Zum Inhalt springen Zur Navigation springen
IT-Prinzip „it works!“ – Es läuft auch ohne Sicherheit, oder?

IT-Prinzip „it works!“ – Es läuft auch ohne Sicherheit, oder?

Artikel von Adrian Klick-Strehl·10. Juli 2020

Bei dem Entwurf und der anschließenden Einführung neuer IT-Systeme liegt der Fokus meist ausschließlich auf Funktionalität. Die sichere Integration und Konfiguration wird oft nicht, oder nur wenig betrachtet. Doch dies kann sich schnell rächen.

Bedarf neuer IT-Systeme

Spielen wir den Klassiker doch einmal durch: Vielfältige technische Möglichkeiten wecken Begehrlichkeiten, die früher oder später als fachliche Anforderung einer internen Abteilung oder eines Kunden auf dem Tisch der IT-Abteilung landen. Diese soll dann möglichst schnell und natürlich kostengünstig die Anforderung realisieren. Neben der generell anfallenden Arbeit müssen dann die technischen Anforderungen an das Projekt ermittelt und umgesetzt werden. Wichtig für die Fachabteilung ist eine schnelle Inbetriebnahme sowie eine hohe Akzeptanz seitens der Anwender. Diese wiederum möchten ein einfach zu bedienendes System, bei dem sie sich möglichst wenig Gedanken machen müssen. Dieser Wunsch kollidiert jedoch häufig mit Maßnahmen, die zur Verbesserung der Sicherheit des Systems eingebaut werden könnten.

Projektabschluss: Das System funktioniert

Das Projekt ist fertig, die Funktionstests sind abgeschlossen und das Projekt kann als Erfolg verbucht werden. Die Fachabteilung ist begeistert und kann den neuen Dienst in Betrieb nehmen. Soweit so gut, jedoch wurden während der Implementierungsphase einige „Workarounds“ eingebaut, damit das System funktioniert. Auch die Konfiguration wurde nur soweit angepasst, wie für den Betrieb notwendig. Zuerst etablierte Testsysteme, an welchen verschiedene Konfigurationen ausprobiert wurden, sind in der Regel nicht optimal konfiguriert. Dadurch, dass dann später der Aufwand gescheut wird, das System erneut zu installieren und die bestehende Konfiguration wiederholt erstellen zu müssen, wird das Testsystem einfach direkt in den Produktivbetrieb übernommen. Kein untypischer Fall.

Ok und was ist mit der Sicherheit?

Eine sichere Konfiguration bedeutet zusätzlichen Aufwand und kostet Zeit, die aufgrund straffer Projektpläne meist schlicht nicht vorhanden ist. Zusätzliche Tests oder Konfigurationen, die nicht „zwingend notwendig“ sind, verursachen Kosten und verschieben den Start des neuen Tools. Das kann für eine unzufriedene Fachabteilung und letztendlich einen unzufriedenen Kunden sorgen.

Diesen Unmut möchten nur wenige auf sich ziehen. Gemäß der Strategie „it works!“ reicht es aus, dass das System funktioniert. Somit wird es in den Produktivbetrieb übernommen und nur bei aufkommenden Fehlern überprüft. Letztendlich könnte ja bei einer zukünftigen Wartung noch die IT-Sicherheit und Konfiguration optimiert werden. Im Zweifel werden die durchgeführten Schritte sonst später in der Dokumentation überprüft.

Dokumentation? Welche Dokumentation?

Das Problem ist aber: Oft sind IT-Systeme nur mangelhaft oder schlecht dokumentiert. Das betrifft die zugrundeliegenden Komponenten, die Benutzer und Rollen, die Integration in das Netzwerk und die Schnittstellen zu anderen Systemen. Diese Informationen nach einiger Zeit erneut zu ermitteln, ist wiederum sehr zeitaufwändig und wird dann meist nur lückenhaft nachgeholt. „Workarounds“ und andere Provisorien geraten in Vergessenheit. Denn: Es hält halt nichts länger als ein Provisorium!

Das Problem mit der IT-Sicherheit

Das generelle Problem ist, dass man am Ende nichts vorzeigen kann. Bei der Einführung eines neuen CRM, ERP oder BI Tools werden Prozesse visualisiert, Grafiken zeigen hübsche Balken und derjenige, der am Ende dafür zahlt, hat etwas Sichtbares als Gegenwert. Dies ist bei der IT-Sicherheit leider nicht so. Abseits von Firewalls, die man sich als großes Stück Blech in den Schrank schieben kann, sind Investitionen, die man in die IT-Sicherheit tätig, im laufenden Betrieb nahezu unsichtbar. Generell amortisieren sich die Kosten für IT nicht in Form von durch sie generierte Einnahmen. Mehr als das gute Gefühl, Geld für IT-Sicherheit investiert zu haben, bleibt oft nicht übrig. Und dafür ist nicht jeder bereit, umfangreiche Kosten zu übernehmen.

Die Rechnung geht nicht auf

Werden wichtige Stellschrauben in der Konfiguration oder dem Design der Systeme vernachlässigt, kann sich dies schnell rächen. Sind zudem keine Mechanismen entwickelt worden, abnormales Verhalten zumindest zu erkennen und zu melden, bleibt ein Sicherheitsvorfall lange unerkannt. Umso länger ein Angreifer Zeit hat, desto größer ist der Schaden. Spätestens an dieser Stelle wird es einem zum Verhängnis, wenn die einzigen Schutzmaßnahmen dem Perimeter galten und die interne Abwehr der Systeme und der Infrastruktur nicht berücksichtigt wurden. Die Kosten und Aufwände, die zur Bewältigung des IT-Sicherheitsvorfalls notwendig sind, übersteigen die eingesparte Investition bei weitem. Hinzu kommen ggf. ein Imageschaden, ein Aufsichtsverfahren der zuständigen Datenschutzbehörde oder Schadensersatzklagen von Betroffenen.

Aber wir haben doch Sicherheitstools installiert!

Stimmt, die tun bestimmt auch, was sie sollen. Aber was passiert, wenn jemand sich ganz einfach über einen offenen Port authentifiziert. Wenn weder Schadsoftware noch Exploit ausgeführt werden, sondern eine simple Schwäche in der Konfiguration alles offenlegt. Eines der klassischen Beispiele ist der Webserver, der alle auf dem Server enthaltenen Ordner und Dateien preisgibt, da die Auflistung dieser nicht gesperrt wurde. Hierfür reicht ein Zeichen in der Konfiguration und die immense Lücke ist geschlossen. Und meist kommt es nur auf solche „Kleinigkeiten“ an. Der Schaden kleiner Unachtsamkeiten kann jedoch extreme Ausmaße annehmen.

Warum sich Investitionen lohnen

Der größte Vorteil liegt klar auf der Hand. Mit einem guten IT-Sicherheitskonzept sinkt das Risiko eines Sicherheitsvorfalls enorm. Tritt der Ernstfall dennoch ein, sind dessen Auswirkungen deutlich gemindert. Idealerweise wird bei jedem Projekt die IT-Sicherheit mit einbezogen. Sind personenbezogene Daten betroffen, kann man gegenüber der Behörde so auch darstellen, angemessene technischen Maßnahmen zum Schutz der Daten ergriffen zu haben.

Durch eine Prüfung der Maßnahmen und der IT-Sicherheit durch Externe kann zusätzliches Vertrauen bei den Kunden aufgebaut werden und ein Wettbewerbsvorteil entstehen. Weiterhin lohnt sich dies natürlich auch generell, um zu überprüfen, ob die ergriffenen Maßnahmen ihre gewünschte Wirkung erzielen.

Es braucht ein neues Mindset

Bei der Entwicklung neuer IT-Systeme, Einführung neuer Tools, oder dem Umbau bestehender Strukturen sollte Zeit und Geld in die sichere Konfiguration der Systeme investiert werden. Es genügt nicht, dass die Technik tut was von ihr erwartet wird. Fachverantwortliche und Administratoren müssen das Zusammenspiel der Systeme und Komponenten verstehen. Abhängigkeiten müssen ausgemacht werden und nur das Minimum an Rechten und Zugängen freigeschaltet werden. Das Thema IT-Sicherheit muss bei jedem Projekt eine zentrale Rolle einnehmen und in jeder Phase und in jeden Projektbereich integriert werden.

Eine regelmäßige Prüfung der „Soll-Konfiguration“ auf Realitätsnähe muss zur Gewohnheit werden. So werden auch Provisorien und vergessene Test-Accounts identifiziert. Zuletzt sollte nach jedem „Change“ die Dokumentation auf den aktuellen Stand gebracht werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.