Für manche Branchen gelten in der IT besonders hohe Sicherheitsanforderungen. Dazu zählen vor allem die Versicherer. Hier werden extrem sensible Daten verarbeitet. Geraten diese Informationen in die falschen Hände, können hohe monetäre Schäden entstehen. So stellt zum Beispiel die eCrime-Studie 2010 von KMPG fest: "Die Schadenshöhen rangieren zwischen 100 000 Euro und Millionenbeträgen pro Einzelfall. Vor allem Datendiebstahl und das Ausspähen von geschäftskritischen Unternehmensinformationen verursachen Schäden von über einer Million Euro pro Vorfall." Noch schwerwiegender ist jedoch der damit einhergehende Vertrauensverlust bei den Kunden. Auch wenn man dem Konzept der "Return on Security Investment" (RoSI) skeptisch gegenüber steht: Die potentiellen Schäden rechtfertigen gezielte Investitionen in die IT-Sicherheit allemal.

Die Ausgangssituation

Diese Ansicht vertritt auch das Management der LVM in Münster. Die Versicherung verfolgt die Strategie, wo es sinnvoll ist, Open-Source-Lösungen einzusetzen. An den Standardarbeitsplätzen kommt schon seit Jahren Linux als Betriebssystem zum Einsatz. Aktuell setzt LVM das LTS-Release (Long Term Support) Ubuntu 10.04 von Canonical ein. Rund 10 000 Systeme betreibt die Versicherung damit. Die Benutzerverwaltung basiert auf dem offenen Standard LDAP. Hier nutzt die LVM den IBM Tivoli Directory Server.

Schon seit 2002 melden sich die Anwender an den Linux-Clients mit Hilfe einer Smart Card an. Dieses sichere Verfahren zur Benutzerauthentisierung sollte auf Wunsch der Sicherheitsbeauftragten, der internen Revision und nicht zuletzt des Vorstands auf die parallel betriebene Windows-Welt ausgeweitet werden.

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

Windows in vielen Sonderfällen

Daniel Timmerhindrick, im Bereich DV-Infrastruktur der LVM für die Sicherheit der Anwendungssysteme verantwortlich, erläutert: "Neben den Linux-Clients betreiben wir ungefähr 1000 Windows-Arbeitsplätze, aktuell noch mit Windows XP. " Unter anderem werde Windows häufig von Spezialisten genutzt.

In dieser Windows-Umgebung geschah die Authentisierung gegen ein Active Directory, die Benutzer meldeten sich bislang mit Benutzernamen und Passwort an ihren Rechnern an. Sicherheitstechnisch entsprachen diese Rechner damit nicht mehr dem Schutzbedürfnis der LVM.

Die bestehende Smart-Card-Lösung einfach auf die Windows-Welt zu übertragen wurde bereits in der ersten Projektplanung im Februar 2010 verworfen. "Eine Integration von nativen Windows-Smart-Cards wäre in unserer Infrastruktur recht aufwändig gewesen", führt Timmerhindrick aus: "Da Windows bei uns eben nur auf Arbeitsplätzen von Spezialisten eingesetzt wird, sind wir in dem Bereich nicht so breit aufgestellt wie im Linux-Umfeld."

Die LVM wollte die vorhandenen Prozesse möglichst unverändert lassen und auch die Windows-Systeme möglichst wenig anrühren. Die Smart Cards der Windows-Benutzer sollten nicht über das Active Directory, sondern über Linux mittels der bestehenden internen Public Key Infrastructure (PKI) ausgestellt werden. Zudem war gefordert, dass die bestehenden Smart Cards weiter eingesetzt werden könnten, denn sie dienen gleichzeitig als Zugangs- und Zahlkarte für alle Mitarbeiter.

Die Lösung fand die LVM beim Wiener Software-Haus Comtarsia IT-Services GmbH. Dessen Angebot versprach, den Bedarf der LVM mit geringem Anpassungsaufwand abzudecken.

Middleware statt Anpassung

Im Wesentlichen besteht die Lösung aus vier Komponenten:

1. Ein Client nimmt die Anmeldung des Benutzers am Arbeitsplatz entgegen.

2. Über eine Middleware kommuniziert der Logon-Client mit der Smart Card, die das Zertifikat enthält.

3. Der Client errechnet ein Session-Passwort und übergibt es zusammen mit dem Zertifikat an einen Proxy-Server, der es anhand der im LDAP hinterlegten Daten verifiziert und über Certificate Mapping den Benutzernamen ermittelt.

4. Im letzten Schritt setzt ein Agent das temporäre Passwort in Beziehung zu dem Benutzer im Active Directory. Der Client schließt die Anmeldung an der Windows-Domain ab. Es sind keine Anpassungen am Active Directory notwendig.

Die orhandenen Smart Cards der Linux-Welt basieren auf Starcos (Smart Card Chip Operating System). Ein Umstieg auf JCOP (Java Card Open Platform) sollte in der Lösung berücksichtigt werden. Daneben war es der Versicherung wichtig, dass die Lösung sowohl mit Windows XP als auch mit Windows 7 reibungslos arbeitet, da der Umstieg bereits beschlossen ist.

Erfolgreiche Testinstallation

Für die Pilotphase wählten die Verantwortlichen einzelne Benutzer aus allen Fachbereichen aus. So konnte sichergestellt werden, dass die Rückmeldungen repräsentativ für das gesamte Unternehmen waren. Als Kartenleser kamen dieselben Geräte zum Einsatz, die sich bereits in der Linux-Umgebung bewährt hatten. Die notwendigen Windows-Treiber konnten frühzeitig ausgerollt werden.

Während der Pilotphase zeigte sich, dass an einigen Stellen noch funktionale Erweiterungen notwendig waren. So sieht der Prozess der LVM zum Beispiel vor, dass die Benutzer eine Erinnerung erhalten, wenn ihr Zertifikat bald abläuft. Nachdem alle notwendigen Anpassungen vorgenommen waren, begann die Roll-Out-Phase.

Bitkom, Branchenverband der ITK-Branche
Cloud-Security-Aktivitäten: Cloud-Computing-Leitfaden; IT-Sicherheit und Datenschutz / Relevanz: 3 von 5 Punkten

BSI
Cloud-Security-Aktivitäten: BSI-ESCC (Eckpunktepapier Sicherheitsempfehlungen für Cloud-Computing-Anbieter); IT-Grundschutz-Katalog / Relevanz: 4 von 5 Punkten

CSA, Organisation für Sicherheit im Cloud Computing
Cloud-Security-Aktivitäten: Katalog zu den Sicherheitsbedrohungen im Cloud Computing; Sicherheitsleitfaden für kritische Handlungsfelder in der Cloud; CTP (Cloud Trust Protocol); CSA Security, Trust & Assurance Registry (STAR); Certificate of Cloud Security Knowledge (CCSK); Cloud Trust Protocol (CTP) / Relevanz: 5 von 5 Punkten

ENISA (Europäische Agentur für Netz- und Informationssicherheit)
Cloud-Security-Aktivitäten: Leitfaden zur Informationssicherheit im Cloud Computing; Sicherheit und Zuverlässigkeit in öffentlichen Clouds / Relevanz: 4 von 5 Punkten

EuroCloud Deutschland_eco, europäisches Cloud-Computing- Business-Netzwerk
Cloud-Security-Aktivitäten: Leitfaden Recht, Datenschutz und Compliance; EuroCloud-SA (EuroCloud Star Audit): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten

Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie)
Cloud-Security-Aktivitäten: Studie zur Cloud-Computing-Sicherheit / Relevanz: 4 von 5 Punkten

NIST (National Institute of Standards and Technology), US-Behörde
Cloud-Security-Aktivitäten: NIST-UC (Cloud Computing Use Cases); SCAP (Security Content Automation Protocol) / Relevanz: 2 von 5 Punkten

Cloud Software Program, Initiative des finnischen Strategie-Centers für Wissenschaft, Technologie und Innovation (20 Unternehmen und acht Forschungsinstitute)
Cloud-Security-Aktivitäten: Schutzmaßnahmen und Sicherheitskonzepte für die finnische Softwareindustrie; Best Practices im Cloud Computing / Relevanz: 3 von 5 Punkten

Secure by Design, Initiative der IBM
Cloud-Security-Aktivitäten: Secure Engineering Framework, eine Anleitung und Checklisten für Softwareentwickler, das Management und die Sicherheitsverantwortlichen / Relevanz: 2 von 5 Punkten

Security Working Group (USA), Federal Cloud Computing Initiative (FCCI)
Cloud-Security-Aktivitäten: Prozesse und Handlungsempfehlungen für den öffentlichen Sektor / Relevanz: 2 von 5 Punkten

ISACA, Berufsverband mit mehr als 95.000 praxisorientierten Information-Systems-(IS-)Fachleuten aus mehr als 160 Ländern
Cloud-Security-Aktivitäten: Praxis-Leitfaden zur Informationssicherheit; Vorträge zu Cloud-Sicherheit / Relevanz: 4 von 5 Punkten

AICPA (American Institute of Certified Public Accountants) mit über 350.000 Mitgliedern in 128 Ländern
Cloud-Security-Aktivitäten: SSAE 16 (Statement on Standards for Attes-tation Engagements No. 16): Zertifikat für Anbieter von Cloud-Diensten / Relevanz: 4 von 5 Punkten

NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.)
Cloud-Security-Aktivitäten: Konzepte für den Schutz vor Angriffen aus dem Datennetz / Relevanz: 3 von 5 Punkten

Trusted Cloud, Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi)
Cloud-Security-Aktivitäten: Cloud-Sicherheit und Interoperabilität; Förderprojekte / Relevanz: 5 von 5 Punkten

Know-how von allen Seiten

Blieb die Frage, wie die Kartenleser an die Windows-User verteilt werden sollten. Turnschuh-Administration im klassischen Sinn wollte die LVM-IT vermeiden. Hierbei kam dem Projektteam zu Gute, dass die IT der LVM in drei Abteilungen gegliedert ist: Während Server, Netze und dergleichen vom Bereich "DV-Infrastruktur" verantwortet werden, kümmert sich die "DV-Organisation" um die Anwendungsentwicklung im Haus; der RZ-Betrieb steht unter der Obhut von "DV-Service". Für die Verteilung der Kartenleser warfen alle IT-Bereiche ihr Know-how aus vergangenen Roll-outs in die Waagschale und erarbeiteten ein Verfahren, das es ermöglichte, den Zeitplan zu halten.

Austausch am Infostand

Im Foyer wurde ein Infostand aufgebaut, an dem die Mitarbeiter sich den Kartenleser abholen konnten. Dazu erhielten die Nutzer einen Flyer, in dem Installation und Handhabung genau erklärt wurden.

Eine weitere Herausforderung war sehr profaner Natur, wie Timmerhindrick erläutert: "Der Smart-Card-Chip der Windows-User auf den Mitarbeiterausweisen war zuvor nie im Einsatz. Zugangs- und Bezahlfunktionen sind mit RFID auf den Karten integriert. Wir wussten also nicht, ob eine Karte schon einmal in der Vergangenheit personalisiert worden war und ob in diesem Fall der betreffende Mitarbeiter seine PIN noch im Kopf hatte."

Anstatt allen Mitarbeitern einen Besuch am Schreibtisch abzustatten, nutzte die IT-Abteilung auch hierfür Infostände. Dort wurden die Smart Cards überprüft und bei Bedarf ausgetauscht. "Die Austauschquote war niedriger als zunächst befürchtet, vielleicht zehn bis 15 Prozent der Karten mussten erneuert werden", so Timmerhindrick.

Bereits acht Monate nach der ersten Planung konnte die neue Authentisierungslösung für die Windows-Clients in den produktiven Betrieb übernommen werden. Der Return on Investment spielt dabei aus Sicht der LVM keine Rolle. "Bei Security-Projekten ist dieser immer sehr schwer zu beziffern", so Timmerhindrick. "Da Windows oft von unseren Führungskräften genutzt wird, war die zusätzliche Sicherheit einfach notwendig." (qua)