Anzeige
mindjet White Paper

Wie IT-Abteilungen von militärischen Sicherheitsstandards profitieren können

Autor/Redakteur: Gianluca de Lorenzis, CEO der FGND Group/gg

FGND_Gianluca De Lorenzis_1

Anzugträger, die in einem unterirdischen Bunker konzentriert Sicherheitscodes abgleichen, während rote Warnlichter über Computermonitore flackern und sich eine Stahltür dramatisch langsam schließt – eine solche Szenerie kennt man eher aus einem schlechten Actionstreifen der 80er-Jahre als aus der eigenen IT-Abteilung. Nur: gemessen am Bedrohungspotenzial von Malware, Datenspionage und Cyberterrorismus sollte es dort eigentlich ganz ähnlich zugehen. Denn obwohl einschlägige Studien Jahr für Jahr auf die milliardenschweren Schäden durch Cyber-Attacken hinweisen, ist in den meisten Unternehmen noch ein Verteidigungsbereitschaftszustand (Defense readiness conditions = DEFCON) der Stufe fünf (Friedenszeit) die Regel, obwohl längst eine erhöhte Einsatzbereitschaft und Mobilisierung aller Reserven (Stufe zwei) angebracht wäre.

Dafür gibt es zwei wesentliche Gründe. Erstens die immense Komplexität der existierenden Standards: Allein die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) umfassen mehrere tausend Seiten. Wer sich mindestens an den wertvollen Hinweisen des BSI-Standard 100-2 orientiert, stößt dann aber schnell auf die zweite Hürde: wo sollte man überhaupt ansetzen? Hilfe bieten inzwischen immer mehr IT-Dienstleister mit Hard- oder Softwarelösungen an, die nach Standards von Militär und Geheimdiensten geprüft sind.

Bei deren Auswahl sollten Unternehmen in erster Linie simulieren, ob die Lösung in der vorhandenen IT-Infrastruktur einsetzbar und skalierbar ist. Die Netzwerklast durch ihren Einsatz darf nicht zu hoch sein, schließlich muss der Regelbetrieb ordentlich laufen. Die wichtigsten unternehmenskritischen Applikationen sind dabei wie ein Kleinod zu schützen, etwa über eine Zuordnung von Sicherheitsstufen. Hier ist vor allem zunächst einmal genau zu definieren, welche Applikationen, Server und Mobile Devices welchen Rahmen von Schutz und Verschlüsselung benötigen. Das verhindert neue Komplexität und Einbußen in der Usability. Vor allem bei der Netzwerksicherung und der Abschottung der mobilen Kommunikation können CIOs vom militärischen Knowhow externer IT-Dienstleister profitieren.

Digitaler Panzer für das Ethernet

Der sprichwörtliche Datenfluss zwischen Unternehmensstandorten und eigenen oder externen Rechenzentren erfolgt heute fast ausschließlich über Weitverkehrsnetze (WAN) via Ethernet. Bei deren Schutz sollten vom BSI zugelassene Ethernet-Verschlüsseler zum Einsatz kommen, die auch heterogene Netzwerkstrukturen absichern. Sie sind nicht nur für Serverräume, sondern auch für den Arbeitsplatz und Fahrzeuge erhältlich. Hochleistungsverschlüsseler für Rechenzentren sollten zum Beispiel 40 GBit pro Sekunde Datendurchsatz pro Gerät leisten; bei OSI Layer 2-Verschlüsselern sind die Total Cost of Ownership (TCO) pro Gigabit ein wichtiges Auswahlkriterium. Generell sollte ein solcher Schutz den Vertraulichkeitsgrad des VS-NfD sowie NATO Restricted einhalten und keine Backdoors aufweisen, die gerade im US-Militär oftmals zum Standard gehörten. Entscheidender Dreh- und Angelpunkt für die IT-Sicherheit ist stets die Authentisierung und der Umgang damit in der Lösung: hier sollte man die Vor- und Nachteile eines zentralen Schlüsselservers, von SmartCards oder Tokens prüfen.

Smartphones mit James-Bond-Verschlüsselung

Verschlüsselungstechnologien mit militärischen Wurzeln sind auch für das Firmen-Smartphone erhältlich. Dazu wird das Telefon zum Beispiel mit einer MicroSD-Karte aufgerüstet, auf der ein Smartchip mit einem eingebautem Zufallszahlengenerator Sitzungsschlüssel erstellt. Die Karte weist sich gegenüber einem speziell gesicherten VME-VoIP-Server aus, der die Verbindung zwischen zwei Endgeräten herstellt und kontrolliert. Erst dann starten Gespräche und E-Mail-Versand. Bei der Auswahl dieser oder ähnlicher Technologien sollte man allerdings die Usability im Auge behalten; so viele Funktionen wie möglich sollten automatisiert sein, denn kryptische und oft wechselnde Buchstaben- und Ziffernkombinationen schaffen zwar Sicherheit, aber auch neue Komplexität und Ineffizienz. Bei der Datenverschlüsselung ist der mit aktuellen technischen Mitteln nicht zu brechende Algorithmus AES-256 „State of Art“.