CERN-IT-Sicherheitschef Stefan Lüders

"Wir leben ByoD seit 20 Jahren"

"Bin nicht der Sicherheitsverantwortliche"

Mit nur vier Angestellten und einer Handvoll Studenten können Sie aber unmöglich die Sicherheit aller genannten Bereiche gewährleisten. Wie sieht Ihre IT-Security-Strategie aus?

LÜDERS: Ich bin der Sicherheitschef, nicht der Sicherheitsverantwortliche - weder für das CERN noch für das Grid. Ich habe diese Verantwortung abgelehnt, weil ich den größten Teil der Infrastruktur - seien es Jobs und Routinen innerhalb des Grid oder die Clients im Office-Bereich - nicht kontrollieren kann. Deshalb ist es in meinen Augen anmaßend, zu glauben, die Verantwortung dafür übernehmen zu können. Mir ist natürlich bewusst, dass andere Menschen trotzdem häufig Verantwortung für Dinge übernehmen, über die sie keinerlei Kontrolle besitzen.

Und wie funktioniert das System dann?

LÜDERS: Wir haben die Verantwortung für die Sicherheit an alle unsere Mitarbeiter und Gastnutzer delegiert. In erster Instanz bedeutet das: Wenn Sie ans CERN kommen und Ihr Notebook mitbringen, wird Ihnen von Anfang an über verschiedene Methoden beigebracht, dass Sie für die Sicherheit Ihres Computers verantwortlich sind. Sie haben zwei Möglichkeiten: Entweder Sie sehen zu, dass Ihr Rechner regelmäßig gepatcht wird, dass Antivirus-Software läuft, dass Sie ein sicheres Passwort nutzen und so weiter. Oder Sie ignorieren das alles und riskieren eine Kompromittierung des Computers, nach der Sie Ihr gesamtes System neu aufsetzen müssen. Spätestens dann stellen Sie fest, dass das aktive Kümmern um Security kostengünstiger ist als das reaktive.

Eine Sonderstellung nimmt das Grid ein, bei dem die Frage nach den Sicherheits-Verantwortlichkeiten im Gegensatz zur Office-Welt anders geregelt ist: Jedes Rechenzentrum am "Grid" ist de jure selbst für die Security seines Zuständigkeitsbereichs innerhalb des Grid verantwortlich. Ein Mitarbeiter von mir hält die Rolle des "WLCG" Sicherheitschefs und koordiniert alle Aktivitäten. Viel Wert legen wir deshalb auf das Monitoring und die Nachverfolgbarkeit im Nachhinein, wenn etwas passiert ist. Wir schauen uns ständig an, was für Computing-Jobs laufen und wie sie laufen. Erlangen wir Kenntnis über eine missbräuchliche Nutzung des Grid, ist es wichtig, dass wir umgehend eingreifen und feststellen können, wer hat den betroffenen Job von wo und wann laufen lassen.

Security-Training als Hauptaufgabe

Geben Sie denn zumindest Hilfestellung bei der Absicherung der Systeme und Netze?

LÜDERS: Ich gebe Ihnen ein Beispiel. Jemand kommt ans CERN und setzt einen eigenen Web-Server samt Website auf, weil er das für ein Experiment benötigt. Verantwortlich für diese Website ist er selbst. Wie er Server und Site absichert, kann er von uns in Schulungen erfahren. Wir schauen uns aufgesetzte Server dann hinterher an - schätzen wir ihn als zu unsicher ein, bekommen er von uns keine Freigabe für die Sichtbarkeit im Internet.

Die andere Möglichkeit ist, unsere IT-Services in Anspruch zu nehmen. Unser IT Department stellen verschiedene Content-Management-Systeme wie SharePoint oder Drupal zur Verfügung, auf denen ebenfalls Seiten betrieben werden können. Aber auch für die Sicherheit dieser Seiten ist der Einzelne selbst verantwortlich - beispielsweise wenn eine Datenbank angeschlossen werden soll. Wir als Security-Team sorgen genau wie das IT-Department indes dafür, den Nutzern die entsprechenden abgesicherten technischen Ressourcen bereitzustellen - wie sichere Web-, File- oder Datenbank-Services.

Wie sieht das Security-Training konkret aus?

LÜDERS: Wir geben interessierten Mitarbeitern unter anderem Training im sicheren Programmieren oder im sicheren Einrichten eines Servers. Oder wir machen spezielle Training-Events. Für unsere "WhiteHat Challenge" beispielsweise haben sich 60 Leute beworben, die lernen möchten, wie man Penetrationstests macht. Innerhalb weniger Tage bilden wir sie dafür nun in mehreren Kursen aus, damit sie am CERN als Penetrationstester arbeiten können. Ziel des Ganzen ist natürlich, dass sie die Verwundbarkeiten ihrer Systeme später selbst aufspüren und beseitigen können.