Version [101666]
Dies ist eine alte Version von DatenSicherheitLeitfaden2024 erstellt von WojciechLisiewicz am 2024-10-06 20:32:51.
Datensicherheitsleitfaden für Thüringer Verwaltungen und Unternehmen
Volltext
A. Überblick über den Leitfaden und seine Erläuterung
Sicherheit jeglicher, computergestützter Datenverarbeitungssystemen wird in Fachkreisen stets auf mehreren Ebenen betrachtet. Einen ausführlichen Überblick finden Sie bei uns in diesem Artikel. An dieser Stelle sollten wir aber deutlich machen, was das konkret heißt. Und in der Praxis bedeutet dies, dass Sie für Sicherheit Ihrer EDV sowie Ihrer Daten nur dann sorgen können, wenn Sie:
- den Betrieb Ihrer Systeme und digitale Datenverarbeitung hinreichend rechtlich abgesichert haben (!),
- die Aufgaben im Kontext der EDV und Datenverarbeitung klar geregelt und transparent verteilt - also für eine geordnete und sinnvolle Organisation gesorgt haben,
- über qualifiziertes Personal verfügen und dessen Qualifikation auch fördern,
- Ihre übrige Infrastruktur (Gebäude, Grundstücke, Infrastruktur - z. B. Stromversorgung) in die Betrachtung der IT-Sicherheit einbezogen haben,
- und letztlich über hinreichende Sicherheit in technischer Hinsicht - also mit Ihrer Hardware und Software - verfügen.
Sollte der vorliegende Leitfaden viele konkrete technische Hinweise enthalten, dann liegt das daran, dass im Bereich von Hardware aber insbesondere Software die größten von uns beobachteten Defizite im Hinblick auf die Sicherheit bestehen und diese Defizite auf Unwissen und fehlende Kenntnis der Softwarelandschaft zurückzuführen sind. Die Herausforderungen aus den rechtlichen, organisatorischen oder personellen Bereichen sollten allerdings niemals auf die leichte Schulter genommen und vernachlässigt werden. Deshalb weisen wir darauf an dieser Stelle ausdrücklich hin: lassen Sie die von uns empfohlenen technischen Maßnahmen durch die übrigen - ebenso notwendigen - flankieren, dann erhalten Sie ein perfektes Datensicherheitssystem. Damit senken Sie Risiken der IT erheblich und nutzen die Vorteile der Digitalisierung stressfrei.
B. Technik
1. Viel Software = viel Risiko!
Für das Jahr 2023 stellt das BSI fest, dass täglich 68 neue Schwachstellen in Softwareprodukten entdeckt werden [1]. Was ist die logische Konsequenz aus diesem Umstand?
Für das Jahr 2023 stellt das BSI fest, dass täglich 68 neue Schwachstellen in Softwareprodukten entdeckt werden [1]. Was ist die logische Konsequenz aus diesem Umstand?
- ein verantwortungsvoller Entscheider in Unternehmen und Verwaltungen setzt nur so viel Software, wie zwingend nötig und so wenig wie möglich ein! überlegen Sie also, ob Sie das Produkt des Anbieters XYZ auch noch brauchen oder ob die gleiche Aufgabe vielleicht ähnlich durch bereits vorhandene Software erledigt werden kann!
- fragen Sie sich, ob die eingesetzte Software schlank ist - dient sie nur zur Erledigung ihrer Aufgaben oder bringt sie "kostenlos" einen Balast mit, den Sie nicht benötigen - der aber Lücken mitbringen könnte? Dei Softwareindustrie neigt stark dazu, Ihnen große Pakete zu verkaufen, um den Eindruck zu erwecken, dass Sie viel für wenig Geld erhalten - sicherheitstechnisch handelt es sich aber um keinen finanziellen Vorteil, sondern um einen gewaltigen Nachteil!
- suchen Sie explizit nach Anbietern schlanker Software - das alte UNIX-Prinzip (one task - one program) ist dabei erstaunlich sinnvoll - schauen Sie also, ob Sie insbesondere für kritische Anwendungen nicht etwas auf Basis von UNIX nutzen könnten! dies ist keine Werbung für ein konkretes Produkt (UNIX-artige Software ist eine riesige Familie unterschiedlicher Anbieter) sondern ein Hinweis auf einen notwendigen Paradigmenwechsel bei Softwareeinsatz - weniger ist eindeutig mehr (Sicherheit);
2. Monokulturen
Die allermeisten Cyberangriffe infizieren und betreffen Microsoft-Produkte. Selbstverständlich nehmen andere Angriffswege zu - insbesondere Angriffe auf verschiedenste Bestandteile der Netzwerkinfrastruktur sind ebenfalls häufig - dennoch ist auch dann die Verbreitung von Schadprogrammen (sog. "Malware") auf Microsoft-Architekturen für den Angreifer in der Regel einfacher, weil sich die Systeme nicht wesentlich unterscheiden und an einigen grundlegenden Konzeptionsfehlern leiden.
Die allermeisten Cyberangriffe infizieren und betreffen Microsoft-Produkte. Selbstverständlich nehmen andere Angriffswege zu - insbesondere Angriffe auf verschiedenste Bestandteile der Netzwerkinfrastruktur sind ebenfalls häufig - dennoch ist auch dann die Verbreitung von Schadprogrammen (sog. "Malware") auf Microsoft-Architekturen für den Angreifer in der Regel einfacher, weil sich die Systeme nicht wesentlich unterscheiden und an einigen grundlegenden Konzeptionsfehlern leiden.
Die Diskussion, inwiefern Microsoft-Produkte "unsicherer" sind als andere ist dabei sinnlos, weil sie keine Lösungen hervorbringt. Bei aller Kritik an manchen technischen Lösungen von Windows oder Office aus dem Hause Microsoft (ja, es gibt auch Fenster- und Office-Programme, die nicht von Microsoft stammen!) muss man auch anerkennen, dass der Markterfolg der Produkte zwangsläufig dazu führt, dass sich die Entwicklung von Schadprogrammen oder Angriffsmethoden für diese Produkte für Cyberkriminelle mehr "lohnt" - mit einem Abwasch können Sie potenziell auf Millionen wenn nicht Milliarden Computern einen Angriff starten. Bei vermeintlich sichereren Nischenprodukten ist der Aufwand möglicherweise nicht wesentlich größer, aber der Ertrag erheblich geringer.
Deshalb sollte man die Frage, für welche Softwareprodukte ich mich als Verantwortlicher entscheide, nicht in grundsätzlichen Kategorien "sicherer" oder "unsicherer" betrachten. Vielmehr ist der Umstand, dass bestimmte Softwareprodukte sehr verbreitet sind, andere wiederum nicht, in die Betrachtung der Sicherheit aus einem ganz anderen Blickwinkel einbezogen werden: ist der Einsatz eines für Cyberkriminelle attraktiven Angriffspunktes immer sinnvoll oder gar zwingend?
Diese Frage Frage können wir nach Analyse zahlreicher Zwischenfälle mit einem klaren NEIN beantworten. Diese Antwort kann man auf einigen Ebenden wie folgt begründen:
a. Produktmix ist automatisch Gegenteil von Monokultur
Wie wir noch weiter unten erläutern werden, ist ein Verzicht auf manche Produkte von Monopolisten nicht immer einfach und mitunter unmöglich. So ist zum Beispiel mit einem - sowohl aktiven wie auch passiven - Widerstand der Mitarbeiter an Computerarbeitsplätzen, wenn ihnen das womöglich auch zu Hause gut bekannte Microsoft Windows weggenommen wird und sie fortan mit macOS (obendrein auch noch kostspielig) oder Linux arbeiten sollten. Deshalb stellt sich die Frage, wie das Problem einer mit einem Angriff flächendeckend anfälligen Monokultur zu lösen ist.
Wie wir noch weiter unten erläutern werden, ist ein Verzicht auf manche Produkte von Monopolisten nicht immer einfach und mitunter unmöglich. So ist zum Beispiel mit einem - sowohl aktiven wie auch passiven - Widerstand der Mitarbeiter an Computerarbeitsplätzen, wenn ihnen das womöglich auch zu Hause gut bekannte Microsoft Windows weggenommen wird und sie fortan mit macOS (obendrein auch noch kostspielig) oder Linux arbeiten sollten. Deshalb stellt sich die Frage, wie das Problem einer mit einem Angriff flächendeckend anfälligen Monokultur zu lösen ist.
Nun, heutzutage arbeiten die meisten EDV-Strukturen mit (immer an Bedeutung verlierenden) Client-Maschinen auf der einen und mit (immer bedeutsameren) Servern zur zentralen Datenverarbeitung auf der anderen Seite. Und die letztgenannten Bestandteile einer EDV-Landschaft sind von den Computerarbeitsplätzen aus kaum sichtbar und meist auch nicht zu erkennen. Genau dies bietet das Potenzial, sichere Alternativen einzuführen, ohne die Mitarbeiter zu überfordern. Und aus der Mischung - Server als innovative Alternativprodukte, Arbeitsplätze als gewohnte und altbekannte Lösung - können bei geringem Aufwand ganz einfach Hürden für Angriffe entstehen und zusätzliche Sicherheitsmechanismen Einzug in die EDV-Landschaft halten.
Zum letztgenannten Ansatzpunkt - zusätzliche Sicherheitsmechanismen dank alternativen Produkten im Serverbereich - möchten wir ein konkretes Beispiel nennen:
=> ein auf Microsoft Windows basierender Fileserver (Computer, der Dateifreigaben im gesamten Unternehmen oder in der gesamten Einrichtung zur Verfügung stellt, die dann über Netzwerk von allen Arbeitsplätzen erreichbar sind) ist ähnlich einfach anzugreifen, wie ein Hobby-Rechner zu Hause, der mit Windows betrieben wird;
=> die Verwendung an dieser Stelle eines alternativen Produktes (eine Liste mit Beispielen in der Fussnote [2])
Erfahrung zeigt, dass insbesondere der Einsatz von Open-Source-Software (OSS) viele Vorteile in Qualität und Sicherheit bietet. Bei Produkten, die auf OSS basieren, handelt es sich allerdings nicht wirklich um Nischenerscheinung. Dies dürften einige Zahlen verdeutlichen.
c. Alternative Produkte können einen unerwarteten Sicherheitsvorteil mit sich bringen
An einigen Stellen des Leitfadens wird der Leser feststellen, dass die Autoren eine starke Neigung zu Open-Source-Software zeigen. Dies ist sicherlich nicht ganz falsch, dennoch möchten wir betonen, dass wir diese "Zuneigung" nur unter einer Bedingung zugeben können: wenn diese Art Software oder mehr noch ein konkretes Softwareprodukt, das in Betracht gezogen wird, einen wirklichen Vorteil für den Nutzer / Kunden / Verantwortlichen mitbringt. Ist ein solcher Vorteil nicht vorhanden, muss man von der Open-Source-Lösung - wie von jeder anderen, die nicht vorteilhaft ist - die Finger lassen.
An einigen Stellen des Leitfadens wird der Leser feststellen, dass die Autoren eine starke Neigung zu Open-Source-Software zeigen. Dies ist sicherlich nicht ganz falsch, dennoch möchten wir betonen, dass wir diese "Zuneigung" nur unter einer Bedingung zugeben können: wenn diese Art Software oder mehr noch ein konkretes Softwareprodukt, das in Betracht gezogen wird, einen wirklichen Vorteil für den Nutzer / Kunden / Verantwortlichen mitbringt. Ist ein solcher Vorteil nicht vorhanden, muss man von der Open-Source-Lösung - wie von jeder anderen, die nicht vorteilhaft ist - die Finger lassen.
So unterstreichen wir, dass wir zum Beispiel den Einsatz des Betriebssystems Linux auf Arbeitsplatzrechnern (anstelle von Microsoft Windows) eines jeden Unternehmens oder einer Verwaltung nicht propagieren. Es gibt sicher Bereiche, wo das sinnvoll sein kann - insbesondere bei der Verarbeitung von besonders sensiblen Informationen in einem exponierten Umfeld (Unternehmen für Militärtechnik, besonders von Wirtschaftsspionage betroffene Unternehmen, Geheimdienste etc.). Sonst aber sind die Hürden oft so hoch, dass wir von Linux als Arbeitsplatzrechner abraten würden, sofern andere Potenziale für die Steigerung der Sicherheit nicht ausgeschöpft sind (es gibt einfacher zu kommunizierende Maßnahmen, die Vorrang haben sollten).
Dies vorausgeschickt möchten wir dennoch eine Frage aufwerfen, die durch den Ansatz "was wäre wenn" zum Nachdenken anregen sollte. Nehmen wir an, jemand überlegt - aus Sicherheitsgründen oder wegen einem sowieso anstehenden Umstieg auf Windows 11, bei dem viele neue Rechner angeschafft werden müssen, was man sich sparen möchte - die Einführung des Betriebssystems Linux auf Arbeitsplatzrechnern (alle / ein Teil). Welche Variante dabei genommen werden soll, ist zweitrangig.
Dies stößt bei vielen Mitarbeitern garantiert auf Abneigung. Die gewohnten Bedienkonzepte, über Jahre angesammelten Kenntnisse sind dadurch gefährdet. Es wird das Argument der fehlenden Benutzerfreundlichkeit angeführt, auch wenn in der Regel gemeint ist, dass vieles nicht mehr so funktioniert, wie man es gewohnt war - egal, ob es wirklich in der Sache funktioniert. Diese Kritik ist aber durchaus nachvollziehbar: sogar der Schöpfer von Linux gibt dem Arbeitsplatzrechner mit Linux keine besonders gute Note [3]. Und dies mit folgender Begründung, die in diesem vorgestellten Szenario mit Sicherheit auch so oder so ähnlich zu hören wäre:
"Wenn ich mir ein Programm, das ich für meine Aufgabe mal brauche, kurz installieren möchte, dann ging das bisher so, dass ich die Installationsdatei besorgt, diese auf den Rechner kopiert und doppelt angeklickt habe. Dann habe ich mich durch ein paar Fragen geklickt und das Programm war da! Bei Linux funktioniert das so nicht!"
Diese Aussage kann durchaus richtig sein (je nach Linux-Variante). ABER: in einem Unternehmen mit einem vernünftigen Sicherheitskonzept müsste es gerade verboten sein, Zusatzsoftware zu installieren. Welchen Nachteil stellt insofern die Situation dar, dass der Mitarbeiter nicht weiß, wie er mal unüberlegt gegen diese sinnvolle Schikane verstößt? Die Beschränkung der Nutzermöglichkeiten auf die wirklichen Aufgaben am Arbeitsplatz ist gerade richtig - und diese Aufgaben sind meist das Anmelden an einem Datenbanksystem per Browser, ein E-Mail-Programm, Kalender usw. - alles Standardanwendungen, die entweder identisch oder ähnlich unter Windows, macOS und Linux funktionieren. Ist es wirklich notwendig, dass der Mitarbeiter am Rechner auch Dinge tut, die er aus Sicherheitsgründen eigentlich nicht tun sollte?
Unsere Erfahrung bestätigt: Benutzerfreundlichkeit im Sinne von "alles Mögliche auch ohne groß nachzudenken schnell machen können" ist ein beachtliches Sicherheitsrisiko - sogar dann, wenn ich meine Mitarbeiter geschult und darauf hingewiesen habe.
4. Qualität und Komfort
Bitte bedenken Sie, dass über viele Fehler oder nervige Lösungen, die bei den "üblichen" Systemen oder Programmen häufig geflucht wird, die Betroffenen daraus aber keine Konsequenzen ziehen. Das Achselzucken liegt insbesondere daran, dass die meisten Benutzer und auch Entscheider der Meinung sind, dass man nichts dagegen machen kann, denn es gibt ja nur den einen Monopolisten. Dies ist nicht zutreffend. Es gibt durchaus Software:
Bitte bedenken Sie, dass über viele Fehler oder nervige Lösungen, die bei den "üblichen" Systemen oder Programmen häufig geflucht wird, die Betroffenen daraus aber keine Konsequenzen ziehen. Das Achselzucken liegt insbesondere daran, dass die meisten Benutzer und auch Entscheider der Meinung sind, dass man nichts dagegen machen kann, denn es gibt ja nur den einen Monopolisten. Dies ist nicht zutreffend. Es gibt durchaus Software:
- die bei einem Update so gut wie nie den Rechner neu starten muss,
- die nach Updates nie Probleme aufweist,
- die über Jahre benutzt werden kann und nicht "vermüllt" und nicht langsamer wird,
- die mit nur wenigen Dateien auskommt und nur das installiert, was man wirklich braucht und will,
- die von Version zu Version nur kleine Verbesserungen mitbringt, nicht mehr Speicher braucht und bei neuer Version nicht komplett neu gelernt werden muss.
Im Hinblick auf Sicherheitskonzepte - die für den durchschnittlichen Benutzer weniger sichtbar sind - gibt es noch gravierendere Unterschiede. Im Hinblick auf die Sicherheit gibt es auch sehr spannende Konzepte, die nachweislich den Unterschied bei Cyberangriffen ausmachen, die aber bei Mainstream-Software im Traum nicht möglich sind! Beispiele:
Outsourcing?
[1] BSI, Bericht zur Lage der IT-Sicherheit in Deutschland 2023, Seite 11.
[2] Als Alternative zu MS Windows Server kommen folgende Softwareprodukte in Betracht:
- jede Form von Linux in einer auf Serverfunktionen fokussierten Variante (zahlreiche Distributionen bietet dies) - Open Source
- Solaris der Firma Oracle (früher Sun Microsystems) - kommerziell
- FreeBSD / NetBSD / OpenBSD als andere Unix-Varianten, die selbst in vielen weiteren Untervarianten vorkommen - Open Source
Kategorie des Artikels: Datensicherheit
Diese Seite wurde noch nicht kommentiert.
