Bedrohung / Abhörskandale

Alles wie immer oder doch ganz anders?!

PRISM & Co. und die Folgen für CISOs

Alles auf Anfang, den CISO rebooten und die Security neu starten? Wäre manchmal toll, wenn das ginge – so könnte man besser auf aktuelle Situationen reagieren. Denn auch CISOs haben es, dank der aktuellen Whistleblowing-Affäre um Edward Snowden, nicht gerade leicht in ihrem Job!

Von Ralph Dombach, Germering

PRISM, Tempora, XKeyscore... alle paar Tage haben die Medien kürzlich von neuen Überwachungsprogrammen berichtet, die den regionalen oder globalen, elektronischen Datenverkehr abhören, archivieren und analysieren. Recht schnell blieb dabei der Überblick auf der Strecke, wer eigentlich was und wen, warum belauscht – und die Frage, ob es nun ein "Freund" ist, der einen abhört, oder ein "Feind", wird zusehends unwichtig.

Augenscheinlich sind aber Wirtschaft und Politik über die Intensität der Überwachung nachhaltig geschockt. Man fragt sich, was da falsch gelaufen ist, dass man erst aus der Presse davon erfährt, und wie man dieser ungewollten Kontrolle einen Riegel vorschieben kann. Betroffen von den Spionage-Aktivitäten sind nicht nur einige wenige, sondern fast alle, denn ohne Computer, Smartphone oder WWW geht es ja schon längst nicht mehr. Betroffen sind auch Menschen, die beruflich mit IT-Security zu tun haben, denn PRISM & Co. agieren ja in diesem Kontext. Die Frage, die viele Manager in der nächsten Zeit ihrem CISO stellen dürften, lautet: "Haben Sie eigentlich genug getan für unseren Schutz und die Vertraulichkeit unserer Daten?"

Vertrauensverlust

Bleibt man realistisch, muss man sich wohl eingestehen, dass es immer noch besser ginge, dass immer noch mehr möglich wäre... Doch die Mehraufwendungen bei Budget und Ressourcen stünden dann womöglich in einem (Miss-)Verhältnis, das eine intensivere Umsetzung sehr unwahrscheinlich macht – Stichwort "Pareto-Prinzip" (80-zu-20-Regel). Denn wie jeder Bereich innerhalb der IT muss sich auch der CISO bei seinen (Security-)Aktivitäten in einem Kostenrahmen bewegen, der oft nur einen geringen Spielraum lässt.

PRISM & Co. sorgen aktuell für erhebliche Verunsicherung auf breiter IT-Front und lassen womöglich Aufwand und Nutzen der Sicherheit in einem neuen Licht erscheinen. Die Vertraulichkeit beinahe jedes Mediums, welches das Internet nutzt, steht zur Diskussion: egal, ob klassische E-Mail, Bildschirmtelefonie oder der Datenaustausch über die Cloud – alles ist von gestern auf heute "unsicher" geworden.

Aber auch das Vertrauen gegenüber dem IT-Personal hat gelitten, denn ITler sind ja im Grunde alle potenzielle Whistleblower! Als Beweis für diese abstruse Feststellung hört man oft, dass auch Snowden als IT-Mitarbeiter (Systemadministrator) über eine Beratungsfirma für die US-amerikanische National Security Agency (NSA) tätig war, bevor er offenlegte, was so alles abgehört wird.

Einen Vertrauensverlust im Unternehmen werden auch CISOs zu spüren bekommen: Denn die Mitarbeiter werden sich fragen, was kann man dem CISO noch erzählen und worüber sollte man besser Stillschweigen bewahren?! Kann man der IT (-Security) überhaupt noch vertrauen?! Denn schließlich wird ja "alles" von der NSA spielerisch leicht mitgehört, oder?

Besonders heikel wird es für ein Unternehmen, wenn unter diesem Vertrauensverlust die internationale Zusammenarbeit leidet: Doch die Frage nach der Vertrauenswürdigkeit von Personen und Systemen, die in einem Land arbeiten, das die elektronische Kommunikation anderer Länder in erheblichem Maß überwacht, drängt sich auf.

Ansatzpunkte

All das macht es dem CISO nicht leichter, der eine Vielzahl von Aufgaben hat und bei dem ja unter anderem Vertraulichkeit und Integrität den Arbeitserfolg bestimmen. Die primäre Aufgabe, hier für Aufklärung zu sorgen, obliegt zwar dem Staat, aber die CISOs sollten nicht warten, bis hier Erfolge sichtbar werden, sondern selbst auch für ihr Unternehmen aktiv werden! Für stabilisierende Maßnahmen bieten sich die folgenden Schwerpunkte an:

Technische Aufklärung

Erstaunlicherweise halten noch immer viele Leute E-Mails für sicher – dass eine E-Mail im Grunde nur eine elektronische Postkarte ist, die jeder "unterwegs" mitlesen kann, ist vielen Nutzern nicht bekannt. Erste Aufgabe des CISOs ist es hier, die Mitarbeiter technisch aufzuklären: Wie sicher ist eine E-Mail, wie vertrauenswürdig ist ein Skype-Telefonat, kann der Messenger-Dienst "WhatsApp" abgehört werden? Kennt die NSA mittlerweile alle Passwörter für alle Webservices, auch wenn man über https gearbeitet hat?

Solche Fragen sollten CISOs schnell beantworten, damit die Anwender wissen, wo wirklich Risiken bestehen und wo eher Entwarnung angesagt ist. Wer Pluspunkte sammeln will, blickt auch über den professionellen Tellerrand hinaus und informiert zu den Aktivitäten, die Nutzer privat interessieren (Online-Banking, Social Media etc.), denn dort herrscht oft die gleiche Unklarheit!

Wahrscheinlich wurde all dies bereits irgendwann einmal in Awareness-Schulungen oder Security-Flyern kommuniziert, aber derzeit ist einfach ein Refresh erforderlich, um das Wissen aktuell zu verbreiten!

Schutzmaßnahmen

Wenn Kommunikation schon flächig abgehört wird, was kann man (der Mitarbeiter und/oder das Unternehmen) tun, um für mehr Sicherheit zu sorgen? Gibt es eine E-Mail-Verschlüsselung und wird diese bereits genutzt? Wie versendet man Daten (Fotos, Texte, Verträge, Kalkulationen etc.) so, dass sie trotz allem niemand unberechtigt mitlesen kann? Gibt es dafür bereits ein Tool im Unternehmen oder kann man zügig eines bereitstellen?

Der CISO sollte hier versuchen, kurzfristig Lösungen anzubieten, die man gegebenenfalls auch erst im Nachgang optimiert. Wichtig ist, dass ein Abhörschutz möglich ist und die Mitarbeiter schnell und sicher weiterarbeiten können, ohne in ihrer Arbeit blockiert zu werden oder auch nur ein ungutes Gefühl dabei zu haben.

Auch sollte der CISO ein Auge darauf haben, das kein unsicherer Wildwuchs entsteht: So ist beispielsweise ein Postversand unverschlüsselter Daten-CDs als Reaktion auf die Internetlauschangriffe ebenso wenig angesagt wie die Wiedereinführung von Brieftauben!

Gemeinsame Ziele

"Tue Gutes und rede darüber", sagt ein bekanntes Sprichwort. Jetzt ist die Zeit, über die IT zu sprechen und den Mitarbeitern zu sagen, was die IT alles Gutes tut – für ihn und das Unternehmen! Der Mitarbeiter muss erkennen können, dass die IT ebenso wie er bemüht ist, erfolgreich die anstehenden Arbeiten zu erledigen. Die IT und ihr Personal dürfen nicht zur Schreckgestalt oder gar zum Feindbild werden – sie sind schließlich Teil des Unternehmens, wie alle anderen Bereiche auch!

Datensammlungen

Was hat die NSA denn nun eigentlich abgehört? Niemand weiß es so genau – auch nicht, wie lange die Daten gegebenenfalls archiviert werden. Sind es Echt-Daten oder "nur" Metadaten? Hier hilft es nur, die weiteren Enthüllungen zu verfolgen, womöglich zwischen den Zeilen zu lesen und auch dem "normalen" Mitarbeiter aufzuzeigen, was man eigentlich unter Metadaten versteht und welches Risikopotenzial damit verbunden ist.

Ebenso sollte man auch nochmals verdeutlichen, dass die NSA-Leute keine Zauberer sind: Auch sie können nur Daten abhören, auf die sie Zugriff erlangen! Daten, die beispielsweise auf einem USB-Speicherstick liegen, sind von der aktuellen Lage nicht betroffen (solange man sie nicht über das Internet versendet). Hier wird, oft aus Unkenntnis, eine Abhöraktion auf dem Kabel gleichgesetzt mit einem Datenzugriff Dritter über ein Trojanisches Pferd auf einem infizierten System.

Misstrauen entgegenwirken

Der schwierigste Part für den CISO besteht vermutlich darin, das angekratzte Vertrauen untereinander und gegenüber anderen wieder herzustellen. Dabei sollte man sich Unterstützung vom Management holen, denn diese Aufgabe muss gemeinsam angegangen werden. Es gilt, die Verfahren aufzuzeigen, die ein Unternehmen ergreift, um die Integrität und Vertraulichkeit seiner Daten zu gewährleisten. Falls Mitarbeiter an wichtigen Positionen sicherheitsüberprüft sind oder andere Nachweise vorlegen können, sollte man dies auch erwähnen.

Vertrauen kann man nicht kaufen, man muss es sich gemeinsam erarbeiten. Man sollte aber auch nicht ungerechtfertigt Personen angreifen oder verurteilen, denn den Leitsatz "in dubio pro reo" (im Zweifel für den Angeklagten) gibt es aus gutem Grund!

Vertrauenswürdige Software

Im Zuge der Diskussion über PRISM & Co. wird auch der "Bundestrojaner" wieder ins Rampenlicht treten – analog dazu wird man sich fragen, ob internationale Softwareprodukte nicht möglicherweise bereits eingebaute Hintertüren enthalten, um leicht(er) Daten auszuspähen. Eine Selbstverpflichtung, wie sie beispielsweise AVIRA im Rahmen der Initiative "IT Security made in Germany" (ITSMIG) gibt, ist leider nicht branchenüblich (vgl. www.avira.com/de/itsmig).

Ein oft zitierter Lösungsansatz aus diesem Dilemma besteht in der Nutzung von Open-Source-Software: Da der Quellcode verfügbar ist, fällt es wesentlich schwerer dort unerwünschte Nebenfunktionen zu verstecken, da eine Überprüfung möglich ist. Ein Wechsel der Software-Infrastruktur ist aber keine Kleinigkeit und geht mit einem großen Kosten- und Ressourcenbedarf einher. Selbst wo der Umstieg mehr Sicherheit bringen würde – die wenigsten dürften ihn kurzfristig wagen, denn die Aufwendungen dafür sind einfach zu hoch!

Lessons learned!

Lesson 1: Man wird ausspioniert!

Fakt ist: Die Geheimdienste der verschiedensten Staaten überwachen die elektronische Kommunikation – dies geschieht in unterschiedlicher Intensität und aus den verschiedensten Beweggründen. Ob es dabei bleibt, dass die "3-Buchstaben-Firmen" nur Terroristen ausforschen, oder (nebenbei) auch Wirtschaftsspionage betreiben, ist eine offene Frage. Aber nicht wenige Firmen bangen um ihren Know-how-Vorsprung gegenüber den Mitbewerbern und um ihre Investitionen.

Lesson 2: Je umfangreicher die Kommunikation, desto schwieriger der Schutz!

Man muss sich auch die Frage stellen, ob ein Unternehmen überhaupt in der Lage ist, sich gegen eine geheimdienstliche Überwachung zu wehren. Technisch gibt es viele Optionen, aber da man nicht auf einer Insel lebt und mit globalen Geschäftspartnern kommuniziert, können verfügbare Schutztechniken nur bis zu einer gewissen Stärke tatsächlich eingesetzt werden. Denn auch die wirklich sichere Verschlüsselung einer Konstruktionszeichnung nützt wenig, wenn der Geschäftspartner nicht über die entsprechende Infrastruktur verfügt, um dieses Dokument zu dechiffrieren.

Leider gilt bei der Kommunikation: je vielfältiger die genutzten Wege und Verfahren, desto geringer die Chance auf eine erfolgreiche Abschottung.

Lesson 3: Jeder hat interessante Daten!

Wenig ratsam ist es, darauf zu vertrauen, dass man in der Hierarchie der "interessanten" Firmen so weit hinter HiTech-Unternehmen, Forschungseinrichtungen und Behörden rangiert, dass man aus Kapazitätsgründen nicht abgehört wird. Denn in einer globalen Welt sind selbst neue Designs für Alltagsprodukte wie Wasserhähne, Kugelschreiber und Küchenmesser für Spione interessant.

Lesson 4: Es gibt keine Wundertechnik gegen Spionage – nur die konsequente Anwendung bekannter Lösungen!

Letztendlich bleibt Unternehmen nur übrig, verstärkt organisatorische und technische Schutzmaßnahmen zu ergreifen, um den bestmöglichen Schutz zu gewährleisten. Das bedeutet durchaus auch eine Rückbesinnung auf die alten Stärken der IT-Sicherheit und darauf, dass selbst kleine Verbesserungen zu einem Security-Gesamtkonzept beitragen.

Spionage und Überwachung sind keine neue Disziplin! Neu ist lediglich der Umfang, mit dem die elektronische Überwachung praktiziert wird. Oder: der Umfang, von dem wir wissen – denn Experten haben so etwas ja schon immer vermutet, nur gab es bis vor Kurzem keine Bestätigung.

Lesson 5: Bei all der Sorge um PRISM & Co. nicht die Gefahr des Innentäters vergessen!

Dass Spionage und Überwachung für den Betreiber Vorteile bringen, war indessen schon immer klar – oder wie Napoleon Bonaparte es ausdrückte: "Ein Spion am rechten Ort ersetzt 20 000 Mann an der Front".

Ralph Dombach (www.secuteach.de) ist freier Autor und arbeitet als Sicherheits-Administrator für einen Versicherungskonzern.