IT-Entscheider haften bei Fahrlässigkeit für Virenschäden
von Dr. Markus Schäffter*
Wir haben uns inzwischen an elektronische Viren gewöhnt. Die einschlägigen Sicherheitsumfragen zeigen jedes Jahr, dass das Wettrennen um die IT-Sicherheit noch nicht entschieden ist und auch so bald nicht entschieden sein wird. Immer ausgefuchster werden Viren und damit auch die Programme, die vor ihnen schützen sollen.
Das Beispiel SQL-Slammer zeigen den Ideenreichtum, den Virenentwickler mittlerweile entwickelt haben – und den Schaden, den selbst einfache Reproduktionsmechanismen in Firmennetzen anrichten können. SQL-Slammer ist ein sich selbst vervielfältigendes Programm, das in ein einzelnes Datenpaket passt – eine programmiertechnische Meisterleistung, wenn auch nicht zum Guten der Entwicklerzunft. Vielleicht liegt es auch daran, dass der SQL-Wurm, der sich am vorletzten Januarwochenende weltweit durch die Unternehmensnetze fraß, einen Programmierfehler im Microsoft SQL-Server ausnutzend, im Verhältnis zu anderen schadensstiftenden Kandidaten eher geringen Schaden anrichtete: es blieb einfach kein Platz für einen wirklich schadensstiftenden Anteil.
--- Einschubbox ---
Die Schäden durch SQL-Slammer gehen in die Millionen: unternehmensweite Netzwerke waren blockiert, Produktionsbänder standen still.
--- ---
Auch wenn Virenschäden wie höhere Gewalt aussehen, ganz schutzlos ist man ihnen nicht ausgesetzt. Die Gesetzeslage in Deutschland, Europa und in vielen anderen Ländern ist eindeutig: Geschäftsführung und leitende Angestellte haften gegenüber dem Unternehmen für Schäden, bei fahrlässigen Versäumnissen auch mit ihrem privaten Vermögen.
Auch wenn die Unternehmen nicht ohne Weiteres auf die begrenzten Barmittel ihrer leitenden Mitarbeiter zurückgreifen werden, Grund genug ist die persönliche Haftung allemal, die IT-Sicherheit im eigenen Hause auf den Prüfstand zu stellen.
Hilfreiche Orientierung hierzu liefert unter anderem das Gesetz für Kontrolle und Transparenz im Unternehmen, kurz KonTraG. Es fordert die Umsetzung konkreter Maßnahmen wie die vollständige Erfassung aller Risiken als Teil eines regelmäßigen Konzernlageberichts (§§ 298, 315 HGB) sowie den Aufbau eines unternehmensweiten Risikofrüherkennungs- und Überwachungssystems (§ 91 AktG und § 317 HGB).
Das IT-Sicherheitsmanagement steht somit mehr denn je vor der Herausforderung, die mit dem IT-Betrieb verbundenen Risiken rechtzeitig zu erkennen und auf ein erträgliches, d.h. für die Geschäftsleitung tragbares, Maß zu reduzieren. Denn es gilt die Goldene Regel der IT-Sicherheit:„100% Sicherheit gibt es nicht!“.
Sicher, es gibt im Alltag viele Gründe, auf Gefährdungsanalysen und externe Sicherheitsberater zu verzichten: zu wenig Zeit, zu wenig Geld, zu wenig Gehör in den Projekten. Da bleibt nur, Anti-Virensoftware einzusetzen, um sich an den Schnittstellen nach außen vor schadensstiftenden Informationsinhalten zu schützen. Dabei können diese Systeme nur sehr bedingt vor neuen Viren schützen –wie etwa SQL-Slammer.
Es ist daher erforderlich, zusätzliche Maßnahmen zu ergreifen, um die möglichen Auswirkungen von Virenangriffen systematisch zu reduzieren.
„Logische Netzwerktrennung“ ist eine der effektivsten Möglichkeiten: man schottet die einzelnen IT-Systeme dadurch voneinander ab, dass man auf Netzwerkebene nur die unbedingt erforderlichen Datenpakete zwischen ihnen passieren lässt. Pakete, die Viren zur Verbreitung verwenden können so fast immer abgefangen werden.
Diese sehr simple und verhältnismäßig preiswerte Maßnahme findet in jedem der einschlägig bekannten internationalen Maßnahmenkataloge zur IT-Sicherheit, etwa in BS7799, bzw. ISO/IEC17799 (Unterpunkt A9.4.6) oder im IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (Gefährdung G3.29 „Mangelnde Netztrennung durch Menschliches Versagen“, sowie Maßnahmen M5.61 und M5.62).
Bleibt die Frage, warum Viren so große Schäden anrichten können, wenn doch die Gefährdungen und die richtigen Maßnahmen bereits seit Jahren bekannt sind. Mangelnde Zeit und Kosten können es im Falle von SQL-Slammer nicht sein, denn die Abschottung der Server bedarf lediglich der Konfiguration der Netzwerkrouter, bzw. des Einsatzes eines Netzwerkfilters auf den Servern. Beides kostet nur Minuten an Arbeit und meist nicht einmal Lizenzgebühren. Was kostet im Vergleich eine Virenschutzsoftware pro Jahr? Rausgeschmissenes Geld ohne die richtigen, begleitenden Konzepte und Schutzmaßnahmen!
Links:
Informationen zu SQL-Slammer im Heise-Newsticker, z.B. http://www.heise.de/...
IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik: www.bsi.de/gshb
* Dr. rer nat Markus Schäffter
Geboren Dez. 1964, Dipl. Math., promoviert in Mathematischer Optimierung. Spezialist für IT-Sicherheitsmanagement, Business Impact Analysen und Sicherheitsaudits nach BS7799, ISO17799 und IT-Grundschutzhandbuch. Arbeitsschwerpunkte: Managementberatung, Review und Stärkung der IT-Sicherheitsorganisation bei Grossunternehmen und im Mittelstand.
Kontaktadresse:
Secaron AG
Sabine Ziegler
Ludwigstr. 55 85399 Hallbergmoos
Telefon 0811-9594 140 Telefax 0811-9594 220
Email: ziegler@secaron.de
www.secaron.de
von Dr. Markus Schäffter*
Wir haben uns inzwischen an elektronische Viren gewöhnt. Die einschlägigen Sicherheitsumfragen zeigen jedes Jahr, dass das Wettrennen um die IT-Sicherheit noch nicht entschieden ist und auch so bald nicht entschieden sein wird. Immer ausgefuchster werden Viren und damit auch die Programme, die vor ihnen schützen sollen.
Das Beispiel SQL-Slammer zeigen den Ideenreichtum, den Virenentwickler mittlerweile entwickelt haben – und den Schaden, den selbst einfache Reproduktionsmechanismen in Firmennetzen anrichten können. SQL-Slammer ist ein sich selbst vervielfältigendes Programm, das in ein einzelnes Datenpaket passt – eine programmiertechnische Meisterleistung, wenn auch nicht zum Guten der Entwicklerzunft. Vielleicht liegt es auch daran, dass der SQL-Wurm, der sich am vorletzten Januarwochenende weltweit durch die Unternehmensnetze fraß, einen Programmierfehler im Microsoft SQL-Server ausnutzend, im Verhältnis zu anderen schadensstiftenden Kandidaten eher geringen Schaden anrichtete: es blieb einfach kein Platz für einen wirklich schadensstiftenden Anteil.
--- Einschubbox ---
Die Schäden durch SQL-Slammer gehen in die Millionen: unternehmensweite Netzwerke waren blockiert, Produktionsbänder standen still.
--- ---
Auch wenn Virenschäden wie höhere Gewalt aussehen, ganz schutzlos ist man ihnen nicht ausgesetzt. Die Gesetzeslage in Deutschland, Europa und in vielen anderen Ländern ist eindeutig: Geschäftsführung und leitende Angestellte haften gegenüber dem Unternehmen für Schäden, bei fahrlässigen Versäumnissen auch mit ihrem privaten Vermögen.
Auch wenn die Unternehmen nicht ohne Weiteres auf die begrenzten Barmittel ihrer leitenden Mitarbeiter zurückgreifen werden, Grund genug ist die persönliche Haftung allemal, die IT-Sicherheit im eigenen Hause auf den Prüfstand zu stellen.
Hilfreiche Orientierung hierzu liefert unter anderem das Gesetz für Kontrolle und Transparenz im Unternehmen, kurz KonTraG. Es fordert die Umsetzung konkreter Maßnahmen wie die vollständige Erfassung aller Risiken als Teil eines regelmäßigen Konzernlageberichts (§§ 298, 315 HGB) sowie den Aufbau eines unternehmensweiten Risikofrüherkennungs- und Überwachungssystems (§ 91 AktG und § 317 HGB).
Das IT-Sicherheitsmanagement steht somit mehr denn je vor der Herausforderung, die mit dem IT-Betrieb verbundenen Risiken rechtzeitig zu erkennen und auf ein erträgliches, d.h. für die Geschäftsleitung tragbares, Maß zu reduzieren. Denn es gilt die Goldene Regel der IT-Sicherheit:„100% Sicherheit gibt es nicht!“.
Sicher, es gibt im Alltag viele Gründe, auf Gefährdungsanalysen und externe Sicherheitsberater zu verzichten: zu wenig Zeit, zu wenig Geld, zu wenig Gehör in den Projekten. Da bleibt nur, Anti-Virensoftware einzusetzen, um sich an den Schnittstellen nach außen vor schadensstiftenden Informationsinhalten zu schützen. Dabei können diese Systeme nur sehr bedingt vor neuen Viren schützen –wie etwa SQL-Slammer.
Es ist daher erforderlich, zusätzliche Maßnahmen zu ergreifen, um die möglichen Auswirkungen von Virenangriffen systematisch zu reduzieren.
„Logische Netzwerktrennung“ ist eine der effektivsten Möglichkeiten: man schottet die einzelnen IT-Systeme dadurch voneinander ab, dass man auf Netzwerkebene nur die unbedingt erforderlichen Datenpakete zwischen ihnen passieren lässt. Pakete, die Viren zur Verbreitung verwenden können so fast immer abgefangen werden.
Diese sehr simple und verhältnismäßig preiswerte Maßnahme findet in jedem der einschlägig bekannten internationalen Maßnahmenkataloge zur IT-Sicherheit, etwa in BS7799, bzw. ISO/IEC17799 (Unterpunkt A9.4.6) oder im IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (Gefährdung G3.29 „Mangelnde Netztrennung durch Menschliches Versagen“, sowie Maßnahmen M5.61 und M5.62).
Bleibt die Frage, warum Viren so große Schäden anrichten können, wenn doch die Gefährdungen und die richtigen Maßnahmen bereits seit Jahren bekannt sind. Mangelnde Zeit und Kosten können es im Falle von SQL-Slammer nicht sein, denn die Abschottung der Server bedarf lediglich der Konfiguration der Netzwerkrouter, bzw. des Einsatzes eines Netzwerkfilters auf den Servern. Beides kostet nur Minuten an Arbeit und meist nicht einmal Lizenzgebühren. Was kostet im Vergleich eine Virenschutzsoftware pro Jahr? Rausgeschmissenes Geld ohne die richtigen, begleitenden Konzepte und Schutzmaßnahmen!
Links:
Informationen zu SQL-Slammer im Heise-Newsticker, z.B. http://www.heise.de/...
IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik: www.bsi.de/gshb
* Dr. rer nat Markus Schäffter
Geboren Dez. 1964, Dipl. Math., promoviert in Mathematischer Optimierung. Spezialist für IT-Sicherheitsmanagement, Business Impact Analysen und Sicherheitsaudits nach BS7799, ISO17799 und IT-Grundschutzhandbuch. Arbeitsschwerpunkte: Managementberatung, Review und Stärkung der IT-Sicherheitsorganisation bei Grossunternehmen und im Mittelstand.
Kontaktadresse:
Secaron AG
Sabine Ziegler
Ludwigstr. 55 85399 Hallbergmoos
Telefon 0811-9594 140 Telefax 0811-9594 220
Email: ziegler@secaron.de
www.secaron.de
