IT-Sicherheit

„Ich habe einen Virenschutz, also ist meine IT sicher“

Dies ist eine sehr bekannte und in einigen Kreisen weit verbreitete Aussage, wenn es um das Thema IT-Sicherheit geht. Natürlich ist dieser Satz nicht der Realität entsprechend, zeigt aber sehr gut, dass IT-Sicherheit nicht nur an technischen Herausforderungen, sondern auch an der Herangehensweise scheitern kann.

Um ein besseres Grundverständnis im Bereich der IT-Sicherheit aufzubauen, hat unser Faktor Zehn Kollege Michael Werner in einem kurzen und ausnahmsweise nicht technischen TechTalk die grundlegende Mentalität hinter dem Begriff Sicherheit beleuchtet.

Was bedeutet Sicherheit im Zusammenhang mit IT überhaupt?

Sicherheit in Bereich der IT ist ein Begriff, der durchaus leicht falsch verstanden werden kann. Am Beispiel der Aussage kann gesehen werden, dass oftmals davon ausgegangen wird, dass die Absicherung komplette Sicherheit vor Angriffen und Schaden beinhaltet. Stark vereinfacht gesagt, es wird davon ausgegangen, dass wenn du dich schützt, dir nichts passiert.

Betrachten wir beispielsweise einen klassischen privaten PC mit Internetzugang. Die stark vereinfachten grundlegenden Elemente, die dafür benötigt werden, sind Ein- und Ausgabe (z.B. Tastatur/Maus und Monitor), ein physikalischer Zugang zum PC (z.B. für das Einschalten), Anwendungen (z.B. das Betriebssystem oder Programme) und Technologien für den Netzwerkzugang (z.B. der Browser oder eine Netzwerkkarte). All diese Elemente können auf die verschiedensten Arten angegriffen werden. Beispielsweise kann die Ausgabe über die Schulter vom Monitor mitgelesen werden, das Gerät kann geklaut werden, Anwendungen können manipuliert sein oder Informationen, die im Internet gesucht werden, sind inkorrekt/gefälscht. Es kann schnell erkannt werden, dass eine Vielzahl an fundamental unterschiedlichen Attacken möglich ist.

Alle diese Wege abzusichern, sodass kein Angriff/Schaden mehr möglich ist, ist daher unmöglich. Sicherheit dreht sich daher nicht um die Absicherung per se, sondern viel mehr um die Minimierung des Risikos und des Schadens, der entstehen kann. Einfach ausgedrückt, kein System der Welt ist 100-prozentig sicher, aber es gibt Systeme, die sicher genug sind.

Wenn allerdings eine volle Absicherung nicht möglich ist und viele Angriffswege existieren, stellt sich besonders Nicht-Technikern schnell die Frage:

„Was kann ich machen, damit ich sicherer bin?“

Die Frage ist dabei oft gefährlich, denn es ist eine Frage, die gestellt werden muss und auf die sich viele Konzentrieren wollen, die allerdings im Absicherungsprozess nicht die erste Frage ist, die beantwortet werden sollte. Durch die vielen Angriffswege und unterschiedlichen Arten von Angriffe handelt es sich bei ohnehin schon komplexen IT-Systemen nun auch um komplexe Angriffsstrukturen mit vielen Variablen.

Um sich besser sichern zu können, sollte die erste Frage daher eher lauten, was vorhanden ist. Anschließend sollte geklärt werden, was davon geschützt werden soll und was das dahinterstehende Risiko und der dahinterstehende Schaden ist. Wenn diese beiden Fragen geklärt sind, ist es wesentlich leichter die Frage zu beantworten, was gemacht werden kann, um dieses Problem abzusichern.

Besonders in Kombinaten mit dem Verständnis über Sicherheit in der IT kann somit die Mentalität ausschlaggebend sein, ob die Frage „Was kann ich machen, damit mein PC sicher ist?“ oder beispielsweise „Was kann ich machen, damit mein E-Mail-Account, der zwar keine geheimen, aber privaten Informationen enthält, Zugriffe von unbefugten Personen erschwert?“ lautet.

Die zweite Frage wird wesentlich gezielter und effizienter zu einer Lösung führen, die das tatsächliche Problem abdeckt, während bei der ersten Frage gut und gerne die Antwort kommt „nimm einen Virenschutz, dann bist du sicher“.

Autor: Michael Werner