Sicherheitsmanagement
Die Grundkompromisse
Willkommen bei der neuen Sicherheitsmanagement-Kolumne von Microsoft, die sich der Verwaltung der System- und Netzwerksicherheit widmet. Während es für diese Kolumne keinen festen Zeitplan gibt, ist geplant, dass alle ein bis zwei Monate ein neuer Beitrag erscheint. Ziel ist, Ihnen zu zeigen, wie Sie die Sicherheit Ihres Netzwerks erhöhen und unterschiedliche Arten häufig auftretender Sicherheitsprobleme verstehen können. Des Weiteren geht es darum, wie Sie das Sicherheitsbewusstsein verbessern und gleichzeitig den gewohnten, hohen Verfügbarkeitsgrad erhalten können, den Ihre Benutzer sowie die Geschäftsleitung erwarten. Informations-Sicherheit, für die die Netzwerk-Sicherheit eine fundamentale Rolle spielt, ist ein Prozess. Weder handelt es sich um einen Endzustand noch um etwas, das Sie einschalten können und was dann erledigt ist. Informations-Sicherheit ist wie ein kostbares Baby, das viel liebevolle, zarte Pflege braucht, zu hätscheln und gelegentlich abzuwischen ist. Ein Teil des Fokus dieser Kolumne beschäftigt sich mit der fortwährenden Arbeit, die Sie durchführen müssen, um die Sicherheit Ihres Netzwerks zu verbessern. In diesem ersten Artikel umreiße ich die Grundkompromisse, zu berücksichtigen sind, um Netzwerke besser zu schützen.
Auf dieser Seite
 | Die Grundkompromisse |
| Der Grundkompromiss |
| Schlussfolgerung |
Der Grundkompromiss
Bevor ich zu Microsoft kam, verbrachte ich 12 Jahre damit, Netzwerke unterschiedlicher Größen teilweise oder ganz zu verwalten. Während dieser 12 Jahre wurde eines für mich zunehmend offensichtlich: Niemand ruft Sie jemals an, um Sie wissen zu lassen, wie gut das Netzwerk funktioniert. Niemals in meinen 12 Jahren Netzwerkverwaltung bekam ich einen Anruf, um mich wissen zu lassen, dass E-Mail funktionierte, Benutzer fehlerfrei drucken konnten und Dateien problemlos verfügbar waren. Die Telefonanrufe, die ich erhielt, fanden immer samstags um 5 Uhr morgens statt: Anrufer beschwerten sich, dass das Netzwerk ausgefallen sei. Daraus habe ich zwei Dinge gelernt:
1. | Die Leute, die mich um 5 Uhr morgens anrufen, waren normalerweise solche, die das Netzwerk von vorne herein zum Ausfall brachten. |
2. | Informations-Technologie funktioniert nur dann richtig, wenn Benutzer aufhören können, darüber nachzudenken, wie oder warum diese arbeitet. |
Während es keine nachhaltigen Erkenntnisse aus der ersten Beobachtung gibt, ist die zweite ein Beispiel dafür, was ich das „Transparenz-Prinzip“ nenne. Benutzer sind, im Gegensatz zu vielen Administratoren, nicht an Technik um der Technik willen interessiert. In der Tat sind sie überhaupt nicht an Technik interessiert. Benutzer wollen vielmehr, dass Technik funktioniert, um ihre Arbeit erledigen zu können, ohne sich Gedanken über das Wie und Warum machen zu müssen. Die ultimative Herausforderung für Informations-Technologie ist es, unsichtbar zu sein – vollkommen transparent für den Benutzer. Jedes Mal, wenn Benutzer sich mit Technik beschäftigen müssen, ist dies darauf zurückzuführen, weil etwas nicht so funktioniert, wie es sollte oder weil Benutzer nicht auf Ressourcen zugreifen können, die sie benötigen. Wenn Geschäftsleiter über Technik nachdenken müssen, dann oftmals deshalb, weil sie mehr Geld dafür ausgeben sollen. Im Wesentlichen ist es Auftrag des Netzwerkadministrators, sich selbst unsichtbar zu machen.
Welchen Bezug gibt es dabei zu Sicherheit? Das Problem ist: Die Netzwerkverwaltung hat sicherzustellen, dass Benutzer auf alles zugreifen können, was sie benötigen, während es im Hinblick auf Sicherheit darum geht, Zugriffe zu beschränken. Ein Kollege von mir pflegte es, mit „Zugriff verweigert? Prima, dann funktioniert die Sicherheit“ treffend auszudrücken. Dies bedeutet, dass Sicherheits- und Netzwerkverwaltung im Wesentlichen Gegensätze sind – eigentlich sich widersprechende Ziele. Infolgedessen haben wir einen elementaren Kompromiss, den wir berücksichtigen müssen. Transparenz kann viele Formen aufweisen. Technik sollte leicht zu verwenden sein. Untersuchungen zur Technik-Akzeptanz zeigen jedoch, dass Technik auch nützlich sein und zumindest irgendeine Form von überzeugender Funktionalität aufweisen muss, um von Benutzern angenommen zu werden. Alle diese Konzepte werde ich unter dem Begriff „Verwendbarkeit“ (auch als „Usability“ bezeichnet) einsortieren. Im Grunde genommen handelt es sich um einen Kompromiss zwischen Sicherheit und Verwendbarkeit. Das sicherste System ist ein System, dass ausgeschaltet und in einen Tresor geschlossen wird. Dies hat Auswirkungen auf die gesamte Software-Technik. Wenn Sie eine Anwendung auf einem beliebigen Betriebssystem installieren, stellen Sie zusätzliche Funktionalität bereit, die möglicherweise die Sicherheit beeinträchtigen kann, da sie die Angriffsoberfläche des Systems vergrößert. In einer späteren Kolumne werden wir uns mit den zugehörigen Aspekten der Absicherung sowie damit beschäftigen, wie Sie das Einsatzszenario analysieren können, um ein System optimal abzusichern. Jede Technik lässt sich sicherer machen, doch wird sie dadurch mit einer gewissen Wahrscheinlichkeit auch weniger verwendbar. Wie können wir Technik sicherer und verwendbarer machen? Hier kommt die dritte Kompromiss-Achse ins Spiel. Jeder gute Techniker ist mit dem Prinzip „gut, schnell und preiswert“ vertraut. Zwei beliebige davon lassen sich können Sie auswählen.
Vor kurzem besuchte ich einen Kunden, um ihm beim Entwurf einer auf Sicherheit ausgerichteten Netzwerkarchitektur zu unterstützen. Während der Diskussion wurde klar, dass die Teilnehmer um einen Kompromiss zwischen Sicherheit und Benutzbarkeit rangen. Indem sie das Netzwerk in mancher Hinsicht sicherer gestalteten, würden sie es an anderer Stelle weniger verwendbar machen. Nach etwa 15 Minuten dieser Diskussion ging ich zur Wandtafel und schrieb:
Dann wandte ich mich an den IT-Leiter und sagte ihm, dass er sich zwei beliebige dieser Faktoren aussuchen kann. Er dachte einige Sekunden darüber nach und antwortete „ich wähle sicher und verwendbar“. Plötzlich wusste jeder, womit sie arbeiten mussten. Die Diskussion veränderte sich und konzentrierte sich nun darauf, welche Ressourcen aufzuwenden waren, um das System sicherer und verwendbarer zu gestalten.
Es ist äußerst wichtig, diesen Grundkompromiss zwischen Sicherheit, Verwendbarkeit und Kosten zu erkennen. Obgleich es möglich ist, sowohl Sicherheit als auch Verwendbarkeit zu erreichen, sind damit entsprechende Kosten in finanzieller, zeitlicher und personeller Hinsicht verbunden. Etwas zugleich kosteneffizient und verwendbar zu machen ist genauso gut möglich wie die sichere und kosteneffiziente Gestaltung. Etwas sowohl sicher als auch auch verwendbar zu machen bedeutet jedoch viel Aufwand und Nachdenken. Sicherheit erfordert Planung und nimmt Ressourcen in Anspruch.
Die Sicherheit von System- oder Netzwerkadministratoren verwalten zu lassen ist kontraproduktiv, da diese Aufgabenbereiche miteinander in Konflikt stehen. Als System- oder Netzwerkadministrator lautet Ihr Auftrag, dass das System arbeitet und die Technik transparent funktioniert, ohne dass sich Benutzer damit beschäftigen müssen. Als Sicherheits-Administrator ist das Gegenteil Ihr Auftrag. Nur jemand mit einer gespaltenen Persönlichkeit könnte beides erfolgreich in sich vereinen. Zu versuchen, beide Bereiche zu meistern, ist ein bisschen wie Dr. Jekyll and Mr. Hyde zu spielen. Was zu einer guten Leistungsbeurteilung im einen Bereich führt, ist genau das, was Sie Punkte im anderen Bereich kostet. Heutzutage kann dies ein Problem sein, da viele Netzwerk- oder Systemadministratoren, die die Verwaltung der Informations-Sicherheit durchführen, gleichzeitig auch zum Teil Sicherheits-Administrator sind. Idealerweise sollte es sich bei einem Sicherheits-Administrator um jemanden handeln, der die System- und Netzwerkverwaltung zwar versteht, sich in erster Linie aber mit Sicherheit beschäftigt und erst zweitrangig Gedanken um die Verwendbarkeit macht. Diese Person würde eng mit dem Netzwerk-/System-Administrator zusammenarbeiten müssen, was selbstverständlich voraussetzt, dass beide Positionen mit Mitarbeitern zu besetzen sind, die miteinander arbeiten können. Aber: Konflikte sind notwendig, wann immer sich Sicherheit und Verwendbarkeit überschneiden. Nur, indem Sie über zwei Personen mit unterschiedlichen Zielsetzungen verfügen, können Sie die optimale Balance zwischen Sicherheit und Verwendbarkeit für Ihre Umgebung erreichen.
Tatsächlich lässt sich dieser Konflikt auf mehrere Arten adressieren. Die Technologie jedes Herstellers wird in vielen Organisationen eingesetzt. Wenn wir diesen „Aufwand“ als Stellvertreter für die „Preiswert“-Achse des Kompromisses verwenden, können wir sehen, dass sich die Höhe des Aufwands, mit der der Hersteller seine Technologie verwendbar und sicher macht, mit den Aufwand ausgleicht, der Kunden für dieselbe Aufgabe entsteht. Gewissermaßen lautet die Gleichung:
Da sich jeder bei der Effizienz unterscheidet, gibt es keine direkte 1-zu-1-Beziehung. Mit anderen Worten: Nicht alles, was der Hersteller unternimmt, um das Produkt sicherer und verwendbarer zu machen, erweist sich für Kunden wirklich als Vorteil. Dennoch profitieren Kunden dann zumindest in Teilen von den Aufwendungen, mit denen ein Hersteller das Produkt sicherer und verwendbarer gestaltet. Ein Beispiel hierfür ist IPSec (IP Security) in Windows 2000 und höher. IPSec stellt eine der wohl nützlichsten Sicherheitstechniken dar, die für Windows und viele andere, Nicht-Windows-Betriebssysteme verfügbar sind. So war IPSec einer der grundlegenden Schutzmechanismen für die erfolgreiche Teilnahme von Microsoft am eWeek OpenHack IV-Wettbewerb im Jahre 2002 (weitere Informationen über die Schutzmaßnahmen von Microsoft bei OpenHack IV finden Sie unter msdn.microsoft.com/library/en-us/dnnetsec/html/openhack.asp). IPSec ist nicht nur unglaublich vielseitig, sondern auch das Vorzeigekind für Benutzerunfreundlichkeit. Die meisten Leute kommen nicht über die klobige Benutzerschnittstelle hinweg. Falls sie es schaffen, diese zu überwinden, treffen sie normalerweise auf eine der Binsenweisheiten von IPSec: Es ist wesentlich besser, Verkehr zu blockieren als diesen durchzulassen. Es gibt nur wenige Analyse-Tools, mit denen Sie herausfinden können, warum IPSec-Verkehr nicht durchkommt. Im aktuellen Release von Windows, bei Windows Server 2003, wurde der Netzwerkmonitor erweitert, um auch IPSec-Verkehr analysieren zu können. Für Kunden reduziert sich so in erheblichem Maße der Aufwand, Störungen bei IPSec auf die Spur zu kommen. Je höher der Aufwand von Microsoft zur leichteren Nutzung von IPSec ausfällt, desto stärker würde sich für Kunden der Aufwand verringern, diese Sicherheits-Technologie einzusetzen. Auf diese Weise reduzieren sich die Kosten, um Netzwerke sowohl sicherer als auch verwendbarer zu machen. Daraus ergibt sich ein Wippen-Effekt zwischen den Kosten des Herstellers und denen des Kunden:
Was dies wirklich bedeutet, ist, dass Sie sehr oft das bekommen, für das Sie bezahlen. Ein Produkt, das mehr kostet, sollte auch sicherer und verwendbarer sein als ein Produkt, das weniger kostet. Es gibt natürlich andere Faktoren, die hierbei von Bedeutung sind, aber im Allgemeinen gelten diese Kompromisse.
Schlussfolgerung
Sicherheits-Administratoren werden mit einigen interessanten Kompromissen konfrontiert. Prinzipiell ist eine Wahl zu treffen zwischen einem System, das entweder sicher und verwendbar, sicher und preiswert oder preiswert und verwendbar ist. Alles können wir nicht haben. Die beste Praktik besteht darin, die Verantwortlichkeit für die Sicherheits- und Systemverwaltung nicht ein und derselben Person zu übertragen – denn die Ziele dieser beiden Aufgaben stehen viel zu oft in Konflikt zueinander, als dass jemand diesen Auftrag erfolgreich durchführen könnte.