Security-Guru Bruce Schneier im Interview

Wie man Sicherheitsangriffe überlebt

Wieviel Security ist genug?

Sie arbeiten als Chief Security Technology Officer für BT, ein Unternehmen mit durchaus interessanten Daten für Hacker. Haben Sie nach den Attacken im Frühjahr etwas in ihren Abläufen geändert?

Bruce Schneier: Bei BT mussten wir nichts verändern. Schauen Sie sich die Vorgehensweise von Lulzsec oder Anonymous an: Es gibt eine Tendenz zu einfachen Zielen. Die meisten Angriffe sind weder neu noch innovativ.

Sie meinen also, man muss nicht das sicherste System besitzen, sondern nur eines, das sicherer ist als die anderen?

Bruce Schneier: "Was vor zwei Jahren in der IT-Sicherheit gegolten hat, ist heute vielleicht obsolet".
Bruce Schneier: "Was vor zwei Jahren in der IT-Sicherheit gegolten hat, ist heute vielleicht obsolet".
Foto: Peter Houlihan

Bruce Schneier: Richtig. Hatte eine Firma also in den letzten Jahren bereits eine gute Sicherheitspolitik, so sollte sie auch in diesem Jahr sicher sein. Der Großteil der Attacken ändert nicht die Herangehensweise der Unternehmen an IT-Sicherheit, sie validiert lediglich was man bisher getan hat.

CW: Sie erwähnen in ihren Büchern, dass man Sicherheit als Prozess verstehen muss, nicht als einzelne Technik. Wie erkläre ich diese Herangehensweise meinen Kollegen oder meinem Vorgesetzen, anstatt nur ein neues Produkt einzuführen?

Bruce Schneier: Manchmal haben Sie da keine Chance. Menschen lösen gerne Probleme. Die Herangehensweise ist: Ich habe dieses Problem, das kann ich mit jenem Produkt oder genau diesem Ansatz lösen, Problem erledigt. Diese Vorgehensweise klappt wunderbar bei natürlichen Phänomenen. Nehmen Sie beispielsweise eine Flut. Wir wissen, wie eine Flut abläuft, wie sie sich ankündigt und wie man Gegenmaßnahmen einleiten kann.

Sobald Sie sich aber gegen Menschen verteidigen, greifen diese Erfahrungswerte nicht mehr. Menschen passen sich an. Wenn Sie eine Verteidigungsmaßnahme einrichten und die Sache damit für erledigt erklären, werden Angreifer einen Weg darum herum suchen. Die einzige Lösung ist es, die eigene Verteidigungsstrategie immer wieder zu prüfen, anzupassen und zu optimieren. Es ist möglich, dass Sie ihren Vorgesetzten davon nicht überzeugen können. Das ist der Grund, warum Firmen Opfer von Gruppen wie Lulzsec werden. Sicherheitsstrategien, die vor zwei Jahren aktuell waren, sind heute oft hinfällig.

CW: Gibt es allgemein gültige Return-of-Investment-Modelle, mit denen ich meinen Vorgesetzen den Wert einer speziellen Sicherheitsmaßnahme schmackhaft machen kann?

Bruce Schneier: Das ist sehr schwer. Ich denke, die meisten ROI-Modelle sind ziemlich fehlerhaft. Viele werden von Firmen entwickelt, die Sie überzeugen wollen, ihre Produkte zu kaufen. Sie sind sinnlos und man erkennt dies meist schnell. Es ist schwer, einen ROI für Sicherheit festzulegen und der Markt verzweifelt regelmäßig daran.

CW: Was ist das Minimum, das eine Firma für IT-Sicherheit einplanen sollte?

Bruce Schneier: Diese Frage beantworte ich nie, denn es kommt immer darauf an. Es kommt darauf an, welche Firma, es kommt darauf an, was die Firma produziert. Jeder möchte immer eine Checkliste mit fünf Punkten, die er abhaken soll. Aber sehen Sie es mal so: Was ist das Minimum, das Sie für die Sicherheit Ihres Hauses investieren sollten?

CW: Es kommt darauf an…?

Bruce Schneier: Richtig. In der IT-Sicherheit ist es das Gleiche. Es gibt sinnvolle Maßnahmen, allerdings sollte man sich nie auf ein Minimum begrenzen. Stattdessen muss man sein Unternehmen genau analysieren. Überprüfen Sie ihre Aktivposten und definieren Sie, was für Ihr Unternehmen wichtig ist.

CW: Gibt es einen Weg herauszufinden, was IT-Sicherheit kosten sollte?

Bruce Schneier: Wissen wir nicht. Es gibt von Richard Clarke dieses großartige Zitat, indem er behauptet, dass manche Firmen mehr für den Kaffee ausgeben als für die Sicherheit ihrer Daten. Ich bin mir nicht sicher, woher er diese Zahlen hat. Aber nein, ich kann Ihnen keine Zahl nennen. Es kommt auf das Unternehmen an und was dieses im Einsatz hat. Und es ändert sich ständig. Wenn man beispielsweise etwas wie das iPad einführt, dann ergeben sich ganz andere Probleme und Kosten.