Compliance und IT-Sicherheit sind kein Widerspruch
Angesichts fehlender Ressourcen werden häufig Kompromisse zwischen Sicherheit und Compliance getroffen
Rollen- und Rechtemanagement (Identity- & Access-Management) bieten Schutz vor internen Angriffen
Von Dr. Willi Kafitz (*)
(25.04.08) - Die Einhaltung immer neuer gesetzlicher Auflagen und Vorschriften stellt in vielen Unternehmen die bisherigen Modelle der IT-Sicherheit in Frage. Denn das Risiko finanzieller Sanktionen, öffentlicher Blamagen und eventuell sogar von Haftstrafen hat das Thema Compliance zwar in den Führungsetagen zum Thema gemacht. Doch gleichzeitig gerät die eigentliche IT-Security ins Hintertreffen, weil nicht mehr länger ein Zustand allgemeiner Sicherheit das Ziel ist. Sondern nur noch eine adäquate Einhaltung der Richtlinien, sodass die Checklisten der Unternehmensprüfer ohne Probleme abgehakt werden können.
Einige spektakuläre Beispiele aus der Finanzwirtschaft in der letzten Zeit machen deutlich, dass Schwachstellen beim Identitätsmanagement und seinen Rahmenbedingungen fatale Folgen für die betroffenen Unternehmen haben. So hatte ein Händler in einer Bank im benachbarten Ausland sowohl Backoffice- wie Frontoffice-Rechte, war dadurch also sein eigener Controller und konnte so einen für das Geldinstitut existenziellen Schaden anrichten ("Entitlement-Problem"). In einem anderen Aufsehen erregenden Fall der Datenweitergabe an Steuerbehörden konnte die betroffene Bank den Verursacher nicht mehr ermitteln, weil eine Protokollierung der Zugriffe auf die IT-Systeme fehlte ("Compliance-Problem").
Beide Fälle demonstrieren, wie wichtig ein ausgereiftes Rollen- und Rechtemanagement (Identity- & Access-Management) schon alleine im Rahmen des Schutzes vor internen Angriffen auf die Sicherheit eines Unternehmens ist. Gleichzeitig erhöht die damit mögliche größere Transparenz und Nachvollziehbarkeit nachweislich die Hemmschwelle für "dolose Handlungen" in Firmen. Dazu zählen "klassische" strafbare Handlungen (zum Beispiel Unterschlagung, Untreue oder Bilanzmanipulationen), aber auch Fehlverhalten oder gar kriminelle Aktivitäten, die erst mit Hilfe moderner Informationstechnologie möglich wurden.
Nach einer aktuellen Studie des CERT (Computer Emergency Response Team der Carnegie Mellon University in den USA) hatte die Hälfte der überführten Innentäter in solchen Fällen während der Tat autorisierten System- bzw. Netzzugang. Die meisten dieser Taten (73 prozent) wurden durch arbeitsbezogene Ereignisse ausgelöst, wobei mehr als der Hälfte der Innentäter "Rache" als Motiv nannte. Da sich solche Situationen vermutlich nie ganz ausschließen lassen, müssen Unternehmen heute entsprechende organisatorische und technische Maßnahmen zur Risikominimierung treffen.
Mit der wachsenden Bedeutung des Compliance-Themas in den Unternehmen haben viele Verantwortliche für die IT-Sicherheit auch eine deutliche Stärkung ihrer Position erhofft. Doch in der Realität müssen sie völlig andere Erfahrungen machen: Viele Sicherheitsinitiativen werden aufgegeben und die Einführung von wichtigen Security-Technologien – wie Intrusion Prevention, Digital bzw. Enterprise Rights Management auf Unternehmensebene und sogar die Zugangskontrolle – wird verschoben, um Geld für die Einhaltung der Compliance-Anforderungen freizumachen. Angesichts fehlender Ressourcen werden häufig auch Kompromisse zwischen Sicherheit und Compliance getroffen, die in beiden Bereichen keine optimalen Lösungen zur Folge haben.
Es gibt sogar Fälle, in denen – so das Beratungsunternehmen Gartner in einer Studie – die gesetzlichen Auflagen die allgemeine Sicherheit verringern. Etwa wenn im Rahmen der Sarbanes-Oxley-Prüfung (Sarbanes-Oxley Act – SOX) in US-Unternehmen vierteljährliche Passwort-Änderungen verlangt werden. Die Folge: Die Mitarbeiter wählen leicht zu merkende Zugangskennungen aus, was das Risiko von erfolgreichen Einbrüchen in die IT-Systeme erhöht. Zwingt man sie zu komplizierteren Kombinationen, werden die Passwörter häufiger vergessen. Im Ergebnis wird der Helpdesk mit Passwort-Reset-Anfragen überflutet. Das verursacht nicht nur zusätzliche Kosten. Sondern die Sicherheit wird auch direkt vermindert, weil sich Betrüger im Schutz dieser Massen von Anfragen leichter einschmuggeln können und von den überforderten Helpdesk-Mitarbeitern ganz legal eine neue Zugangskennung erhalten.
Digitale Identitätsnachweise
Richtig angepackt, können sich jedoch Compliance und IT-Security optimal ergänzen. So hilft etwa die Implementierung eines Identity- und Access-Management-Systems dabei, die Komplexität von Zugriffsrechten in den Griff zu bekommen und auch im Nachhinein einen mutmaßlichen Datenmissbrauch eindeutig einer Person zuzuordnen. Ende-zu-Ende-Security-Lösungen auf Basis einer einheitlichen Architektur schaffen die Voraussetzung für ein hohes Maß an Sicherheit, die Einhaltung der Compliance-Vorschriften und die Reduzierung der Betriebskosten von IT-Systemen.
Die Notwendigkeit, elektronische oder digitale Identitätsnachweise bereitzustellen, ist mit der Zunahme der Informationstechnologie (IT) in allen Lebens- und Arbeitsbereichen in den vergangenen Jahren deutlich gewachsen. Bereits heute sind deshalb eine Vielzahl von Projekten in Planung, während gleichzeitig neue Technologien, Verfahren und Normen entstehen, um Objekten elektronische Identitäten geben zu können. Mit der RFID-Technologie (Radio Frequency Identification) beispielsweise entsteht zurzeit ein ganzer Industriezweig, mit Vorteilen für Logistik, Prozesssicherheit und Produktauthentizität.
Doch trotz all dieser Entwicklungen scheinen viele Firmen das Thema Sicherheit eher als lästigen Kostenaspekt denn als Chance zu verstehen. Eine fatale Fehleinschätzung, denn Sicherheit hat bei weitem nicht nur die Aufgabe, Geschäftsprozesse vor "bösen Buben" zu schützen. Ganz im Gegenteil. Allzu oft wird vergessen, dass bestimmte Sicherheitsrahmenbedingungen überhaupt erst neue Möglichkeiten eröffnen, Geld zu sparen und Geld zu verdienen.
Security als Business Enabler
Ein intelligent umgesetztes "Wer-darf-Was" in einem Unternehmen, in einer Behörde, einer Universität oder einem Krankenhaus beispielsweise geht in der Regel weit über den reinen Schutzaspekt hinaus, den man im Allgemeinen mit dem Thema "Sicherheit" verbindet. Es ist nicht notwendiges Übel, sondern notwendige Rahmenbedingung für eine schlagkräftige und flexible Organisation mit Rollen, Rechten und Regeln für ihre handelnden Personen.
In der elektronischen Welt der Anwendungen und Workflows bildet man diese Rollen, Rechte und Regeln mit Hilfe von digitalen Identitäten ab, die vielfach noch aus der altmodischen Kombination von Kennung und Passwort bestehen, was eine Vielzahl von Problemen schafft:
>> Administratoren und Helpdesk-Mitarbeitern wächst die Arbeit über den Kopf, denn Passworte werden allzu leicht vergessen und müssen zurückgesetzt werden. Das verursacht unnötige Kosten – nach vorsichtigen Schätzungen rund 100 Euro pro Mitarbeiter und Jahr.
>> Passwörter sind nicht immer sicher, denn allzu leicht können sie weitergegeben werden. Ein Verhalten, das immer wieder zu schwerwiegenden Sicherheitslücken führt.
>> Passwörter zu merken, wächst aber nicht zuletzt auch den Benutzern über den Kopf, denn die Zahl der digitalisierten Anwendungen nimmt in den Organisationen stetig zu.
Während im Innenverhältnis also der Kostendruck die Sicherheitsinfrastruktur zu mehr Effizienz treibt, so sind im Außenverhältnis andere Motive im Spiel. Organisationsübergreifende Geschäftsprozesse sind längst nicht mehr nur auf EDI (Electronic Data Interchange) beschränkt und selbst EDI wird immer mehr über das Internet betrieben. Das zeigt der Siegeszug von AS/2 (Applicability Statement 2), vor allem in der Handelsbranche, wo das http- oder https-Protokoll – also die Kerntechnologie des World Wide Web – inzwischen häufig zum Datenaustausch genutzt wird. Und auch E-Business-Anwendungen sind ohne Sicherheitsrahmenbedingungen undenkbar. Auch hier sind neben dem Schutzaspekt Vertraulichkeit und Verbindlichkeit die zweite Seite der Medaille.
Wertschöpfung berücksichtigen
Sicherheitsrahmenbedingungen im Innen- wie im Außenverhältnis sollten allerdings nicht auf die technische Infrastrukturseite beschränkt sein. Dies bringt oft deshalb keinen echten Mehrwert, weil die Geschäftsprozesssicht, also der eigentliche Wertschöpfungsprozess, unberücksichtigt bleibt. E-Mail-Verschlüsselung und Signatur alleine haben deshalb beispielsweise den "Public Key Infrastrukturen" (PKIs) nicht zum Durchbruch verholfen. Denn der geschäftliche Mehrwert an sich fehlt hier auf den ersten Blick. Erst die sinnvolle Verknüpfung von technischen Mechanismen mit geschäftlichen Anforderungen zeigt Nutzenpotenziale auf. Dies gilt für moderne Sicherheitstechnologien genauso, wie für andere technische Einsatzfelder. Der Anwender fragt nach dem Nutzen – nicht nach der Technik.
Der Nutzeffekt kann dabei durchaus nach Einsatzfall oder branchenspezifisch variieren.
So dominieren im Firmenumfeld beispielsweise besonders die Kostenaspekte. Bei Behörden können dagegen andere Argumente, wie die spezifischen Anforderungen an den Datenschutz oder die Rechtssicherheit, entscheidend sein. In regulierten Branchen wie der Pharmaindustrie oder den Banken beispielsweise, kommen meist weitere spezifische Compliance-Anforderungen dazu. In der Universität oder beim E-Government dagegen spielen zunehmend virtuelle Prozesse bei trotzdem großer Verbindlichkeit eine wichtige Rolle, während im Gesundheitswesen Nachvollziehbarkeit und Datenschutz bei allen Kostenaspekten durch elektronische Verfahren von entscheidender Bedeutung sind.
Allen Anforderungen ist jedoch eines gemeinsam: Die Sicherheit einer elektronischen Identität, ihrer zweifelsfreien Zuordnung an die Person und ihre Verwaltung muss viel näher an die Anforderungen des Geschäftsprozesses rücken als dies bisher der Fall war. Denn Sicherheit kann nicht im "Huckepack-Verfahren" auf die Anwendungen gesetzt werden, sondern muss ihr integraler Bestandteil sein. Erst damit ist sie sinnvolles Mittel zum Zweck geworden, angemessen Geschäfte elektronisch abzuwickeln. Erst damit wird Sicherheit wirklich zum Business Enabler.
Totally Integrated Security Architecture
Anforderungen, die zunehmend auch von den IT-Dienstleistern erkannt werden. Siemens Enterprise Communications beispielsweise will mit TISA (Totally Integrated Security Architecture) den neuen technischen und betriebswirtschaftlichen Anforderungen gerecht werden. Ziel ist besserer Investitionsschutz für zukünftige Szenarien im Rahmen des Einsatzes von elektronischen Identitäten z.B. mit Hilfe von Multiapplikationskarten. Dabei sollen Basisprodukte auf der Infrastrukturebene, wie Karten, Leser, Middleware, Systemsoftware, etc. mit Lösungsanforderungen auf der betriebswirtschaftlichen Ebene stärker als bisher harmonieren.
So wird der kontaktlose Chip beispielsweise, wie bisher, für Zeiterfassung oder Kantinenabrechnung genutzt. Darüber hinaus werden aber auch weitere moderne Mobilitätsanforderungen, wie Zutrittssicherung, Parkraummanagement oder der Schutz von besonderen Bereichen in Gebäuden (z.B. Labor) realisiert. Man sollte sich aber klar machen, dass diese "Non-IT"-Funktionen nichts mit der Geschäftsabwicklung im Rahmen von IT-Anwendungen zu tun haben. Eng verbunden mit der Authentisierung durch elektronische Identitäten ist dagegen der Zugangsschutz zu Anwendungen, Rechnern und Netzen. Dies gilt besonders für eine zertifikatsbasierte starke Authentisierung.
Der Schutz von digitalen Identitäten mittels Smart Cards in einer Public Key Infrastruktur wird im Innenverhältnis einer Organisation im Rahmen eines Identity- und Access-Managements zunehmend wirtschaftlich sinnvoll und sicherheitspolitisch opportun. Mit zunehmender Digitalisierung der Geschäftsprozesse rechnet sich ein solches Vorgehen oft schon über deutlich reduzierte Anfragen am User-Helpdesk durch ein zertifikatsbasiertes Single Sign-on (SSO). Help-Desk-Anfragen aufgrund vergessener Passworte werden deutlich minimiert, die Kosten sinken.
Fazit
Fast jede Anwendung hat eine Authentisierungsphase, eine Datenfreigabe und Anforderungen an eine sichere Archivierung. Damit sind zweifelsfreie Identifizierung, Willenserklärung des Anwenders (z.B. durch Entertaste oder elektronische Signatur) und zweifelsfreie, nachvollziehbare Ergebnissicherung Grundanforderungen an jede Geschäftsanwendung.
>> SmartCard-Infrastrukturen und Public-Key-Infrastrukturen werden zunehmend zur Voraussetzung für Rationalisierungseffekte beim Umgang mit elektronischen Identitäten im Innenverhältnis.
>> Gleichzeitig ist "Trusted Identity" Voraussetzung für die Digitalisierung alter oder die Etablierung neuer organisationsübergreifender Geschäftsprozesse.
>> Die technologieorientierte Infrastruktursicht ist nur eine Seite der Medaille – die geschäftsprozessorientierte Sicht die zweite Seite.
>> TISA beschreibt eine integrierte Architektur, die sichere elektronische Identitäten zum Business Enabler im Innen- und Außenverhältnis machen.
Sichere elektronische Identitäten und damit verbundenes Identity- und Access-Management schützen somit nicht nur die kritischen Ressourcen des Unternehmens oder der Organisation, sondern machen Geschäftsprozesse effektiver und somit Organisationen effizienter. Und sie unterstützen die Einhaltung der immer komplexer werdenden Compliance-Anforderungen.
(*) Dr. Willi Kafitz ist Senior Consultant bei Siemens Enterprise Communications in Frankfurt/Main, Sicherheitsexperte und Autor zahlreicher Fachpublikationen.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>