DEFCON 2 für Unternehmens-IT: Profitieren von militärischen Sicherheitsstandards

Anzugträger, die in einem unterirdischen Bunker konzentriert Sicherheitscodes abgleichen, während rote Warnlichter über Computermonitore flackern und sich eine Stahltür dramatisch langsam schließt – eine solche Szenerie kennt man eher aus einem schlechten Actionstreifen der 80er-Jahre als aus der eigenen IT-Abteilung. Nur: gemessen am Bedrohungspotenzial von Malware, Datenspionage und Cyberterrorismus sollte es dort eigentlich ganz ähnlich zugehen. Denn obwohl einschlägige Studien Jahr für Jahr auf die milliardenschweren Schäden durch Cyber-Attacken hinweisen, ist in den meisten Unternehmen noch ein Verteidigungsbereitschaftszustand (Defense readiness conditions = DEFCON) der Stufe 5 (Friedenszeit) die Regel, obwohl längst eine erhöhte Einsatzbereitschaft und Mobilisierung aller Reserven (Stufe 2) angebracht wäre. [...]

Dafür gibt es zwei wesentliche Gründe. Erstens die immense Komplexität der existierenden Standards: Allein die IT-Grundschutz-Kataloge des deutschen BSI (Bundesamt für Sicherheit in der Informationstechnik) umfassen mehrere tausend Seiten. Wer sich mindestens an den wertvollen Hinweisen des BSI-Standard 100-2 orientiert, stößt dann aber schnell auf die zweite Hürde: wo sollte man überhaupt ansetzen? Hilfe bieten inzwischen immer mehr IT-Dienstleister mit Hard- oder Softwarelösungen an, die nach Standards von Militär und Geheimdiensten geprüft sind.

Bei deren Auswahl sollten Unternehmen in erster Linie simulieren, ob die Lösung in der vorhandenen IT-Infrastruktur einsetzbar und skalierbar ist. Die Netzwerklast durch ihren Einsatz darf nicht zu hoch sein, schließlich muss der Regelbetrieb ordentlich laufen. Die wichtigsten unternehmenskritischen Applikationen sind dabei wie ein Kleinod zu schützen, etwa über eine Zuordnung von Sicherheitsstufen. Hier ist vor allem zunächst einmal genau zu definieren, welche Applikationen, Server und Mobile Devices welchen Rahmen von Schutz und Verschlüsselung benötigen. Das verhindert neue Komplexität und Einbußen in der Usability. Vor allem bei der Netzwerksicherung und der Abschottung der mobilen Kommunikation können CIOs vom militärischen Knowhow externer IT-Dienstleister profitieren.

DIGITALER PANZER FÜR DAS ETHERNET

Der sprichwörtliche Datenfluss zwischen Unternehmensstandorten und eigenen oder externen Rechenzentren erfolgt heute fast ausschließlich über Weitverkehrsnetze (WAN) via Ethernet. Bei deren Schutz sollten vom BSI zugelassene Ethernet-Verschlüsseler zum Einsatz kommen, die auch heterogene Netzwerkstrukturen absichern. Sie sind nicht nur für Serverräume, sondern auch für den Arbeitsplatz und Fahrzeugen erhältlich.

Hochleistungsverschlüsseler für Rechenzentren sollten zum Beispiel 40 Gbit/s Datendurchsatz pro Gerät leisten; bei OSI Layer 2-Verschlüsselern sind die Total Cost of Ownership (TCO) pro Gigabit ein wichtiges Auswahlkriterium. Generell sollte ein solcher Schutz den Vertraulichkeitsgrad des VS-NfD sowie NATO Restricted einhalten und keine Backdoors aufweisen, die gerade im US-Militär oftmals zum Standard gehörten. Entscheidender Dreh- und Angelpunkt für die IT-Sicherheit ist stets die Authentisierung und der Umgang damit in der Lösung: hier sollte man die Vor- und Nachteile eines zentralen Schlüsselservers, von SmartCards oder Tokens prüfen.

SMARTPHONE MIT JAMES-BOND-VERSCHLÜSSELUNG

Verschlüsselungstechnologien mit militärischen Wurzeln sind auch für das Firmen-Smartphone erhältlich. Dazu wird das Telefon zum Beispiel mit einer MicroSD-Karte aufgerüstet, auf der ein Smartchip Sitzungsschlüssel mit eingebautem Zufallszahlengenerator erstellt. Die Karte weist sich gegenüber einem speziell gesicherten VME-VoIP-Server aus, der die Verbindung zwischen zwei Endgeräten herstellt und kontrolliert. Erst dann starten Gespräche und E-Mail-Versand. Bei der Auswahl dieser oder ähnlicher Technologien sollte man allerdings die Usability im Auge behalten; so viele Funktionen wie möglich sollten automatisiert sein, denn kryptische und oft wechselnde Buchstaben- und Ziffernkombinationen schaffen zwar Sicherheit, aber auch neue Komplexität und Ineffizienz. Bei der Datenverschlüsselung ist der mit aktuellen technischen Mitteln nicht zu brechende Algorithmus AES-256 „state of art“.

* Gianluca De Lorenzis ist CEO der FGND Group.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*