Am 10. April luden die PGP Deutschland und Secure Computing zu einer halbtägigen Referatsreihe zum Thema „Strategien zum Schutz von Unternehmensdaten für Finanzdienstleister und Banken“ ein. Erfreulicherweise war dies nicht einfach eine von den vielen als „Seminar“ getarnten Verkaufspräsentationen (auch wenn es uns als Seminar verkauft wurde) und auch das Catering war ausgezeichnet. Neben Michael Rudrich (Secure Computing [1]) und Thomas Hemker (PGP Corporation [2]) hielt auch Bruno Wildhaber (Forte Advisors [3]) ein Referat über IT-Sicherheit in der Finanzindustrie.
Wildhaber vertrat mitunter auch Ansichten, welche die aktuellen Sicherheitsansätze teilweise etwas in Frage stellen und nicht ganz im Einklang mit dem Geschäftsmodell von Secure Computing und der PGP Corporation stehen. Dies machte für mich die Veranstaltung jedoch nur glaubwürdiger, weil Sicherheit nur entstehen kann, wenn man auch andere Meinungen zulässt und in die Diskussion miteinbezieht. Wildhaber betrachtet den Perimeter-Ansatz (Firewalls, Content-Filter, …) als ein untaugliches Mittel, um das Internet sicher zu machen, und bezeichnete ihn als reine Symptombekämpfung. Deshalb werde dieser über kurz oder lang verschwinden. Beim Design des Internets hätten Sicherheitsüberlegungen keine Rolle gespielt. Das System sei als offen konzipiert worden. Alle Ansätze und Bemühungen, dieses im Nachhinein sicher zu machen, ohne an den Grundkonzepten zu rütteln, bezeichnete er als „Leukoplast“-Lösungen, womit er sicher Recht hat. Weiter vertrat er die These, dass der PC als Endgerät im E-Banking ausgedient hätte, weil das schwächste Glied im E-Business der PC des Kunden sei, auf den ein Dienstleister keinen Einfluss hätte. Er postulierte einen „Thin Client“-Ansatz, wobei die korrekte Identifikation bzw. Authentisierung jedes Nutzers den Schlüssel zur sicheren Banktransaktion darstellt. In diesem Zusammenhang werden qualifizierte digitale Signaturen (welche auf dem Prinzip der asymetrischen Verschlüsselung beruhen) in Zukunft an Bedeutung gewinnen. Weil solche abgesicherten Infrastrukturen jedoch kostspielig und (noch) nicht einfach zu handhaben sind, sind sie nur für die geschäftliche Nutzung interessant. Über unsichere PCs würden künftig nur noch „low value“ Transaktionen zugelassen. Würde dies Realität, werden die Proteste verwöhnter E-Banking-Kunden sicher nicht ausbleiben.
Ein Thin Client lässt sich aber auch jederzeit auf einem Fat Client, wie der PC einer ist, emulieren. Ein Web-Browser ist prinzipiell ein solcher Thin Client, der meist in einer recht unsicheren Umgebung (Windows-PC) läuft. Einen Thin Client in eine völlig isolierte Umgebung zu verbannen, die keinen Datenaustausch mit der „Aussenwelt“ und somit auch keine Infektion durch Schadsoftware (Malware) zulässt, wäre zwar prinzipiell ein sicherer Ansatz, widerspricht aber meiner Ansicht nach der geforderten Offenheit des Internets und schränkt die Möglichkeiten und auch den Nutzen der Kommunikation über diese Plattform in inakzeptablem Ausmass ein. Dieses Dilemma wird wohl kaum so schnell gelöst werden. Trotzdem oder gerade deswegen ist es so, dass das Business die Sicherheit definiert und nicht umgekehrt. Gemäss Wildhaber müsse jedes Unternehmen selber festlegen, wo es sich im Spannungsfeld zwischen Kosten und Nutzen sowie strategischer Performance und risikooptimierter Konformität positioniert.
Die konsequente Eliminierung von überflüssigen Daten zur Minderung von Sicherheitsrisiken ist ein wichtiger Ansatz, den Wildhaber vertrat. Müll, den es nicht gibt, kann auch keine Probleme machen. Neapel [4] wäre bestimmt auch dieser Meinung. Ich persönlich kenne jedoch kein einziges Unternehmen, das diesen Ansatz als strategisch genug erachtet und konsequent verfolgt. Die folgende Konklusion Wildhabers fand ich allerdings die wichtigste in seinem ganzen Referat: Mit einem „Best Practice“ Ansatz kann den Ansprüchen an eine hochstehende Sicherheist-Infrastruktur nicht Genüge getan werden, weil sich damit lediglich eine Follower-Strategie realisieren lässt. Solche „me too“-Lösungen taugen bestenfalls zur Mittelmässigkeit. Da wurde mir endlich bewusst, warum es mir jedesmal intuitiv flau in der Magengegend geworden ist, wenn alle um mich herum nach „Best Practice“ geschrien haben.
Im Folgenden erläuterten die Referenten von Secure Computing und PGP ihren Perimeter-Ansatz, ohne dabei zu sehr auf die technischen Details ihrer Lösungen einzugehen. Im Vordergrund standen die Konzepte, die diesen zugrunde liegen. Michael Rudrich erläuterte anhand der auch in grossen Teilen öffentlich zugänglichen Plattform trustedsource.org [5] von Secure Computing, warum die Erhebung der fremden und die Pflege der eigenen Reputation wichtig sind und wie Reputations-Management aufgrund von Scoring von Kommunikationspartnern, d.h. einer Qualifizierung nach übertragenen Inhalten und Verhaltensmustern, funktioniert.
Thomas Hemker zeigte, in welchen Bereichen Daten-Verschlüsselung sinnvoll eingesetzt werden kann. Es nütze recht wenig, unsichere Infrastrukturen gegen Fremdzugriffe zu schützen. Vielmehr müssten die selber Daten gesichert werden anstatt die Infrastruktur. Dies beginnt bereits bei der Datengenerierung. Hemker präsentierte einerseit die Vorteile des plattformbasierten Ansatzes von PGP und zeigte andererseit, wie sich die Investition in eine solche Lösung betriebswirtschaftlich berechnen und rechtgertigen lässt. Dabei bediente er sich der Kosten eines Datenverlustes zur Berechnung des ROI. Die Kosten für einen Verlust betragen gemäss Studien durchschnittlich £47 bis £55 pro Datensatz in der Finanzindustrie, wobei 36% der Ursachen durch den Verlust von Geräten und Datenträgern resultieren. Weitere 38% der Datenverluste können auf Fehler bei externen Dienstleistern zurückgeführt werden, was ein relativ schlechtes Licht auf das IT-Outsourcing wirft.
Allen Referaten gemeinsam war, dass Verschlüsselung der Schlüssel zur sicheren Informatik ist. Was mich allerdings etwas störte war, dass die rechtlichen Aspekte wie der Datenschutz bei der Inhaltsanalsyse von übermittelten Daten für das Reputation Scoring oder Haftungsfragen bei Datenpannen völlig ausser Acht gelassen wurden. Trotzdem fand ich den Anlass sehr gelungen, informativ und nützlich.