Informationssicherheit in Unternehmen: Mehr Sicherheit durch Zusammenarbeit

Eine technische und organisatorische Herausforderung

Die Gewährleistung der Informationssicherheit stellt die Unternehmen vor grosse Herausforderungen. Es gilt, die Sicherheitslücken in den angewendeten Systemen rechtzeitig zu schliessen und auf die immer neuen Angriffsmethoden mit angepassten Schutzprogrammen zu reagieren. Dies geschieht zunächst mit Hilfe von technischen Massnahmen. Anti-Viren-Programme und Firewalls werden heute in fast allen Firmen eingesetzt. Viele wenden zudem Verschlüsselungstechniken und Angriffserkennungs-Programme an; einige schützen ihre Computer gar mit biometrischen Massnahmen vor unberechtigtem Zugriff.

Mit der Zeit ist jedoch immer deutlicher geworden, dass das Sicherheitsproblem mit technischen Massnahmen allein nicht in den Griff zu bekommen ist. Trotz substanziellen Investitionen im technischen Bereich beeinträchtigen Angriffe und Vorfälle weiterhin die Informationssicherheit vieler Unternehmen. Technische Massnahmen erweisen sich als wirkungslos, wenn sie nicht konsequent und korrekt angewendet werden. Informationssicherheit ist deshalb nicht nur eine technische, sondern auch eine organisatorische Herausforderung. Mitarbeiterschulungen, Datensicherungsmanagement, Vorfall- und Krisenpläne sowie regelmässige Überprüfungen der Sicherheit sind heute ebenso wichtige Bestandteile der Informationssicherheit wie die erwähnten technischen Schutzeinrichtungen.

Der Bedarf nach Expertenwissen

Weil sowohl technische als auch organisatorische Massnahmen umgesetzt werden müssen, ist die Informationssicherheit eine umfassende und anspruchsvolle Aufgabe. Sie bedarf kontinuierlicher Anstrengungen, da sich sowohl die Bedrohungen und Risiken als auch die möglichen Gegenmassnahmen ständig weiterentwickeln. Zudem ist es für die Unternehmen oft schwer zu beurteilen, ob ihr Schutz ausreichend ist. Eine Kosten-Nutzen-Kalkulation lässt sich kaum durchführen, weil es keine verlässlichen Statistiken über die Häufigkeit von Vorfällen und die dadurch verursachten Schäden gibt.

Aus diesen Gründen stossen die Unternehmen nicht nur bei der Bewältigung von Vorfällen, sondern auch beim Risikomanagement oft an ihre Kapazitätsgrenzen. Viele sind auf das Wissen von Experten angewiesen. Eine solche externe Beratung und Betreuung ist aber für viele kleine und mittlere Unternehmen (KMU) zu teuer. Dies kann zu Lücken in der Informationssicherheit führen, die für Attacken ausgenützt werden können. Dadurch entstehen nicht nur Probleme für die betroffenen Firmen selbst, sondern auch für andere Unternehmen. Angreifer können nämlich schlecht geschützte Computer zu so genannten Botnetzen zusammenschliessen und deren Rechenleistung dann für gezielte und ausgeklügelte Attacken auf gut geschützte Ziele verwenden. Darum ist es wichtig, dass sich die Unternehmen bei der Bewältigung der Herausforderungen im Vorfalls- und Risikomanagement gegenseitig unterstützen. Im Folgenden sollen einige Möglichkeiten diskutiert werden, wie dies geschehen kann.

Unterstützung bei Vorfällen: Computer Emergency Response Teams

Bereits 1988 kämpften die Betreiber des Arpanets, das als Vorläufer des heutigen Internets gilt, mit Problemen der Informationssicherheit. Der damalige Student Robert Morris programmierte den ersten Computerwurm, der ca. 10% der etwa 60000 vernetzten Computer lahmlegte. Spätestens nach diesem Vorfall war klar, dass die Informationssicherheit in Netzwerken ganz neue Anforderungen stellt, die nur durch ein koordiniertes Vorgehen zu bewältigen sind.  An der Carnegie-Mellon-Universität in Pittsburgh wurde daraufhin das erste Computer Emergency Response Team (Cert) gegründet. Ziel war es, ein Netzwerk von Experten aufzubauen, um so künftige Vorfälle schnell und effektiv zu bewältigen. Das Modell erwies sich als sehr erfolgreich und trug viel zur Bekämpfung von Angriffen auf Computernetzwerke bei. Seit damals ist das Internet dramatisch gewachsen, und ein einziges Cert wäre heute niemals ausreichend, um alle Vorfälle und Angriffe zu managen. Viele Staaten und Grossunternehmen haben darum ihre eigenen Cert aufgebaut. Diese verschiedenen Expertenteams sind jeweils für die Sicherheit ihrer Kunden zuständig und arbeiten untereinander eng zusammen. Im internationalen Forum of Incident Response and Security Teams (First) sind mittlerweile mehr als 190 Cert aus 140 Ländern vertreten.

Die Funktion der Cert wird oft mit derjenigen der Feuerwehr verglichen. Sie kommen bei Vorfällen zum Einsatz, engagieren sich aber zugleich in der Prävention. Dank ihrem technischen Expertenwissen ist es ihnen möglich, frühzeitig vor neuen Angriffsmöglichkeiten zu warnen und die Unternehmen bei der Schliessung von Schwachstellen zu unterstützen. Trotz dieser präventiven Tätigkeiten darf man aber nicht vergessen, dass die Cert für die Sicherheit von Computernetzwerken verantwortlich sind und sich nicht um das Risikomanagement einzelner Unternehmen kümmern können. Um die Unternehmen bei dieser Aufgabe zu unterstützen, braucht es darum zusätzliche Massnahmen.

Verbessertes Risikomanagement dank Informationsaustausch

Die Unternehmen können nur dann ein erfolgreiches Risikomanagement betreiben, wenn sie die Bedrohungen kennen und über mögliche Gegenmassnahmen Bescheid wissen. Eine viel versprechende Möglichkeit, dieses Wissen zu erwerben, bietet der Erfahrungsaustausch mit anderen Unternehmen. Wenn verschiedene Firmen Informationen über Attacken und mögliche Gegenmassnahmen austauschen, gewinnen sie auf einfache Art wertvolles Know-how und können ihre Schutzmassnahmen gezielter einsetzen.

Tatsächlich bestehen bereits jetzt informelle Formen der Zusammenarbeit zwischen Unternehmen im Bereich Informationssicherheit. In einer Studie zur Informationssicherheit in Schweizer Unternehmen hat sich gezeigt, dass 40% der Verantwortlichen aus Firmen, die von einem Vorfall betroffen waren, sich mit Kollegen aus einer anderen Firma über den Vorfall beraten haben. Fast 25% suchen zudem über das Internet Informationen zu den Vorfällen, was ebenfalls eine Form des Informationsaustausches zwischen Unternehmen darstellt (vgl. Grafik 1).

Dieser Erfahrungsaustausch findet statt, obwohl es für die Firmen oft um sehr heikle Daten geht. Aus Reputationsgründen, aber auch aus Sicherheitsüberlegungen darf aus Sicht der Unternehmen auf keinen Fall bekannt werden, wo ihre Schwachstellen liegen und von welchen Vorfällen sie betroffen sind. Der Informationsaustausch kann darum nur unter der Bedingung absoluten Vertrauens stattfinden. Die informellen Netzwerke der Verantwortlichen zu Kollegen in anderen Firmen sind dabei von grossem Wert. Weil sie aber stark personenabhängig sind, bleiben sie auf Grund der häufigen personellen Fluktuationen wenig beständig. Für eine nachhaltige Verbesserung der Informationssicherheit muss das Vertrauen zwischen Unternehmen dauerhaft etabliert werden. Dazu braucht es eine gut strukturierte und koordinierte Zusammenarbeit, mit anderen Worten: eine Organisation, die ihren Mitgliedern eine Plattform für den gegenseitigen Austausch bietet.

Schwierigkeiten bei der Zusammenarbeit

Eine solche Organisation aufzubauen, die diesen Anforderungen genügt, ist nicht einfach. Häufig stehen die Firmen in direkter oder indirekter Konkurrenz zueinander, weshalb Informationsaustausch für alle Beteiligten mit Risiken verbunden ist. Im Voraus lässt sich nicht abschätzen, ob die Zusammenarbeit tatsächlich so funktioniert, dass alle ausgetauschten Informationen vertraulich bleiben. Das Problem ist, dass personenunabhängiges Vertrauen erst durch eine längere Zusammenarbeit entstehen kann, eine solche aber wiederum Vertrauen voraussetzt. Ein ähnliches Problem stellt sich hinsichtlich des Nutzens des Informationsaustausches. Die Unternehmen sind nur bereit, an einem Informationsaustausch teilzunehmen, wenn der Nutzen der so gewonnenen Informationen die Kosten des eigenen Engagements übertrifft. Die Firmen beteiligen sich deshalb tendenziell erst an solchen Organisationen, wenn diese ihren Nutzen bereits unter Beweis gestellt haben.

Solche Situationen werden in den Sozial- und Wirtschaftswissenschaften als Kooperations- und Koordinationsprobleme beschrieben. Sie erklären, weshalb sich eine Zusammenarbeit auch dann nicht automatisch ergibt, wenn sie allen Beteiligten nützt. Sie lassen sich häufig nur mit Hilfe eines externen Koordinators überwinden.

Public-Private Partnerships

Die Rolle dieses Koordinators übernimmt in vielen Ländern der Staat. Die Informationssicherheit in Unternehmen wird vor allem in öffentlich-privaten Partnerschaften (Public-Private Partnerships) gefördert. In vielen Staaten existieren solche Partnerschaften mit Betreibern kritischer Infrastrukturen (Unternehmen, deren Dienstleistungen von zentraler Bedeutung für Wirtschaft und Gesellschaft sind). Siehe den Artikel von Ruedi Rytz auf Seite 57ff. in diesem Heft. Diese Public-Private Partnerships ermöglichen den Unternehmen einen direkten Zugang zu staatlichen Behörden, beispielsweise zu den Strafvollzugsbehörden. Zudem werden ihnen Informationen angeboten, die für die Unternehmen sonst nicht erhältlich sind, wie etwa Berichte über die Aktivitäten von internationalen kriminellen Organisationen. Mit dieser Zusammenarbeit wird die Informationssicherheit solcher wichtiger Firmen direkt gefördert.

Andererseits verlangt der Staat von den Unternehmen aber auch, dass sie ihre Erfahrungen und ihr Wissen im Bereich Informationssicherheit anderen Mitgliedern der Public-Private Partnership zugänglich machen. Diese Zusammenarbeit stiftet Vertrauen zwischen den Unternehmen, wodurch Kooperationsprobleme entschärft und der gegenseitige Informationsaustausch erleichtert wird. Der Staat trägt so auch indirekt zur Erhöhung der Informationssicherheit in diesen Unternehmen bei.

Die bekanntesten Modelle solcher Partnerschaften für den Informationsaustausch sind die Information Sharing and Analysis Centers (Isac) in den USA (vgl.

Kasten 2
Die amerikanischen Isac sind die bekanntesten Organisationen zum Informationsaustausch für Unternehmen im Bereich der Informationssicherheit. Sie wurden von der Regierung zum besseren Schutz der kritischen Infrastrukturen initiiert und umfassen die jeweils wichtigsten Firmen aus allen zentralen Wirtschaftssektoren. Die interne Organisation wird den Unternehmen selber überlassen, weshalb die 15 existierenden offiziellen Isac unterschiedlich organisiert und verschieden gross sind. Die verantwortlichen Behörden der entsprechenden Sektoren arbeiten jeweils eng mit den Isac zusammen, um so den Informationsaustausch zwischen den Unternehmen zu fördern.). In der Schweiz bietet die Melde- und Analysestelle Informationssicherung (Melani) eine Plattform für den Austausch zwischen jenen Unternehmen, deren Dienstleistungen von zentraler Bedeutung für Wirtschaft und Gesellschaft sind.

Unterstützung für KMU

Eine derart intensive Zusammenarbeit zwischen dem Staat und der Privatwirtschaft ist zwangsläufig auf einige ausgewählte Unternehmen beschränkt, da es nicht möglich ist, allen Firmen direkten Zugang zu Strafvollzugsbehörden und exklusive Informationen anzubieten. Die Informationssicherheit von KMU muss deshalb mit anderen Mittel gefördert werden.

In erster Linie ist es wichtig, die KMU für die Risiken im Bereich der Informationssicherheit zu sensibilisieren und sie über die möglichen Schutzmassnahmen zu informieren. Oft könnten die Unternehmen die Sicherheit ihrer Informationen wesentlich verbessern, wenn sie die wichtigsten Schutzmassnahmen umsetzten würden. In der Schweiz setzt sich der Verein InfoSurance für eine bessere Information der KMU ein. Siehe den Artikel von Carlos Rieder auf Seite 60ff in diesem Heft. Wie in den Public-Private Partnerships für Grossunternehmen kann der Staat aber auch versuchen, den Informationsaustausch zwischen den KMU zu fördern, indem er eine Plattform für den Austausch bietet und als Vermittler das Vertrauen zwischen den Unternehmen stärkt. Ein Beispiel für eine solche Initiative ist das Programm der britischen Regierung zur Schaffung so genannter Warning Advice and Reporting Points (Warp). Dieses Programm fördert den Informationsaustausch zwischen Unternehmen, indem eine Software für den Informationsaustausch sowie verschiedenes Werbematerial angeboten werden. Zudem werden die Erfahrungen bestehender Warp an die Initianten neuer Organisationen weitervermittelt. Das Programm richtet sich vor allem an KMU und beabsichtigt, den Informationsaustausch zwischen ähnlich grossen Unternehmen aus demselben Wirtschaftssektor (oder auch derselben Region) zu erleichtern. Ein Warp umfasst deshalb selten mehr als 100 Firmen. Weil das Programm von der Regierung unterstützt wird, können die Unternehmen auf die Kontinuität und Verlässlichkeit des Austausches zählen.

Hilfe zur Selbsthilfe

Die Public-Private Partnerships, die Aufklärungskampagnen und die Austauschprogramme basieren alle auf der Idee der Hilfe zur Selbsthilfe. Indem der Staat wichtige Informationen zur Verfügung stellt, sich in Vereinen zur Sensibilisierung der Unternehmen engagiert oder den Anstoss für den gegenseitigen Erfahrungs- und Wissensaustausch zwischen Unternehmen gibt, kann er einen entscheidenden Beitrag zur Verbesserung der Informationssicherheit leisten. Denn nur durch die Bündelung der verfügbaren Kräfte und durch einen Austausch von Erfahrung und Wissen lassen sich die vielfältigen und sich ständig ändernden Herausforderungen der Informationssicherheit bewältigen.

Grafik 1 «Wo die Unternehmen nach Vorfällen betreffend die Informationssicherheit Hilfe suchen»

Kasten 1: Was ist Informationssicherheit?
Das Ziel der Informationssicherheit ist es, unautorisierte Informationsbzw. Datenveränderung oder -gewinnung zu verhindern. IT- (Informatik-), Netzwerk- und Datensicherheit sind wichtige Teilaspekte der Informationssicherheit.Die Informationssicherheit in Unternehmen wird einerseits durch Angriffe gefährdet. Ein Angriff bezeichnet einen nicht autorisierten Zugriff oder Zugriffsversuch auf ein System. Informationen können aber andererseits auch durch unbeabsichtigte Fehlmanipulationen ohne böse Absicht oder durch technisches Versagen verändert oder zerstört werden. Auf Grund der Risiken eines Angriffs oder Vorfalls, der die Informationssicherheit gefährdet, werden sowohl technische (auf die IT-Systeme bezogene) als auch organisatorische (auf die Anwender bezogene) Massnahmen ergriffen.

Kasten 2: Information Sharing and Analysis Centers (Isac)
Die amerikanischen Isac sind die bekanntesten Organisationen zum Informationsaustausch für Unternehmen im Bereich der Informationssicherheit. Sie wurden von der Regierung zum besseren Schutz der kritischen Infrastrukturen initiiert und umfassen die jeweils wichtigsten Firmen aus allen zentralen Wirtschaftssektoren. Die interne Organisation wird den Unternehmen selber überlassen, weshalb die 15 existierenden offiziellen Isac unterschiedlich organisiert und verschieden gross sind. Die verantwortlichen Behörden der entsprechenden Sektoren arbeiten jeweils eng mit den Isac zusammen, um so den Informationsaustausch zwischen den Unternehmen zu fördern.

Kasten 3: Weiterführende Literatur
– Abele-Wigert und Myriam Dunn, International CIIP Handbook 2006, Vol. I. An Inventory of 20 National and 6 International Critical Information Infrastructure Protection Policies. Zürich: Center for Security Studies, 2006.- Anderson, Ross, and Tyler Moore, The Economics of Information Security, Science, Vol. 314 (2006), S. 610-623.- Grady, Mark F., und Francesco Parisi (Hrsg.), The Law and Economics of Cybersecurity. Cambridge: Cambridge University Press, 2006.- Myriam Dunn und Victor Mauer (Hrsg.), International CIIP Handbook 2006, Vol. II. Analyzing Issues, Challenges, and Prospects. Zürich: Center for Security Studies, 2006. – Suter, Manuel, Informationssicherheit in Schweizer Unternehmen. Eine Umfragestudie über Bedrohungen, Risikomanagement und Kooperationsformen. Zürich: Center for Security Studies, 2006.- Melde- und Analysestelle Informationssicherung (Melani), Informationssicherung. Lage in der Schweiz und international. Halbjahresbericht I/2007. Internet: www.melani.admin.ch , «Dokumentation», «Lageberichte».