Wir befinden uns erneut in einer Zeit des Auf- und Umbruchs: Eine neue, digitale Welt ungeahnter Möglichkeiten liegt vor uns. Damals wie heute sind die Pioniere bereits an der Westküste Amerikas angelangt und viele wollen ihnen dorthin folgen. Doch wer sich unvorbereitet auf die Reise begibt, auf den lauern einige Gefahren. Daher widmen wir dem Thema IT-Sicherheit eine dreiteilige Serie in unserem Blog. Im ersten Teil klären wir die grundlegenden Begriffe. Was ist IT-Sicherheit, welche Ziele werden verfolgt und was sind die möglichen Auswirkungen mangelnder IT-Sicherheit? In den folgenden Teilen gehen wir näher auf die Software-Entwicklung ein und beleuchten ausgewählte Aspekte der IT-Sicherheit.
Sicherheit im Entwicklungsprozess: IT-Sicherheit als Qualitätsmerkmal von Software
IT ist aus unserer Berufswelt nicht mehr wegzudenken. Ob die Bäckereiverkäuferin über ihr Tablet die Backwaren für den nächsten Tag bestellt, der KFZ-Mechatroniker vor der Reparatur sein Diagnosegerät an das Auto anschließt oder der Friseur die neuesten Trends auf seinem digitalen Werbeschild im Schaufenster präsentiert: Es gibt kaum noch Geschäftsprozesse, welche nicht IT-gestützt sind – und das sogar in Berufsbildern, die sich schon lange vor der modernen Informationstechnik etablierten.
Während manche Branchen derzeit erst eine Digitalisierung erfahren, ist dies in anderen schon vor Jahrzehnten geschehen. Im Rahmen des Replatforming ist es daher unsere Aufgabe als IT-Dienstleister, die bestehenden Softwaresysteme unserer Kunden auf neue Plattformen zu migrieren. Da sich mit der Zeit in aller Regel die Anforderungen an diese geändert haben, was die Funktionalität oder Leistungsfähigkeit angeht, ist dazu oft ein so genanntes Refactoring notwendig. Dabei werden ausgewählte Module neu entwickelt und beispielsweise als Microservices bereitgestellt, welche nach außen hin eine Schnittstelle anbieten. Die damit einhergehenden Zugewinne an Anpassbarkeit und Skalierbarkeit der IT-Landschaft sind allerdings nur ein Teil des Bildes.
Jede neue Software-Komponente kann individuelle Sicherheitslücken aufweisen. Wir sind uns als MT der Verantwortung bewusst, welche sich ergibt, sobald eine Software schützenswerte Daten verarbeitet. Darunter verstehen wir neben personenbezogenen Daten auch die Geschäftsdaten unserer Kunden. Die IT-Sicherheit ist für uns folglich ein immanentes Qualitätsmerkmal von Software und wird von unseren Mitarbeitern in den Entwicklungsprozess stets berücksichtigt.
Sicherheit beim Namen nennen: Was ist IT-Security?
Wer kennt ihn nicht: den anonymen Hacker aus dem Darknet, der mit seiner Sturmhaube vor dem Computer sitzt, in die Tasten haut, sich mühelos durch die Systeme wühlt und streng geheime Akten des US-Militärs entwendet? Diese Darstellung ist zwar nur ein Mythos aus Hollywood, doch hat bekanntlich jede Geschichte einen wahren Kern. Wie müssten wir also agieren, damit es gar nicht erst so weit kommt?
Zunächst einmal ist zu klären, was IT-Sicherheit für uns überhaupt bedeutet. Es ist naheliegend, darunter eine nichtfunktionale Eigenschaft von informationstechnischen Systemen zu verstehen. Doch gehen wir einen Schritt zurück.
Was ist eigentlich Sicherheit? Es handelt sich dabei um ein Maß, welches die Abwesenheit von Risiken beschreibt. Ein Risiko wiederum ist ein Ereignis, welches an seiner Eintrittswahrscheinlichkeit und der Schadenshöhe gemessen wird. Zur Vermeidung von Schäden werden Aufwände investiert, um einen dieser Faktoren oder gar beide zu reduzieren. Dabei verbleibt ein Restrisiko, dessen Kehrwert wir als Sicherheit verstehen. Ein geringes Restrisiko ist also gleich einem hohen Maß an Sicherheit und umgekehrt. Folglich ist das optimale Maß an IT-Sicherheit unternehmerischen Entscheidungen zugänglich und ein Teil des Risikomanagements.
Ein Problem dabei ist, dass das Restrisiko nie Null sein kann, da der damit verbundene Aufwand gegen Unendlich ginge. Folglich ist auch eine hundertprozentige Sicherheit nicht erreichbar. Dies ist jedoch kein Grund, eine fatalistische Haltung einzunehmen. Bereits mit geringem Aufwand, wie beispielsweise dem Deaktivieren von Makros in Microsoft Office und der Verwendung aktueller Browser, kann die Hürde für Infektionen mit Ransomware deutlich erhöht werden. Denn auch Cyber-Kriminelle denken wirtschaftlich und greifen nach den niedrig hängenden Früchten.
Für den Begriff Sicherheit gibt es im Englischen gleich zwei mögliche Übersetzungen:
- Der Begriff Safety beschreibt den Schutz vor Gefahren, welche von internen Gefahrenquellen ausgehen und meist auf Unachtsamkeit oder Unfälle zurückzuführen ist. Ein Beispiel dafür ist das Vorhandensein von Fluchttüren, welche jederzeit von innen geöffnet werden können, um sich im Fall eines Brandes zu retten.
- Unter Security wird hingegen der Schutz vor externen Gefahrenquellen verstanden, bei denen der Schaden durch Absicht entsteht. Bezogen auf das vorherige Beispiel bedeutet dies, dass die Fluchttür von außen nicht geöffnet werden kann und so Einbruchdiebstahl verhindert wird.
Übertragen auf die IT wäre Safety, wenn ein Programm in einem Ausnahmezustand den aufgetretenen Fehler protokolliert und sich strukturiert beendet, anstatt abzustürzen oder gar in einen undefinierten Zustand zu geraten. Unter Security versteht man hingegen, dass das Programm über keine Schwachstellen verfügt, welche von außen genutzt werden könnten, um eine nicht vorgesehene Aktion durchzuführen. Daher spricht man im Englischen in aller Regel von IT-Security und nicht von IT-Safety.
Die Ziele von IT-Security: Liebesgrüße aus Langley
Die IT-Sicherheit verfolgt klassischerweise drei Ziele, je nach Definition können allerdings noch weitere, abgeleitete Ziele hinzukommen. Bleiben wir zunächst bei den grundlegenden Zielen:
- durch Vertraulichkeit wird der Schutz vor unbefugtem Zugriff auf Daten ausgedrückt
- mit Integrität ist der Schutz vor unbemerkten Änderungen an Daten gemeint
- Verfügbarkeit beschreibt den Schutz vor temporären oder gar permanenten Verlust von Daten
Im Englischen ist hierfür der Ausdruck CIA gebräuchlich, welcher für Confidentiality, Integrity and Availability steht. Im Gegensatz zu wirtschaftlichen Zielen, welche oft miteinander im Konflikt stehen, ergänzen sich die Ziele der IT-Security meist. Das macht es uns einfacher, ein Optimum zu erreichen. Dazu müssen jedoch die aktuell als sicher geltenden Methoden und Techniken kombiniert und konsequent angewandt werden.
Neben dem Begriff der IT-Sicherheit gibt es noch den der Informationssicherheit. Diese nimmt eine übergeordnete Rolle ein, da sie die Sicherheit von Informationen auch außerhalb von IT-Systemen gewährleisten möchte. Beispiele dafür sind die Vernichtung von bedrucktem Papier und digitalen Datenträgern sowie der klassische Objektschutz des Betriebsgeländes – oder auch die Frage, ob Mitarbeiter*innen die Verwendung von Lernkarten-Apps untersagt werden sollte.
Was den Datenschutz anbelangt, so handelt es sich um einen falschen Freund. Dem Namen nach könnte man versuchen ihn ebenfalls der IT-Sicherheit zuzuordnen. Tatsächlich geht es dabei jedoch um rechtliche Aspekte von personenbezogenen Daten. Darum, welche Daten erhoben, wie sie verarbeitet und gespeichert werden dürfen als auch, welche Rechte die betroffenen Personen daran haben wie beispielsweise Auskunft, Korrektur oder Löschung.
Die Folgen mangelnder IT-Security sind vielfältig und umfassen verschiedene Auswirkungen und Tatbestände, welche in direktem Zusammenhang mit den drei Schutzzielen stehen:
- die Offenlegung von Daten zieht Reputationsschäden oder gar Geldstrafen nach sich
- durch Manipulation von Daten werden Tatbestände wie Betrug oder Sabotage verwirklicht
- bei einem Verlust von Daten durch Verschlüsselung können Sie mit Erpressung rechnen
Um diesen Gefahren zu begegnen, werden wir uns in den nächsten Teilen der Serie mit einigen interessanten Fragen rund um die Software-Entwicklung beschäftigen: Sind manche Programmiersprachen sicherer als andere? Was ist eigentlich eine Supply Chain Attack und wieso können XML-Dateien gefährlich sein?
IT-Sicherheit – Blogserie Teil 2:
IT-Sicherheit – Blogserie Teil 3: