Kontakt

NEHMEN SIE KONTAKT ZU UNS AUF

Hackerangriffe - Eine Bewertung

IT-Security und Information Security. Wie? Was? Gibt’s da etwa einen Unterschied?

In der Hackerwelt werden Unternehmen unterschieden in solche, die wissen, dass sie gehackt werden und solche, die es nicht wissen.

Erst einmal wirkt so eine Nachricht wie ein Schock, dann wird daran gezweifelt. Der nächste Schritt ist nach Beweisen zu fragen. Aber gibt es die? Was nun?

Wenn sich dann doch die Überzeugung durchsetzt, etwas tun zu müssen, ist der erste Gedanke bei IT-affinen Leuten sicherlich erst einmal ein Firewallsystem, ein Virenscanner und vielleicht dann auch noch ein Werbeblocker für den Webbrowser. Und manch einer fühlt sich dann schon sicher.

Aber ist das auch so?

Nehmen wir einmal ein ganz einfaches Beispiel. Ein Unternehmen benutzt SAP als ERP – System und schützt das eigene Netzwerk mit einer Firewall. Mitten in der Nacht - denn die bösen Buben kommen, wenn es dunkel ist - macht sich ein Hacker an der Firewall zu schaffen, kommt auch tatsächlich durch und versucht dann, sich einen Zugriff auf das ERP-System zu verschaffen. Klappt nur leider nicht, weil nach 3-maliger Falscheingabe das System den Zugriff für eine Weile sperrt.

Könnte so sein, muss aber nicht. Wie gesagt, dies ist ein ganz einfaches Beispiel. Denn erstens kommen die bösen Jungs nicht nachts, sondern tagsüber im Geschäftsbetrieb, weil dann der Netzverkehr viel höher ist und man seine Angriffe besser tarnen kann, und zweitens ist die Technik viel komplexer.

Aber wir bleiben bei unserem Beispiel und gehen mal einen Schritt weiter. Am nächsten Morgen stellt der Netzwerkadministrator über die Protokolle der Firewall fest, dass ein Einbruch in das Netzwerk stattgefunden hat. Ihm liegen aber keine Informationen über Schäden oder „Datenklau“ vor. Also kümmert er sich nicht weiter darum, und freut sich, dass die Sicherungssysteme hinter der Firewall offenbar funktionieren.  

Der SAP – Administrator wiederum bemerkt, dass jemand dreimal ein falsches Passwort eingegeben hat. Und weil er nicht weiß, was der Netzwerkadministrator weiß, denkt er sich, dass vermutlich einer der Controller wegen der schlechten Bilanzen nicht schlafen konnte. Wenn es einen Einbruch in das System gegeben hätte, hätte der Netzwerkadministrator sicherlich Alarm geschlagen. Offenbar hat sich also der vermutete Controller über das Internet mit seinem Nutzeraccount am Netzwerk angemeldet. Aber sein SAP-Passwort hat er wohl vergessen und ist beim Zugriff gescheitert. Controller sind offenbar auch nur schlaflose Menschen.

Und des Administrators Schlussfolgerung ist, dass der Controller sich schon melden wird, wenn ihm das Passwort nicht wieder einfallen sollte. Es scheint also so, als ob unser Beispielunternehmen perfekte Sicherheitsmaßnahmen für die IT-Administration getroffen hat. Das ist IT-Security. Und das bedeutet, dass ein einzelner Fehler eines Administrators fatale Folgen für das ganze Unternehmen haben kann.

Information Security dagegen würde eine Policy beinhalten, die den SAP-Administrator und den Netzwerkadministrator dazu verpflichten, miteinander zu reden, und das regelmäßig. Denn dann würde beiden klar werden, dass die IT-Risiken im Unternehmen viel höher sind, als beide in einer einzelnen Betrachtung ihrer eigenen Fachbereiche annehmen.

Und damit wird klar, dass es bei Information Security nicht um Computer, Server oder Netzwerke geht, sondern um Organisation, Menschen und Prozesse. IT-Security mag vielleicht 50 % der Informationssicherheit ausmachen. Information Security jedoch viel mehr. Und hierbei geht es im physikalische Sicherheit, Personalmanagement, Rechtsfragen, Hardware, Software, Dokumentationen, Lieferanten, Kunden und auch Geschäftspartner. 

Der Zweck von Information Security ist es, ein System zu schaffen, dass alle möglichen Risiken für die Sicherheit von Informationen beherrschbar gestaltet. Dafür werden umfassende Kontrollen implementiert, um inakzeptable Risiken für das Unternehmen auszuschließen. Die ISO 27001 ist hierzu die international führende Norm für ein Informations-Sicherheits-Management-System. Und damit haben Hacker es schwerer. Denn wenn man die Möglichkeit hat, wie in unserem kleinen Beispiel, als Netzwerkadministrator auch die Berichte des SAP-Administrators zu verstehen, werden erst dadurch notwendige Maßnahmen deutlich und umsetzbar.