Sicherheit in den IT-Netzen der Banken und Industrie?
Im Gespräch mit dem ehemaligen IT-Spezialist Dieter Gotzen über Sicherheit in IT-Strukturen.
FK: Wie sehen Sie die Sicherheit in der IT angesichts der angeschlagenen Finanzbranche?
Kleine Korrektur. Es gibt keine Sicherheit in der IT. Und seit dem Wegfall von OS/2 bewegen wir uns zwischen Schadensbegrenzung und Notlauf der Systeme.
FK: Halten Sie die bestehenden Betriebssysteme für so angreifbar?
Microsoft hat seinerzeit gemeinsam mit IBM ein sehr strukturiertes Betriebssystem entwickelt. Hieraus entstanden WinNT und die nachfolgenden Systeme. Sie alle sind zunächst sicher. Wenn aber Arbeitsplätze ausgeliefert werden mit CD-ROM und USB-Anschluss, darf ich mich nicht über Spamming, Viren und Trojaner wundern. Hinzu kommen dann noch lokale Administrationsrechte, schließlich möchte der Herr Geschäftsführer vollen Zugriff auf seinen Rechner haben.
FK: Was spricht gegen den vollen Zugriff für die Geschäfsleitung?
Die Sicherheit spricht dagegen. Der Mensch ist nachweislich das schwächste Glied in der IT-Sicherheitskette. Was nützen aufwendige Firewalls und Zugriffsprotokolle, wenn der User über vollen Zugriff verfügt. Nichts. Und was bei unachtsamer Zugriffskontrolle herauskommt, haben wir bei der Telekom gesehen.
FK: Sie schreiben auch Artikel für und über die IT im Auftrage anderer Autoren. Wird das Thema IT-Sicherheit wirklich so banal behandelt?
Ganz klar: Ja. Ab und zu werde ich als Gastreferent eingeladen, um Mitarbeiter für das Thema IT-Sicherheit zu sensibilisieren. Regelmäßig ernte ich großes Staunen wenn ich zeige, wie mit einfachsten Mitteln ein ganzes IT-Netz ausgehebelt werden kann. Konkret meine ich damit: ich klaue Produktionsdaten, verfälsche Bilanzwerte, verändere Lagerbestandswerte .
FK: Sie plädieren dafür, das die Systemadministration nicht den Weisungen der Geschäftsleitung unterliegen darf. Wie darf man das Verstehen?
Eigentlich gehört die ganze EDV gepackt in eine Stabsstelle, welche autonom gemeinsam mit der Geschäftsleitung zusammen arbeitet. In größeren Unternehmen wird es auch schon so gemacht. Oftmals jedoch mit der Einschränkung, das die EDV der Unternehmensleitung untergeordnet wird.
FK: Was spricht gegen eine Unterordnung?
Abermals die IT-Sicherheit. Sicherheit bezieht sich ja nicht nur auf den Rechner. Auch der einzelne Mitarbeiter hat Schutzrechte. In vielen Arbeitsverträgen wird mittlerweile darauf hingewiesen, das eine private Internetnutzung nicht geduldet wird und bei Verstoß ggf. mit einer fristlosen Kündigung zu rechnen sei.
FK: Dies ist ja auch legitim. Aber wo liegt da der besondere Schutz der Mitarbeiter?
Primär geht es um die Sensibilisierung der Unternehmensmitarbeiter für die innere Sicherheit. Natürlich unterschreibt jeder einen Vertrag mit solchen Klauseln. Aber ordne ich die EDV-Administration der Geschäfsleitung unter, könnte diese z. B. die DNS-Protokolle verlangen, sofern das Unternehmen über einen eigenen DNS verfügt. Diese Protokolle liegen im Klartext vor und sind in wenigen Minuten gedruckt. Mit solchen Daten können Mitarbeiter ganz gezielt unter Druck gesetzt werden. Arbeitet die Administration autonom, kann und sollte sie die Herausgabe der Daten verweigern bzw. sich vorab mit dem Betriebsrat verständigen, sofern einer vorhanden ist. Nur müssen die Mitarbeiter in die IT-Sicherheitskonzepte einbezogen werden. Ansonsten wird es nicht funktionieren.
FK: Ist es generell möglich ein sicheres IT-Netz zu betreiben?
Grundsätzlich und theoretisch: ja.
FK: In einem Forum haben Sie vermerkt, das nicht auszuschließen sei das der Finanzcrash auf Viren und Trojanern zurück zu führen sei. In Anbetracht der verfügbaren Antivirensoftware ist das doch eine sehr abenteuerliche Vermutung.
Sehe ich seit NIMDA anders. Und erschreckenderweise versendet selbst CISCO, einer der größten Anbieter für Hardware-Security, seine Mails im Html-Format. Und was ich alles in HTML verpacken kann, da fragen Sie mal einen Webdesigner. Und legt sich ein Trojaner, wie beispielsweise NIMDA, auf einen hauseigenen Server, dann muss ich als Angreifer nur warten.
FK: Die meisten Newsletter werden im HTML-Format versendet. Stellt dies eine so enorme Sicherheitslücke dar?
Es ist die größte anzunehmende Sicherheitslücke überhaupt. Vor einer Gruppe von Geschäftsführern demonstrierte ich die Arbeitsweise von Emailprogrammen und deren Einstellungen. Ohne das irgendeiner etwas bemerkt hatte, transportierte ich zwei Trojaner und einen Virus auf einen Rechner. Trotz Firewall und Virenscanner.
