Rückblickend kann die Entwicklung fast als koinzident angesehen werden. Denn in der Startphase der HEGO-IT, also zu Beginn des neuen Jahrtausends, nahm zeitgleich das allgemeine Sicherheitsbewusstsein langsam zu, dies zeigen auch die Ergebnisse aus der Studie „Die Lage der IT-Sicherheit in Deutschland 2005“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Hier ist nachzulesen, dass in diesem Jahr immerhin 83 Prozent der IT-Verantwortlichen in den Unternehmen angaben, IT‑Sicherheit sei eines der wichtigsten Themen für sie, und zudem sahen ganze 89 Prozent die Wirtschaft durch mangelnde IT-Sicherheit gefährdet.
Außerdem kam ein neuer Aspekt hinzu, der im Kontext der IT-Sicherheit in diesen Jahren zunehmend diskutiert wurde: der Faktor Mensch und sein fehlendes Risikobewusstsein bei gleichzeitiger Erweiterung der herkömmlichen Unternehmensnetze durch mobile Computer wie Notebooks oder PDAs, aber auch die die Vernetzung mit Heim- und Telearbeitsplätzen sowie – nicht zuletzt – drahtlose Übertragungstechnologien wie WLAN.
Genau zu diesem Zeitpunkt wurde auch evident, dass es um die Qualität der Software auf den Endgeräten sehr schlecht stand, was dazu führte, dass viele Schwachstellen für Angriffe zur Verfügung standen. Darauf basierend konnte sich ein kriminelles Öko‑System, wie etwa Malware, etablieren – was uns bis zum heutigen Tage beschäftigt, da dieses seitdem kontinuierlich erfolgreicher geworden ist.
Es bestand also Anfang 2000 dringender Handlungsbedarf, um all diesen neuen Herausforderungen und Risiken im Umgang mit der IT entgegenwirken zu können. Hierfür bedurfte es neuer Konzepte und Lösungen, wie Ralf Gogolin nachfolgend im Interview erläutert.
1. Frage: Mit der zunehmenden Bedeutung der IT für die Unternehmen wurde gleichzeitig die damit einhergehende Sicherheitsproblematik offensichtlicher. Was stellte Ihrer Ansicht nach zu dieser Zeit das größte Risikopotential dar und was war diesbezüglich Ihr Lösungsansatz?
RG: Bereits zum damaligen Zeitpunkt wurde deutlich, dass das Vorhandensein von Schwachstellen in der Software zu einem der größten Probleme im Bereich IT‑Sicherheit werden würde. Allein aus dem Grund, da Software einen hohen Anteil an der Wertschöpfung einnimmt und von daher eine qualitativ schlechte Software – die zum Beispiel viele Bugs enthält – als grundlegende Ursache für erfolgreiche Angriffe auf IT-Systeme zu sehen ist. Um dieses Risikopotential zu minimieren haben wir bereits frühzeitig für Unternehmen Konzepte zur Einführung von ThinClients entwickelt. Darüber war es möglich elementare Sicherheitsprobleme zu minimieren, denn aufgrund des Ansatzes, dass die Endgeräte lediglich zur Eingabe und Darstellung nicht aber zur Berechnung genutzt werden, war eine starke Reduzierung des Softwareanteils möglich.
Der Kritikalität beim Einsatz von Software sowie deren strategische Bedeutung im Unternehmen haben wir noch in einer weiteren Hinsicht Rechnung getragen. Mit dem Aufbau des Segments ‚Sichere Programmierung‘ konnten wir sowohl eine Dienstleistung – also maßgeschneiderte qualitativ hochwertige Software im Bereich Business Intelligence (BI) für unsere Kunden zu entwickeln – anbieten, als auch Kunden bezüglich Programmierung beraten und schulen.
2. Frage: Wurde die Notwendigkeit für Ihre Dienstleistung auch aus dem Grund so evident, weil verteilte Softwareangriffe mit Hilfe von Malware bereits damals für Unternehmen eindeutig eine der größten Gefahren darstellte?
RG: Ja – denn diese Angriffsmethode wurde bereits sehr frühzeitig verwendet. Wer erinnert sich nicht noch an den spektakulären Computerwurm „I love you“, der Mitte 2000 mit seiner exponentiellen Ausbreitung innerhalb weniger Stunden viele Mailserver überlastete?
Übrigens, dieser Vorfall zeigte auch, dass mittlerweile ein großer Bedarf bezüglich E‑Mail‑Sicherheit entstanden war. Ganz einfach, weil die E-Mail in der geschäftlichen Kommunikation bereits einen extrem hohen Stellenwert eingenommen hatte – 2005 war sie zu der im Internet am häufigsten genutzten Anwendung geworden. Doch mit der hohen Verbreitung trat ein neues Phänomen auf: Spam, also unerwünschte Werbemails. Da sich diese auf juristischem Wege nicht eindämmen ließen, entstand hier ein hoher Beratungsbedarf dahingehend, pragmatische Lösungen zu finden, die eine möglichst geringe Fehlerquote garantierten. Denn es wäre ja keinem Kunden damit geholfen gewesen, dass möglichst alle Spam-Mails aussortiert worden wären, aber im Gegenzug auch wichtige Geschäftskorrespondenz.
Noch eine weitere Dimension wurde im Hinblick auf die Bedeutung der E-Mail für Unternehmen zunehmend wichtig – die Archivierung der, nun größtenteils, elektronisch ausgetauschten Geschäftsvorgänge. Von daher verlangten unsere Kunden hier immer öfter nach Konzepten, die wir dann mit vertrauenswürdigen Lösungen umgesetzt haben.
3. Frage: Welche weiteren Themen waren in Bezug auf die Unternehmenssicherheit aus Ihrer Sicht noch relevant?
RG: Ein weiterer Aspekt, der mit Beginn des neuen Jahrtausends vermehrt Risiken für die Unternehmen mit sich brachte, war, dass die neuen Verbreitungswege die Durchschlagkraft der Angriffe erhöhten. Verstärkt wurde dieses Gefährdungspotential dadurch, dass Außendienstmitarbeiter zunehmend mit ihren mobilen Computern wie Notebooks und PDAs beziehungsweise später Mobiltelefonen – auch an der zentralen unternehmensinternen Firewall vorbei – beliebig auf alternativen Wegen wie GSM oder Hotspots ins Internet gehen konnten, oder dass für Mitarbeiter Telearbeitsplätze, natürlich mit entsprechendem Remote-Zugriff auf die Dienste im Unternehmen, eingerichtet wurden. Hier galt es eine sichere Authentifizierung zu gewährleisten, damit die Anwendungen auch tatsächlich nur den autorisierten Mitarbeitern zur Verfügung gestellt wurden. Innerhalb kürzester Zeit wurde vielen IT-Verantwortlichen bewusst, dass dies eine ganz neue Herangehensweise erforderte. Unser Lösungsansatz hierfür: Network Access Control (NAC). Wir haben dieses Konzept aus mehreren Gründen für unsere Kunden als sinnvoll erachtet. Zum einen, weil beim Zugriff von außerhalb stets damit gerechnet werden musste, dass ein Endgerät mit Malware verseucht sein könnte. Von daher war es dringend notwendig deren Vertrauenswürdigkeit jedes Mal zu überprüfen. Zum anderen, weil NAC neben der Authentifikation des Mitarbeiters sowie einer Verschlüsselung der Kommunikation auch die Überprüfung der Integrität des Endgerätes umsetzt. Das bedeutet im Einzelnen: es wird standardmäßig untersucht, welche Software auf dem Endgerät aktuell läuft, ob sich ein Anti-Malware-Tool im Einsatz befindet und die aktuellen Signaturen sowie Updates geladen sind. Und darüber hinaus auch noch, ob zum Beispiel eine Personal Firewall aktiv ist und – sehr wichtig – die Unternehmens-Policies umgesetzt sind. Somit ließ sich die Erfüllung aller sicherheitsrelevanten Aspekte gewährleisten – denn ansonsten wäre dem Mitarbeiter der Zugriff nicht gestattet worden.
Relativ bald machte sich auch bemerkbar, dass eine Firewall allein nicht ausreichend ist, um Angriffe zu verhindern beziehungsweise deren Auswirkungen möglichst gering zu halten. Aus diesem Grund haben wir uns des Weiteren auf den Einsatz von Intrusion Detection- und Prevention‑Systemen (IDS / IPS) spezialisiert, und später sogar eine eigene Appliance auf Basis von Open Source entwickelt, um die spezifischen Sicherheitsziele unserer Kunden besser abbilden zu können.
4. Frage: Gibt es einen IT-Sicherheitsaspekt, dem Sie in diesen Jahren eine gleichbleibende Bedeutung beigemessen haben?
RG: Ja – da die IT im geschäftlichen Umfeld zunehmend wichtiger wurde, haben wir dem Aspekt der Verfügbarkeit immer eine sehr hohe Priorität eingeräumt. Unser Ziel war – und ist es – für unsere Kunden Verfügbarkeitskonzepte zu entwickeln, die eine hohe Betriebskontinuität garantieren.
