Mechthild Stöwer, seit 32 Jahren beim Fraunhofer Institut für Sichere Informationstechnologie, spricht auf unserem Strategiegipfel IT & Information Security im Juli zum Thema Security Metrics. Als Leiterin der Abteilung Security Management hilft sie Unternehmen und öffentlichen Einrichtungen dabei, ihr Sicherheitsmanagement zu analysieren, die IT-Sicherheit anhand von Kennzahlen messbar zu machen. Wir haben sie in einem Vorab-Interview zu ihrer Tätigkeit beim Fraunhofer SIT befragt.
PN: Frau Stöwer, Sie arbeiten seit mehr als 32 Jahren beim Fraunhofer. Eine sehr lange Zeit, in der sich vieles verändert hat, auch und gerade im IT-Bereich. Wie haben sich Ihre Position, Ihre Tätigkeit in der Zeit gewandelt?
MS: Ich habe 1981 in einem Nixdorf-Schulungszentrum angefangen, als die – wie wir es nannten – mittlere Datentechnik aufkam. Es wurden nicht mehr nur Großrechner genutzt, sondern es wurde mit kleineren Rechnersystemen auch für Mittelständler möglich, sich der Datenverarbeitung zu bedienen und Produktivitätsfortschritte über die IT zu nutzen. In Sachen Informationssicherheit, also dem Thema, mit dem ich mich heute beschäftige, sind die Unterschiede zu damals natürlich riesig. Damals haben wir versucht, Rechner zu isolieren und abzuschotten. Ich kann mich an die Planung eines Rechenzentrums erinnern, das unter die Erde gebaut wurde, damit niemand von außen physisch eindringen konnte. Mit dem Aufkommen des Internets hat sich die Philosophie, wie wir mit unseren IT-Ressourcen umgehen, radikal gewandelt: Heute nutzen wir Cloud-Systeme, wollen das, was wir an Rechner-Leistung und an Informationsbeständen haben, teilen. Wenn wir ein Bild wählen wollen, glichen unsere Rechenzentren früher einer Burg, man zog seine Mauern hoch und niemand durfte hinein. Heute haben wir eine offene Stadt und wollen alle unsere Ressourcen teilen. Und das setzt für die Informationssicherheit ganz unterschiedliche Schwerpunkte.
Wir müssen heute unter dem Postulat Ressourcen zu teilen, zusehen, dass wir sensible Informationen, die wir vertraulich halten wollen, ganz explizit schützen. Und dafür brauchen wir neue Mechanismen.
Außerdem erzielen wir durch den unglaublichen Zuwachs an Rechnerleistung natürlich große Produktivitätsfortschritte. Ich erinnere mich, dass wir damals eine Aufrüstung auf 1 MB Plattenkapazität als enormen Zuwachs an Speicher erlebt haben – das kann man sich heute gar nicht mehr vorstellen.
Auch in Sachen Benutzerschnittstelle hat es enorme Fortschritte gegeben. Damals haben wir mit Editoren gearbeitet, wenn wir Programme codiert oder Texte erfasst haben. Heute arbeiten wir mit grafischen Benutzeroberflächen. Wir wollen, dass alle Benutzer einen leichten Zugang zum System haben. Das hat natürlich auch für die Informationssicherheit eine besondere Implikation: Insbesondere Sicherheitsmechanismen stellen eine Hürde für Benutzer dar. Ich möchte ein Anwendungssystem nutzen und nicht eine Sicherheitsfunktion bedienen. Ein Beispiel ist das Problem Passworteingaben. Es empfiehlt sich, für jeden Dienst ein eigenes Passwort zu haben. Das Passwort sollte möglichst komplex sein. Aber wer kann sich das alles merken? Hier helfen Passwort-Safes weiter, aber dies einzurichten und zu pflegen, ist wieder mit Aufwand verbunden. Ich sehe die „Usablity of Security“ als wichtige Forschungsthematik: Wie können wir Benutzerschnittstellen gut benutzbar und gleichzeitig sicher machen?
PN: Wenn ich das richtig verstehe, ist die Fraunhofer SIT eine Art Dienstleistungsunternehmen mit Forschungsanteil? Kann man das so sagen? Wie konkret sieht das im Arbeitsalltag aus?
MS: Ich würde es anders ausdrücken: Wir sind Europas größte Einrichtung für angewandte Forschung. Fraunhofer besteht aus mehr als 70 Forschungseinrichtungen, die alle ihren eigenen Schwerpunkt haben. Zum großen Teil liegt dieser Schwerpunkt auf den Ingenieurwissenschaften und in naturwissenschaftlichen Disziplinen. Unsere Forschungsfelder sind Gesundheit, Sicherheit, Kommunikation, Mobilität, Energie und Umwelt. Wir betreiben mit unseren Partnern Projekte, um innovative Verfahren und Produkte für die Anwendung durch die Wirtschaft und die öffentliche Verwaltung bereitzustellen. Technologisch sind wir mit unseren Entwicklungen Vorreiter. Zwei Drittel unseres Budgets finanzieren wir über die Auftragsforschung. Der dritte Teil, eine Grundfinanzierung, kommt vom Forschungsministerium. Neben der Auftragsforschung aus der Industrie oder der öffentlichen Verwaltung haben wir auch Teilhabe an Forschungsprogrammen der Europäischen Union oder des Bundesforschungsministers.
PN: Können Sie etwas zu Ihren aktuellen Projekten und Themen sagen?
MS: Das, worüber ich auch auf dem anstehenden IT Security-Gipfel berichten werde, ist eine Fragestellung aus meinem eigentlichen Kernarbeitsbereich, dem Sicherheitsmanagement: Wie kann ich durch quantitative Ansätze die Güte eines Sicherheitssystems messbar machen? Das ist im Kontext des Risikomanagements eine große Herausforderung. Es geht uns generell darum, genau die Bereiche in einem Unternehmen oder in der öffentlichen Verwaltung zu identifizieren, in denen wirklich große Risiken liegen. Dabei hilft ein quantitativer Ansatz, mit dem ich messen kann: Habe ich durch bestimmte Maßnahmen tatsächlich meine Risiken reduziert? Es ist nicht einfach, aber unumgänglich, ein System von Key Performance-Indikatoren aufzusetzen, mit denen die Wirksamkeit des Sicherheitsmanagement-Systems überwacht werden kann. Das sind im Moment unsere Hauptfragestellungen im Sicherheitsmanagement: Wo liegen meine Risiken? Wie kann ich sie valide und nachvollziehbar bewerten? Welche Mechanismen helfen, sie zu überwachen und zu beherrschen? Und diese Fragen bekommen auch eine besondere Bedeutung dadurch, dass wir nicht mehr nur unsere Office-IT, sondern auch Produktionsumgebungen analysieren müssen. Das ist noch ein Aspekt des Wandels in den letzten Jahren: Die IT durchdringt zunehmend auch Produktionsprozesse, die durch vernetzte Systeme unterstützt werden.
Unser Analysebereich vergrößert sich. Stichwort ist hier auch das Internet of Things: Wir haben jetzt überall kleine Kameras, Wearables – Smartphones und Smartwatches – die wir benutzen. Wir sind alle mit IT ausgestattet und vernetzt. Das sind alles zusätzliche Einfallstore für Angriffe, das Bild wird immer komplexer und die Mechanismen, mit denen wir die Sicherheit unserer Systeme analysieren und kontrollieren, müssen deswegen auch immer komplexer werden.
PN: Und wie macht man diese Sicherheit messbar?
MS: Erstmal muss man die Bereiche identifizieren, die von besonderem Interesse sind, also die Bereiche mit hohen IT-Risiken. Für diese Bereiche werden Metriken entwickelt, die geeignet sind, ihren Sicherheitsstatus zu reflektieren. Beispiele für Metriken gibt es für ganz verschiedene Aspekte des Sicherheitssystems: Da sind zum Beispiel Schwachstellen in Server- oder Clientsystemen, die ich möglicherweise durch einen guten Patch-Mechanismus, der dafür sorgt, dass regelmäßig aktuelle Patches einspielt werden, reduziere. Eine entsprechende Metrik könnte reflektieren, ob ich das wirklich gut mache, in dem ich regelmäßig per Netzwerkscanner erhebe, ob alle Systeme auf dem aktuellen Patchstand sind. Oder ich betrachte die Wirksamkeit meines Incident-Management-Systems. Hier könnte man eine Metrik wählen, die erhebt, wie schnell man in der Lage ist, Sicherheitsvorfälle zu analysieren und entsprechende Maßnahmen zur Reduzierung der Schadenswirkung einzusetzen. Für alle Kennzahlen wird vorab ein Zielwert festgelegt. Abweichungen signalisieren dann, wenn es Verbesserungsbedarf gibt.
Ein weiteres Beispiel: das Rechtemanagement. Es ist ein wichtiges Sicherheitsprinzip, dass jeder Nutzer nur die Rechte hat, die er benötigt. Es sollte einen Katalog geben, in dem verzeichnet ist, welcher Nutzer welche Rolle einnimmt und welche Rechte damit verbunden sind. Eine Metrik könnte widerspiegeln, ob dies in der Realität auch so umgesetzt wird.
PN: IT-Sicherheit hängt ja auch an den Menschen, die die Systeme bedienen. Wie wird in Bezug auf den Faktor Mensch gemessen bzw. wie lässt sich das messen?
MS: Für diese Fragestellung suche ich einen Indikator, der zeigt, ob ein Benutzer einen aktuellen Informationsstand hinsichtlich der Informationssicherheit hat. Das könnte beispielsweise über die Teilnahmequoten an Sensibilisierungsmaßnahmen oder webbasierten Trainings gemessen werden. Ein Beispiel: Die Phishing-Problematik. Sind Benutzer in der Lage eine Phishing-E-Mail zu erkennen? Sind sie sich bewusst, dass sich per Klick auf den Link in einer E-Mail eine Webseite öffnen kann, über die Schadcode auf das System geschleust wird? Der Nutzer erhält beispielsweise in einem Web-Kurs entsprechende Informationen dazu. Eine sehr einfache Metrik könnte erfassen, wie viele Benutzer diesen Web-Kurs durchgeführt haben. Es könnte sich aber auch ein Test an diesen Kurs anschließen und es wird gemessen, wie erfolgreich die Nutzer diesen Test absolvieren. Wenn sie gute Testergebnisse erzielen, gehe ich davon aus, dass sie Wissen mitgenommen haben.
Noch besser wäre es, gezielt Phishing-Mails in die E-Mailkästen der Nutzer zu schleusen und zu prüfen, wie viel Prozent der IT-Anwender diese Mail öffnen und dann auch die Links darin klicken. Das wäre dann tatsächlich eine sehr aussagekräftige Maßzahl, um festzustellen, wie gut das Wissen wirklich verankert ist.
PN: Ist das Thema bei den Unternehmen Ihrer Erfahrung nach ausreichend angekommen? Dass es wichtig ist, Sicherheit nicht nur herzustellen, sondern auch zu messen?
MS: Es ist tatsächlich ein Hot-Topic, ein Punkt, mit dem sich die Unternehmen zunehmend beschäftigen und auch beschäftigen müssen. Auch weil diejenigen, die sich nach ISO-27001 zertifizieren lassen wollen, gar nicht darum herumkommen. Grundgedanke dieser Norm ist, einen Regelkreis zu implementieren: Plan-Do-Check-Act. Da spielt die Überprüfung der Wirksamkeit der Sicherheitsmechanismen eine große Rolle. Wenn der Auditor zu diesen Unternehmen kommt, fragt er eben auch nach Kennzahlen. Innerhalb der Unternehmen müssen die Sicherheitsbeauftragten ja aber auch ihren Vorständen Rechenschaft leisten. Wir sehen, dass die Leitungsebene von Unternehmen zunehmend mit Kennzahlen auch für den Bereich der Informationssicherheit arbeiten möchte.
Eine besondere Herausforderung für die Unternehmen ist, diese Kennzahlen wirtschaftlich zu erheben. Das muss entsprechend möglichst automatisiert geschehen. Was nützt die beste Kennzahl, wenn ich einen riesen Aufwand betreiben muss, um sie bereitzustellen? Es ist häufig ein Zwiespalt, einerseits aussagekräftige Kennzahlen nutzen zu wollen, andererseits den Aufwand für die Bereitstellung möglichst gering zu halten. Ein Kennzahlenprogramm zu implementieren, das beide Anforderungen erfüllt, ist häufig nicht einfach. Die Unternehmen tun sich nicht leicht damit, das stellen wir fest.
Anbieter wie BITSIGHT, der auch bei diesem Gipfel als Partner wieder dabei ist, liefern hier einen interessanten Beitrag. Sie prüfen Systeme von außen auf Schwachstellen und übermitteln ihren Kunden dann eine entsprechende Kennzahl, die sich zusammensetzt aus verschiedensten Schwachstellen-Befunden. Wir erarbeiten mit unseren Kunden Kennzahlen von innen heraus, die auf bestimmte Risikoaspekte eines Unternehmens abzielen. Aber der Aspekt, eben auch von außen zu scannen, ist ebenso spannend, insbesondere weil die gelieferten Kennzahlen einen Vergleich mit anderen Unternehmen ermöglicht und Ergebnisse für ein Benchmarking liefert.
PN: Von außen zu scannen heißt im Grunde einen Angreifer, eine Hacking-Attacke zu simulieren?
MS: Das sind nicht wirklich Hacking-Attacken, sondern Analysen von sicherheitsrelevanten Faktoren, die von außen abgreifbar sind. Diese Ergebnisse werden dann zu einer Kennzahl verdichtet und könnten etwa mit den Ergebnissen eines internen Kennzahlprogramms ein Gesamtbild erzeugen.
Mechthild Stöwer wird am 2. & 3. Juli gemeinsam mit Andreas Walz (Talanx) den Vorsitz unseres Strategiegipfels IT & Information Security übernehmen. Das ganze Programm im Überblick:
Lieben Dank an Frau Stöwer für das Interview. Wir freuen uns auf Sie im Juli!
Kontakt
Michael Wangelow
- Director IT/IT Security Projekte
- E-Mail: michael.wangelow@project-networks.de
