Version [101636]
Dies ist eine alte Version von DatenSicherheitLeitfaden2024 erstellt von WojciechLisiewicz am 2024-10-01 23:15:32.
Datensicherheitsleitfaden für Thüringer Verwaltungen und Unternehmen
Volltext
A. Überblick über den Leitfaden und seine Erläuterung
Sicherheit jeglicher, computergestützter Datenverarbeitungssystemen wird in Fachkreisen stets auf mehreren Ebenen betrachtet. Einen ausführlichen Überblick finden Sie bei uns in diesem Artikel. An dieser Stelle sollten wir aber deutlich machen, was das konkret heißt. Und in der Praxis bedeutet dies, dass Sie für Sicherheit Ihrer EDV sowie Ihrer Daten nur dann sorgen können, wenn Sie:
- den Betrieb Ihrer Systeme und digitale Datenverarbeitung hinreichend rechtlich abgesichert haben (!),
- die Aufgaben im Kontext der EDV und Datenverarbeitung klar geregelt und transparent verteilt - also für eine geordnete und sinnvolle Organisation gesorgt haben,
- über qualifiziertes Personal verfügen und dessen Qualifikation auch fördern,
- Ihre übrige Infrastruktur (Gebäude, Grundstücke, Infrastruktur - z. B. Stromversorgung) in die Betrachtung der IT-Sicherheit einbezogen haben,
- und letztlich über hinreichende Sicherheit in technischer Hinsicht - also mit Ihrer Hardware und Software - verfügen.
Sollte der vorliegende Leitfaden viele konkrete technische Hinweise enthalten, dann liegt das daran, dass im Bereich von Hardware aber insbesondere Software die größten von uns beobachteten Defizite im Hinblick auf die Sicherheit bestehen und diese Defizite auf Unwissen und fehlende Kenntnis der Softwarelandschaft zurückzuführen sind. Die Herausforderungen aus den rechtlichen, organisatorischen oder personellen Bereichen sollten allerdings niemals auf die leichte Schulter genommen und vernachlässigt werden. Deshalb weisen wir darauf an dieser Stelle ausdrücklich hin: lassen Sie die von uns empfohlenen technischen Maßnahmen durch die übrigen - ebenso notwendigen - flankieren, dann erhalten Sie ein perfektes Datensicherheitssystem. Damit senken Sie Risiken der IT erheblich und nutzen die Vorteile der Digitalisierung stressfrei.
B. Technik
1. Viel Software = viel Risiko!
Für das Jahr 2023 stellt das BSI fest, dass täglich 68 neue Schwachstellen in Softwareprodukten entdeckt werden [1]. Was ist die logische Konsequenz aus diesem Umstand?
Für das Jahr 2023 stellt das BSI fest, dass täglich 68 neue Schwachstellen in Softwareprodukten entdeckt werden [1]. Was ist die logische Konsequenz aus diesem Umstand?
- ein verantwortungsvoller Entscheider in Unternehmen und Verwaltungen setzt nur so viel Software, wie zwingend nötig und so wenig wie möglich ein! überlegen Sie also, ob Sie das Produkt des Anbieters XYZ auch noch brauchen oder ob die gleiche Aufgabe vielleicht ähnlich durch bereits vorhandene Software erledigt werden kann!
- fragen Sie sich, ob die eingesetzte Software schlank ist - dient sie nur zur Erledigung ihrer Aufgaben oder bringt sie "kostenlos" einen Balast mit, den Sie nicht benötigen - der aber Lücken mitbringen könnte? Dei Softwareindustrie neigt stark dazu, Ihnen große Pakete zu verkaufen, um den Eindruck zu erwecken, dass Sie viel für wenig Geld erhalten - sicherheitstechnisch handelt es sich aber um keinen finanziellen Vorteil, sondern um einen gewaltigen Nachteil!
- suchen Sie explizit nach Anbietern schlanker Software - das alte UNIX-Prinzip (one task - one program) ist dabei erstaunlich sinnvoll - schauen Sie also, ob Sie insbesondere für kritische Anwendungen nicht etwas auf Basis von UNIX nutzen könnten! dies ist keine Werbung für ein konkretes Produkt (UNIX-artige Software ist eine riesige Familie unterschiedlicher Anbieter) sondern ein Hinweis auf einen notwendigen Paradigmenwechsel bei Softwareeinsatz - weniger ist eindeutig mehr (Sicherheit);
2. Monokulturen
Die allermeisten Cyberangriffe infizieren und betreffen Microsoft-Produkte. Selbstverständlich nehmen andere Angriffswege zu - insbesondere Angriffe auf verschiedenste Bestandteile der Netzwerkinfrastruktur sind ebenfalls häufig - dennoch ist auch dann die Verbreitung von Schadprogrammen (sog. "Malware") auf Microsoft-Architekturen für den Angreifer in der Regel einfacher, weil sich die Systeme nicht wesentlich unterscheiden und an einigen grundlegenden Konzeptionsfehlern leiden.
Die allermeisten Cyberangriffe infizieren und betreffen Microsoft-Produkte. Selbstverständlich nehmen andere Angriffswege zu - insbesondere Angriffe auf verschiedenste Bestandteile der Netzwerkinfrastruktur sind ebenfalls häufig - dennoch ist auch dann die Verbreitung von Schadprogrammen (sog. "Malware") auf Microsoft-Architekturen für den Angreifer in der Regel einfacher, weil sich die Systeme nicht wesentlich unterscheiden und an einigen grundlegenden Konzeptionsfehlern leiden.
Die Diskussion, inwiefern Microsoft-Produkte "unsicherer" sind als andere ist dabei sinnlos, weil sie keine Lösungen hervorbringt. Bei aller Kritik an manchen technischen Lösungen von Windows oder Office aus dem Hause Microsoft (ja, es gibt auch Fenster- und Office-Programme, die nicht von Microsoft stammen!) muss man auch anerkennen, dass der Markterfolg der Produkte zwangsläufig dazu führt, dass sich die Entwicklung von Schadprogrammen oder Angriffsmethoden für diese Produkte für Cyberkriminelle mehr "lohnt" - mit einem Abwasch können Sie potenziell auf Millionen wenn nicht Milliarden Computern einen Angriff starten. Bei vermeintlich sichereren Nischenprodukten ist der Aufwand möglicherweise nicht wesentlich größer, aber der Ertrag erheblich geringer.
Deshalb sollte man die Frage, für welche Softwareprodukte ich mich als Verantwortlicher entscheide, nicht in grundsätzlichen Kategorien "sicherer" oder "unsicherer" betrachten. Vielmehr ist der Umstand, dass bestimmte Softwareprodukte sehr verbreitet sind, andere wiederum nicht, in die Betrachtung der Sicherheit aus einem ganz anderen Blickwinkel einbezogen werden: ist der Einsatz eines für Cyberkriminelle attraktiven Angriffspunktes immer sinnvoll oder gar zwingend?
Diese Frage Frage können wir nach Analyse zahlreicher Zwischenfälle mit einem klaren NEIN beantworten. Diese Antwort kann man auf einigen Ebenden wie folgt begründen:
a. Produktmix ist automatisch Gegenteil von Monokultur
Wie wir noch weiter unten erläutern werden, ist ein Verzicht auf manche Produkte von Monopolisten nicht immer einfach und mitunter unmöglich. So ist zum Beispiel mit einem - sowohl aktiven wie auch passiven - Widerstand der Mitarbeiter an Computerarbeitsplätzen, wenn ihnen das womöglich auch zu Hause gut bekannte Microsoft Windows weggenommen wird und sie fortan mit macOS (obendrein auch noch kostspielig) oder Linux arbeiten sollten. Deshalb stellt sich die Frage, wie das Problem einer mit einem Angriff flächendeckend anfälligen Monokultur zu lösen ist.
Wie wir noch weiter unten erläutern werden, ist ein Verzicht auf manche Produkte von Monopolisten nicht immer einfach und mitunter unmöglich. So ist zum Beispiel mit einem - sowohl aktiven wie auch passiven - Widerstand der Mitarbeiter an Computerarbeitsplätzen, wenn ihnen das womöglich auch zu Hause gut bekannte Microsoft Windows weggenommen wird und sie fortan mit macOS (obendrein auch noch kostspielig) oder Linux arbeiten sollten. Deshalb stellt sich die Frage, wie das Problem einer mit einem Angriff flächendeckend anfälligen Monokultur zu lösen ist.
Nun, heutzutage arbeiten die meisten EDV-Strukturen mit (immer an Bedeutung verlierenden) Client-Maschinen auf der einen und mit (immer bedeutsameren) Servern zur zentralen Datenverarbeitung auf der anderen Seite. Und die letztgenannten Bestandteile einer EDV-Landschaft sind von den Computerarbeitsplätzen aus kaum sichtbar und meist auch nicht zu erkennen. Genau dies bietet das Potenzial, sichere Alternativen einzuführen, ohne die Mitarbeiter zu überfordern. Und aus der Mischung - Server als innovative Alternativprodukte, Arbeitsplätze als gewohnte und altbekannte Lösung - können bei geringem Aufwand ganz einfach Hürden für Angriffe entstehen und zusätzliche Sicherheitsmechanismen Einzug in die EDV-Landschaft halten.
Zum letztgenannten Ansatzpunkt - zusätzliche Sicherheitsmechanismen dank alternativen Produkten im Serverbereich - möchten wir ein konkretes Beispiel nennen:
=> ein auf Microsoft Windows basierender Fileserver (Computer, der Dateifreigaben im gesamten Unternehmen oder in der gesamten Einrichtung zur Verfügung stellt, die dann über Netzwerk von allen Arbeitsplätzen erreichbar sind) ist ähnlich einfach anzugreifen, wie ein Hobby-Rechner zu Hause, der mit Windows betrieben wird;
=> die Verwendung an dieser Stelle eines alternativen Produktes (eine Liste mit Beispielen in der Fussnote [2])
c. Nischenprodukte können einen unerwarteten Sicherheitsvorteil mit sich bringen
An einigen Stellen des Leitfadens wird der Leser feststellen, dass die Autoren eine starke Neigung zu Open-Source-Software zeigen. Dies ist sicherlich nicht ganz falsch, dennoch möchten wir betonen, dass wir diese "Zuneigung" nur unter einer Bedingung zugeben können: wenn diese Art Software oder mehr noch ein konkretes Softwareprodukt, das in Betracht gezogen wird, einen wirklichen Vorteil für den Nutzer / Kunden / Verantwortlichen mitbringt. Ist ein solcher Vorteil nicht vorhanden, muss man von der Open-Source-Lösung - wie von jeder anderen, die nicht vorteilhaft ist - die Finger lassen.
An einigen Stellen des Leitfadens wird der Leser feststellen, dass die Autoren eine starke Neigung zu Open-Source-Software zeigen. Dies ist sicherlich nicht ganz falsch, dennoch möchten wir betonen, dass wir diese "Zuneigung" nur unter einer Bedingung zugeben können: wenn diese Art Software oder mehr noch ein konkretes Softwareprodukt, das in Betracht gezogen wird, einen wirklichen Vorteil für den Nutzer / Kunden / Verantwortlichen mitbringt. Ist ein solcher Vorteil nicht vorhanden, muss man von der Open-Source-Lösung - wie von jeder anderen, die nicht vorteilhaft ist - die Finger lassen.
So unterstreichen wir, dass wir zum Beispiel den Einsatz des Betriebssystems Linux auf Arbeitsplatzrechnern (anstelle von Microsoft Windows) eines jeden Unternehmens oder einer Verwaltung nicht propagieren. Es gibt sicher Bereiche, wo das sinnvoll sein kann - insbesondere bei der Verarbeitung von besonders sensiblen Informationen in einem exponierten Umfeld (Unternehmen für Militärtechnik, besonders von Wirtschaftsspionage betroffene Unternehmen, Geheimdienste etc.). Sonst aber sind die Hürden oft so hoch, dass wir von Linux als Arbeitsplatzrechner abraten würden, sofern andere Potenziale für die Steigerung der Sicherheit nicht ausgeschöpft sind (es gibt einfacher zu kommunizierende Maßnahmen, die Vorrang haben sollten).
Dies vorausgeschickt möchten wir dennoch eine Frage aufwerfen, die durch den Ansatz "was wäre wenn" zum Nachdenken anregen sollte.
Outsourcing?
[1] BSI, Bericht zur Lage der IT-Sicherheit in Deutschland 2023, Seite 11.
[2] Als Alternative zu MS Windows Server kommen folgende Softwareprodukte in Betracht:
- jede Form von Linux in einer auf Serverfunktionen fokussierten Variante (zahlreiche Distributionen bietet dies) - Open Source
- Solaris der Firma Oracle (früher Sun Microsystems) - kommerziell
- FreeBSD / NetBSD / OpenBSD als andere Unix-Varianten, die selbst in vielen anderen Untervarianten vorkommen - Open Source
Kategorie des Artikels: Datensicherheit
Diese Seite wurde noch nicht kommentiert.
