Informationssicherheitsmanagement Gegenpol zu neuen Dimensionen digitaler Gefahren

Schadprogramme führen zum Diebstahl, der Zerstörung oder der Manipulation von Datenbeständen auf Privat- und Firmenrechnern, Rechner werden bis zum Komplettausfall beeinträchtigt. Neben umfangreichen technischen Maßnahmen muss auch die Sensibilität der Mitarbeiter immer weiter verstärkt werden.

Autor: Dr. Haiko Timm

Als Fred Cohen vor über 30 Jahren im Rahmen einer wissenschaftlichen Arbeit zeigte, dass ein Computer aus der Ferne gesteuert werden kann und er damit den ersten Computervirus demonstrierte, ahnte er sicher nicht, welche Auswirkungen dieses Forschungsergebnis für die digitale Welt langfristig haben würde. Es folgten Jahre, in denen Schadprogramme Ihr Unwesen getrieben haben. Datenbestände auf Firmen und Privatrechnern werden gestohlen, manipuliert oder vernichtet. Rechner verlieren durch Schadsoftware massiv an Leistungsfähigkeit bis hin zum Komplettausfall, sie zeigen unseriöse Werbeeinblendungen oder ein insgesamt unkalkulierbares Verhalten. Unzweifelhaft sind es finanzielle Beweggründe, die Anlass zur Verbreitung entsprechender Programme geben. Eine eigene Industrie zum Erkennen und Vernichten von Schadsoftware hat sich entwickelt. Spezialanbieter liefern mitunter mehrfach täglich neue Techniken zum Erkennen und Abwehren von Gefahren. Rechnersysteme sind seit langer Zeit bereits bei der Auslieferung mit einem Grundvorrat an Schutzprogrammen  ausgerüstet. Der Betrieb von aktuellen Virenschutzprogrammen, Firewalls und Anti-Spyware  kann als Standard betrachtet werden.

Trotz dieser umfangreichen Abwehrtechniken erfolgen Angriffe in immer größeren Dimensionen. Anfang April drangen Hacker bei dem französischen Fernsehsender TV5 Monde ein, legten den Sendebetrieb lahm und nutzten die Internetpräsenz zur Verbreitung ihrer radikalen politischen Botschaften. Kurz zuvor erlitt die Türkei den größten Stromausfall der letzten 15 Jahre, der möglicherweise auch auf eine Cyberattacke zurückzuführen ist. Auf der diesjährigen Cebit diskutierten Fachleute die Möglichkeit, dass Hacker in Steuerungssysteme der Bahn eingreifen und damit Züge entgleisen lassen könnten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet von einem deutschen Stahlkonzern, der durch den  Zugriff von Hackern auf die Steuerung eines Hochofens  signifikanten Schaden erlitten hat.

Diese und diverse weitere Beispiele zeigen die Verletzlichkeit der Informationstechnologie und die extrem gefährlichen Auswirkungen von Cyberangriffen. Natürlich ist ein Angriff auf Entertainmentanbieter wie TV5 Monde oder Sony im Vergleich zu zentralen Energie- und Wasserversorgern, Telekommunikationsanbietern und letztendlich auch Banken unterschiedlich zu bewerten. Zum Schutz kritischer Infrastrukturen diskutiert der Bundestag das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) zur Schaffung von bundesweiten Standards für die Informationstechnologie. Unternehmen, die einen Sicherheitsvorfall erleiden, müssen zukünftig diesen Vorfall dem BSI melden (ähnlich der Meldepflicht bei Datenschutzverletzungen an die Landesdatenschutzbehörden gemäß Bundesdatenschutzgesetz). Dort werden diese Fälle gesammelt und bezüglich gegensteuernder Maßnahmen analysiert.

Was bedeutet diese Entwicklung für Banken? Es liegt auf der Hand, dass nicht nur die finanziellen Einbußen durch Sicherheitsvorfälle zu vermeiden sind, sondern ebenso die damit einhergehenden Reputationsschäden. Die Bank wird alles daran setzen, entsprechende Vorfälle und die damit eintretende Meldepflicht zu vermeiden. Die seit geraumer Zeit bestehende Forderung zur Etablierung eines umfänglichen Informationssicherheitsmanagements bekommt durch die aktuelle Entwicklung zusätzliche Substanz, ebenso wie der Anspruch einer Identifizierung der mit dem IT-Betrieb verbundenen Risiken zur Gestaltung und Umsetzung risikomindernder Maßnahmen. Informationssicherheit ist schon lange nicht mehr die alleinige Aufgabe des IT/Orga-Teams, sie muss vielmehr bankweit gelebt und von allen Mitarbeitern getragen werden. Das bedeutet eine Beteiligung von Geschäftsprozessverantwortlichen und ebenso der Systemverantwortlichen im Informationssicherheitsmanagement. Prozesse und unterstützende IT-Systeme sind unter Sicherheitsaspekten zu bewerten. Natürlich erfüllen die Rechenzentren einen großen Anteil der notwendigen Sicherheitsanforderungen. Es verbleibt jedoch ein nicht unerheblicher Anteil an Sicherheitsaufgaben in der Verantwortung der Bank. Beispiele sind hier u.a. die regelmäßige Zertifizierung von Berechtigungen, der Einsatz eines 4-Augenprinzips in vielen Bereichen der Bank, der umsichtige Einsatz von Social Media oder eine stringente Handhabung von selbst erstellten Anwendungen durch Mitarbeiter. Diese Anforderungen sind in Banken konsequent umzusetzen. Sie sind in einem Informationssicherheitskonzept zu dokumentieren (z.B. in der Datenbank ForumISM / GenoBanksafe-IT) und durch ein funktionstüchtiges internes Kontrollsystem zu überwachen. Auch wenn die genannten Sicherheitsaspekte gerade vor dem Hintergrund des aktuellen Gefährdungspotentials eigentlich eine Selbstverständlichkeit sein sollten, ergeben sich im Alltag immer wieder Schwachstellen technischer Natur oder durch menschliche Fehler bei der Nutzung der Technik.

Nicht zuletzt leistet auch die Ausbildung und Sensibilisierung der Bankmitarbeiter einen erheblichen Beitrag gegen die „digitale Sorglosigkeit“. Schwachstellen und Gefahren müssen erkannt werden, Gegenmaßnahmen sind frühzeitig einzuleiten. Das wird umso deutlicher, wenn man berücksichtigt, dass Spear-Phishing als Ursache für den Angriff auf den Sender TV5 Monde vermutet wird. Spear-Phising wird auch als „verfeinertes“ Phishing bezeichnet. Dabei wird mit personifizierten E-Mails oder über die direkte Ansprache in sozialen Netzwerken versucht, das Vertrauen der Mitarbeiter zu gewinnen. Anschließend werden diese unter Vorspiegelung falscher Tatsachen veranlasst entweder geheime Zugangsdaten preiszugeben oder Spionageprogramme mit einer gleichartigen Zielsetzung zu installieren. Auf diesem Weg konnten die aus Algerien stammenden Attentäter in das Netzwerk von TV5 Monde eindringen. Dass die Sensibilität für Informationssicherheit bei dem TV-Sender wohl nicht hoch aufgehängt ist, zeigte sich in einem kurz nach dem Angriff ausgestrahlten Firmenvideo, in dem u.a. an eine Pinnwand angehängte Passwörter zu sehen sind. Kein kapitaler sondern ein menschlicher Fehler – aber möglicherweise mit kapitalen Auswirkungen.

Dr. Haiko Timm, Geschäftsführer der Forum Gesellschaft für Informationssicherheit mbH, ist als IT-Berater, IT-Prüfer und externer Datenschutzbeauftragter sowie externer IT-Sicherheitsbeauftragter für Verbundbanken tätig. Er gibt gerne Auskunft zu Informationssicherheitsthemen und zur Umsetzung eines bankindividuellen Informations- und Risikomanagements unter haiko.timm@forum-is.de.

Dr. Timm leitet das 12. Forum IT-Revision vom 23. – 24. September und das 16. Forum IT-Sicherheit vom 24. – 25. September 2015 bei der Akademie Deutscher Genossenschaften auf Schloss Montabaur. Die Foren stehen unter dem Motto „Synergien durch enge Zusammenarbeit nutzen“.