Vermehrt Probleme bei der Sicherheit von digitalen Daten und online Anwendungen

Der neueste Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) zeigt wieder eine Reihe von Herausforderungen für die IT-Sicherheit und Informationssicherung in der Schweiz und international. Cyrill Osterwalder, Senior Vice President Web Application Security von phion, identifiziert ähnliche Probleme und zeigt auf, wie sich Firmen, Organisationen und Konsumenten besser vor Datenmissbrauch und Systemausfällen schützen können.

Die Sicherheitsexperten der Melde- und Analysestelle Informations-sicherheit (MELANI), angesiedelt beim Eidgenössischen Finanzdepartment (EFD), veröffentlichten gerade ihren aktuellen Bericht, der die Lage zur Informationssicherung im ersten Halbjahr 2008 beurteilt. Zu den ausgewählten Beispielen von Angriffen, der Kriminalität, dem Terrorismus, den Pannen und Ausfällen im Bereich der internationalen IKT-Infrastrukturen, die von MELANI für die ersten sechs Monate des Jahres 2008 aufgezeigt wurden, zählen die Beschädigungen mehrerer Internet-Seekabel im Mittelmeer sowie im Persischen Golf innerhalb weniger Tage.

Dies führte Anfang 2008 zu einer teilweise erheblichen Störung des Internets zwischen Europa, dem Nahen Osten und Indien. Cyrill Osterwalder unterstreicht erneut, wie erheblich die Geschäftstätigkeit internationaler Unternehmen von solchen und ähnlichen Vorfällen beeinträchtigt wird. Die damaligen Vorfälle machten wieder einmal deutlich wie anfällig die Internet-basierte Kommunikation für physische Beeinträchtigungen der Leitungsstruktur ist. Die technologieführende Traffic Intelligence von phion bietet dafür überzeugende Antworten. Sie ermöglicht eine gleichzeitige Kommunikation über mehrere sichere Kanäle und splittet den Verkehr je nach Quelle, Ziel und Applikation in den jeweils optimalen Kanal. Dazu bietet sie die Nutzung beliebig vieler Redundanzoptionen (Internet, MPLS, ISDN, xDSL) und sorgt für eine Optimierung der Bandbreiten je nach verfügbaren Kommunikationsmöglichkeiten. Dadurch wird sichergestellt, dass unternehmensrelevante Kommunikationsprozesse nicht mehr lahm gelegt werden können.

Weltweit nimmt auch die Zahl der Vorfälle zu, wo unsorgsamer und schon fast naiver Umgang mit Informationen und Daten selbst innerhalb des IT-Sicherheitsperimeters für grosse Probleme sorgen kann. Kürzlich erregte das Bekanntwerden des Diebstahls von 17 Millionen Daten der Nutzer von T-Mobile, der Mobilfunktochter der Deutschen Telekom, grosse Aufmerksamkeit. Cyrill Osterwalder weist darauf hin, wie sich ein Wirtschaftszweig mit klaren Richtlinien vor solchen Skandalen schützen kann. Er empfiehlt allen Branchen, die mit sensiblen Daten und Applikationen umgehen und sich als Ziel von Cyber-Attacken oder missbräuchlichem Umgang mit Daten anbieten: «Regularien und Massnahmen wie der Payment Card Industry Data Security Standard (PCI DCS) der Kreditkartenindustrie sollte der Telekommunikationsbranche, aber auch sämtlichen Anbieter im Web 2.0-Umfeld die sensible Daten verarbeiten, als Vorbild dienen.» Der PCI DCS fordert von allen Teilnehmern der Kreditkartenbranche verschiedene Vorkehrungen, die vom Betrieb einer Firewall über starke Authentifizierung und einer rein verschlüsselten Datenübertragung, bis hin zu strikten Regeln für Administratorrechten, Änderung von Passwörtern und regelmässigen, streng überwachten und sanktionierten Überprüfungen der Sicherheitssysteme und –prozesse reichen. Pannen wie jene von MELANI erwähnte Veröffentlichung eines Dokuments mit vertraulichen Informationen zum Schengener Abkommen auf der Website des Eidg. Justiz- und Polizeidepartement, EJPD dürfen einfach nicht passieren und können mit entsprechenden Lösungen auf einfache Art und Weise vermieden werden.