Mark Semmler hackt bei „Moderner Staat“
Der Mensch ist das Risiko
Ausgabe November 6|2009
IT-Sicherheit zwischen Verfolgungswahn und Fahrlässigkeit: Interview mit Profi-Hacker und IT-Experte Mark Semmler, der im Rahmen der Kongress-Messe „Moderner Staat“ die Gefahren für die IT-Infrastruktur in den Behörden live demonstriert.
Live und unzensiert präsentiert „Moderner Staat“ das Thema IT-Sicherheit in besonderer Weise. Der Profi-Hacker und Experte für IT-Forensic Mark Semmler zeigt in Berlin anhand von Live-Demonstrationen, welchen aktuellen Angriffen und Gefahren die IT-Infrastrukturen von Behörden ausgesetzt sind.
IT-Systeme werden nicht nur zunehmend komplexer, auch die Gefahren von Angriffen auf die elektronischen Infrastrukturen steigen an. Welche aktuellen Angriffe drohen? Wie sehen die effektivsten Sicherheitsmaßnahmen aus? Im Kongressprogramm von „Moderner Staat“ hinterfragt Mark Semmler die Antworten des Gesetzgebers kritisch und zeigt Lösungsmöglichkeiten auf.
Herr Semmler, wie reagieren Ihre Zuschauer, wenn Sie vor deren Augen ihre IT-Systeme knacken?
Die Reaktionen sind ganz unterschiedlich. Ungläubiges Staunen („Ich hatte ja schon immer mal etwas darüber gehört – aber dass es so einfach ist, habe ich nicht erwartet.“), echte Betroffenheit („Das gibt es doch gar nicht!“) bis zu mittelschweren Panik-Attacken („Moment, ich muss mal mit meinem Administrator telefonieren – das System haben wir nämlich auch!“).
Der aktuelle Lagebericht des BSI zur IT-Sicherheit belegt, dass es ein unverändert hohes Bedrohungsniveau gibt. Wie genau ist es derzeit um die Sicherheit in den IT-Infrastrukturen von Behörden bestellt?
Die Situation muss man differenziert betrachten – pauschale Antworten sind aufgrund der Vielfalt, die sich hinter dem Begriff „die Behörden“ verbirgt, nicht möglich: Es gibt Behörden, die ihre IT-Infrastruktur im Griff haben. Diese gehören aber, auf die Masse heruntergebrochen, leider einer absoluten Minderheit an. Bei den meisten Behörden, egal auf welcher Ebene, wird die Informationssicherheit nach unserer Erfahrung mit Füßen getreten oder bestenfalls als notwendiges Übel angesehen. Wir haben nicht wenige Behörden gesehen, darunter auch BOS (Behörden und Organisationen mit Sicherheitsaufgaben), bei denen Informationssicherheit ein reines Lippenbekenntnis ist.
Wo lauern die größten Gefahren und wo sind die größten Schwachstellen?
Auch hier ist eine generelle Aussage schwierig bis unmöglich, weil jede Behörde, abhängig von ihren Mitarbeitern, ihrer Struktur und ihren Aufgaben, ganz eigenen Gefährdungen ausgesetzt ist. Technisch gesehen liegen die größten Gefährdungen im ungeschützten Datenaustausch mit einer Vielzahl von unbekannten Teilnehmern. Die größte Gefahr stellt dabei aber nicht die Informationstechnologie selbst, sondern vor allem der unkritische und planlose Umgang mit ihr dar. Das beginnt mit dem Herunterladen und Ausführen jedes als „nützlich“ oder „lustig“ angepriesenen Programms durch die Benutzer und endet mit dem Transport von vertraulichen Daten auf USB-Sticks oder unverschlüsselten Laptops. Der Mensch ist der Risikofaktor Nr. 1 – und das wird bei aktuellen Bestrebungen zur Verbesserung der Informationssicherheit in aller Regel ignoriert.
Können Sie Beispiele nennen, bei denen Angriffe erheblichen Schaden angerichtet haben?
Aus unserer Praxis könnte ich natürlich ganz konkrete Beispiele nennen – ich werde dies aber nicht tun. Meine Firma sichert jedem Kunden Vertraulichkeit zu, und daran halten wir uns. Wenn man aber die Presse aufmerksam liest, dann kann man einen guten Eindruck gewinnen, was und wie viel in Sachen Informationssicherheit schief läuft. Die hochgefährliche Schadsoftware „Conficker“ hat sich zum Beispiel in vielen Behörden Anfang dieses Jahres rasant verbreitet und existiert selbst heute noch in nicht wenigen Behörden.
Geld für die Aufrüstung der IT-Sicherheit in den Behörden steht im Rahmen des zweiten Konjunkturpakets zur Verfügung. Wie sollte das Geld am sinnvollsten angelegt werden?
Dazu kann ich nichts sagen, da ich die Bedürfnisse der einzelnen Behörden nicht kenne. Eine generelle Empfehlung: Eine IT-Infrastruktur sollte immer darauf ausgerichtet werden, dass sie einfach, einheitlich und kostengünstig betrieben werden kann. Die größten Kosten entstehen beim Betrieb der Infrastruktur und nicht bei ihrer Anschaffung. Um den Bogen zur Informationssicherheit zu spannen: Einfache und übersichtliche Strukturen lassen sich auch sicherer betreiben. Informationssicherheit ist nicht gleichbedeutend mit hohen Investitionen in Hard- und Software, vielmehr kann man vielen Gefährdungen durch kostengünstige oder sogar kostenneutrale Maßnahmen wirkungsvoll begegnen. Wichtig ist dabei, dass einigermaßen strukturiert vorgegangen wird. Und das beginnt mit einer Analyse (Wovor habe ich Angst, wovor möchte ich mich schützen?), erstreckt sich über saubere Vorgaben für die Benutzer eines Netzwerks (Was ist verboten, was ist erlaubt?) und endet bei einer regelmäßigen Überprüfung der Sicherheitsmaßnahmen.
„Moderner Staat 2009“
• 13. Fachmesse und Kongress
• Strategie und Best Practice für IT, Personal und Finanzen
Messegelände Berlin
„Moderner Staat“ ist seit 13 Jahren Treffpunkt für die Entscheidungsträger des Public Sector. Hier treffen sich Fach- und Führungskräfte von Bund, Ländern und Kommunen aus ganz Deutschland: über 3600 Vertreter der ersten und zweiten Führungsebene.
Mehr als 200 Aussteller präsentieren innovative Produkte und Dienstleistungen für die Verwaltungsmodernisierung.
Die Kongresspartner präsentieren die neuesten Entwicklungen und zukunftsweisende Strategien für den Public Sector unter anderem zu den Themen:
• IT/E-Government
• Personalverwaltung, Personalgewinnung und -software,
• IT-Sicherheit,
• Dokumentenmanagement sowie
• E-Procurement
Vorschau
Die nächste Ausgabe erscheint am 31. Mai mit den Themen:
• Green Office: Alles Standard?
• Individuelle Werbeartikel +
Sonderanfertigungen
• Schreibgeräte-Trends
• Rund ums Kleben + Korrigieren
Link-Tipps
checkyourpaper.panda.org
deutsches-netzwerk-buero.de
power-kom.de
buero-forum.de
beschaffung-info.de
pbs-business.de
kompass-nachhaltigkeit.de
ProduktwegweiserBlauerEngel
einkauf-lexikon.de
Paperworld Procurement
In Kooperation mit C.ebra - ausführliche Infos hier.
