein weiteres Thema angesichts der wachsenden Popularität von Open Source. Dabei kommt es auch darauf an, wo jemand ansässig ist - in China vielleicht, oder in Südamerika? Wie kann ich überhaupt wissen, ob die Software, die ich verwende, Open-Source-Code oder gar Malware beinhaltet? Werden Codeteile vor mir verborgen, oder handelt es sich nur um ein schlampig codiertes Programm? Für den operationellen Betrieb hat das erhebliche Konsequenzen. Die damit zusammenhängenden Risiken erfordern einiges an Investitionen. Daher müssen wir Versicherungen für Software mehr Aufmerksamkeit widmen.
Computerworld: Gibt es Best Practices in der IT-Security, die allzu oft übersehen werden?
Rhonda MacLean: Generell beobachte ich, dass Security- oder Risikoexperten oft überhaupt nicht zugezogen werden, wenn die Führungsetage über neue Produkte, Dienste oder Funktionen diskutiert.
Rhonda MacLean: Generell beobachte ich, dass Security- oder Risikoexperten oft überhaupt nicht zugezogen werden, wenn die Führungsetage über neue Produkte, Dienste oder Funktionen diskutiert.
Computerworld: Warum das - weil sie als kategorische Neinsager gelten?
Rhonda MacLean: Nein, das glaube ich nicht. Den meisten ist durchaus bewusst, dass verschiedene Mitarbeiter auf heikle Daten zugreifen müssen und dass Kollaboration ein Muss ist. Vielmehr hapert es daran, dass Prozesse und Beziehungen nicht sorgfältig definiert werden. Wenn ich heute mit Chief Information Security Officers rede, bekomme ich oft zu hören, ihnen bereite am meisten Bauchweh, dass sie gar nicht wissen, was intern in der Pipeline ist, sondern vor vollendete Tatsachen gestellt werden. Das sind dann verpasste Gelegenheiten, das vorhandene Know-how zu nutzen. Dabei könnten die Unternehmen nur profitieren, wenn sie Security-bezogene Best Practices in bestehende Produktlebenszyklen einfliessen liessen.
Rhonda MacLean: Nein, das glaube ich nicht. Den meisten ist durchaus bewusst, dass verschiedene Mitarbeiter auf heikle Daten zugreifen müssen und dass Kollaboration ein Muss ist. Vielmehr hapert es daran, dass Prozesse und Beziehungen nicht sorgfältig definiert werden. Wenn ich heute mit Chief Information Security Officers rede, bekomme ich oft zu hören, ihnen bereite am meisten Bauchweh, dass sie gar nicht wissen, was intern in der Pipeline ist, sondern vor vollendete Tatsachen gestellt werden. Das sind dann verpasste Gelegenheiten, das vorhandene Know-how zu nutzen. Dabei könnten die Unternehmen nur profitieren, wenn sie Security-bezogene Best Practices in bestehende Produktlebenszyklen einfliessen liessen.
Computerworld: Was antworten Sie Firmen, die die potenziellen Ausgaben scheuen?
Rhonda MacLean: Die Ausgaben hängen stark von der Branche ab, ihrer Risikobereitschaft sowie den Produkten und Dienstleistungen. Sie fallen also sehr unterschiedlich aus. Um die Investitionen abzuschätzen, muss der CISO involviert werden - also jemand, der ein ausgewogenes Verständnis hat von der Risikobereitschaft, den Gefahren und Schwachstellen und vor allem von den Erwartungen der Kundschaft. Wenn all das beim Aufbau neuer Datenzentren und den Prozessen zur Virtualisierung berücksichtigt wird, spart das langfristig sogar Geld. Wenn man es von Anfang an richtig macht, kommt es insgesamt günstiger.
Rhonda MacLean: Die Ausgaben hängen stark von der Branche ab, ihrer Risikobereitschaft sowie den Produkten und Dienstleistungen. Sie fallen also sehr unterschiedlich aus. Um die Investitionen abzuschätzen, muss der CISO involviert werden - also jemand, der ein ausgewogenes Verständnis hat von der Risikobereitschaft, den Gefahren und Schwachstellen und vor allem von den Erwartungen der Kundschaft. Wenn all das beim Aufbau neuer Datenzentren und den Prozessen zur Virtualisierung berücksichtigt wird, spart das langfristig sogar Geld. Wenn man es von Anfang an richtig macht, kommt es insgesamt günstiger.
Computerworld: Wie schwierig ist es, die Security-Kosten konkret zu beziffern?
Rhonda MacLean: Ich glaube an Mess- und Vergleichswerte. Banken zum Beispiel sind Experten bei der Bewertung von Kredit- und Marktrisiken. Sie verfügen über wissenschaftlich fundierte, quantitative Methoden, um ihr Risikopotenzial in einem Markt abzuschätzen. Momentan entwickelt man das Konzept der operationellen Risiken. Auch da gibt es quantitative Ansätze, allerdings auch einige Quacksalberei. Manche Unternehmen messen Bedrohungen und veröffentlichen diese. Symantec etwa tut das sehr seriös. Wir müssen auch fürs Risiko-Assessment solche Massgrössen und Messwerte erarbeiten. Erst dann können wir die Investitionen quantifizieren und Prioritäten setzen, damit schlussendlich weder zu viele noch zu wenige Security-Massnahmen umgesetzt werden. Je mehr wir über die Risikobereitschaft und das Risikoprofil eines Unternehmens wissen, desto besser. Da geht es um Fragen wie: Was muss intern geschützt werden? Wie viel Open Source ist im Einsatz? Verändert sich das Risikoprofil im Lauf der Zeit? Gibt es Antworten darauf, kann man zur Realisierung schreiten.
Rhonda MacLean: Ich glaube an Mess- und Vergleichswerte. Banken zum Beispiel sind Experten bei der Bewertung von Kredit- und Marktrisiken. Sie verfügen über wissenschaftlich fundierte, quantitative Methoden, um ihr Risikopotenzial in einem Markt abzuschätzen. Momentan entwickelt man das Konzept der operationellen Risiken. Auch da gibt es quantitative Ansätze, allerdings auch einige Quacksalberei. Manche Unternehmen messen Bedrohungen und veröffentlichen diese. Symantec etwa tut das sehr seriös. Wir müssen auch fürs Risiko-Assessment solche Massgrössen und Messwerte erarbeiten. Erst dann können wir die Investitionen quantifizieren und Prioritäten setzen, damit schlussendlich weder zu viele noch zu wenige Security-Massnahmen umgesetzt werden. Je mehr wir über die Risikobereitschaft und das Risikoprofil eines Unternehmens wissen, desto besser. Da geht es um Fragen wie: Was muss intern geschützt werden? Wie viel Open Source ist im Einsatz? Verändert sich das Risikoprofil im Lauf der Zeit? Gibt es Antworten darauf, kann man zur Realisierung schreiten.
Computerworld: Was haben Sie persönlich in der Praxis gelernt hinsichtlich Best Practices in der IT-Security?
Rhonda MacLean: Wichtig ist es, ganz von vorne anzufangen. Und keine voreiligen Schlussfolgerungen zu ziehen, wenn die grundlegenden Fakten und Daten noch gar nicht bekannt sind. Wichtig ist weiter, mit dem Management und Partnern zusammenzuarbeiten. Besonders in Krisenfällen Ruhe zu bewahren. Den gesunden Menschenverstand zu benutzen und bereit zu sein, die Prozesse zu durchlaufen - wobei ich das Sammeln von Fakten und Daten und das Ergänzen von Bestehendem als echten Prozess betrachte. Der Schlüssel dazu ist Flexibilität, Innovationsbereitschaft und der Aufbau enger Beziehungen. Letzteres ist besonders wichtig: Dass man die zuständigen Mitarbeiter kontaktiert, um sich ihrer Unterstützung zu versichern. Alle müssen gemeinsam an einem Strang ziehen, das ist das ausschlaggebende Kriterium, nur dann ist Erfolg möglich. Das gilt umso mehr für unternehmensübergreifende Datenzentren, weil gerade in diesen Konstellationen die Herausforderungen und Chancen möglicherweise nicht unternehmensintern zu finden sind. Wir brauchen definitiv eine Kultur der geteilten Verantwortung.
Rhonda MacLean: Wichtig ist es, ganz von vorne anzufangen. Und keine voreiligen Schlussfolgerungen zu ziehen, wenn die grundlegenden Fakten und Daten noch gar nicht bekannt sind. Wichtig ist weiter, mit dem Management und Partnern zusammenzuarbeiten. Besonders in Krisenfällen Ruhe zu bewahren. Den gesunden Menschenverstand zu benutzen und bereit zu sein, die Prozesse zu durchlaufen - wobei ich das Sammeln von Fakten und Daten und das Ergänzen von Bestehendem als echten Prozess betrachte. Der Schlüssel dazu ist Flexibilität, Innovationsbereitschaft und der Aufbau enger Beziehungen. Letzteres ist besonders wichtig: Dass man die zuständigen Mitarbeiter kontaktiert, um sich ihrer Unterstützung zu versichern. Alle müssen gemeinsam an einem Strang ziehen, das ist das ausschlaggebende Kriterium, nur dann ist Erfolg möglich. Das gilt umso mehr für unternehmensübergreifende Datenzentren, weil gerade in diesen Konstellationen die Herausforderungen und Chancen möglicherweise nicht unternehmensintern zu finden sind. Wir brauchen definitiv eine Kultur der geteilten Verantwortung.
Catharina Bujnoch