ICT & Technik

Informations- und Kommunikationstechnologie

Betrachtung der aktuellen Trends in der Schweizer ICT-Landschaft

Lukas Ruf 01.08.2010
Die Schweizer Information and Communication Technology (ICT), zu Deutsch: Informations- und Kommunikationstechnologie (IKT), bewegt sich nach Zeiten der Unsicherheit wieder. Vor allem, wenn es um die Verbesserung von Prozessen geht. Oft geht eine Verbesserung der Sicherheit einher, wenn Projekte mit neuen Technologien und Möglichkeiten angegangen werden.
PDF Kaufen

Ohne eine zuverlässig funktionierende ICT-Infrastruktur steht heute nahezu jeder Betrieb still. Die Durchdringung der elektronischen Datenverarbeitung (EDV), kombiniert mit den modernen Kommunikationsmöglichkeiten, erfordern eine nahezu ununterbrochene Verfügbarkeit. Daten müssen sowohl während der Verarbeitung als auch zur Nachvollziehbarkeit über Jahre vor Modifikationen geschützt sein, und Einsicht in die Daten darf nur Berechtigten gewährt werden. Diese klassischen Anforderungen der ICT-Sicherheit widerspiegeln sich ständig stärker in neuen Produkten und Lösungen, in den Auflagen und internen wie externen Regulatorien.

Kritische Betrachtung

Bei der Betrachtung der aktuellen Trends in der Schweizer ICT-Welt stellt sich die Frage, wie sich die einzelnen Entwicklungen verhalten, wenn es gilt, die Anforderungen befriedigen zu müssen und gleichzeitig Optimierungen und Verbesserungen in den Geschäftsprozessen erzielen zu wollen. Viele Entwicklungen fussen auf den Verbesserungen der Technologie und den sich daraus ergebenden Möglichkeiten für eine vereinfachte und effizientere Integration. Doch sind die Entwicklungen einfach unbesehen einzusetzen?

Cloud Computing

Durch die starke Verbreitung des Internets und einhergehender Durchdringung aller Geschäftsbereiche werden verschiedene Optimierungsmöglichkeiten realistisch, die zuvor für KMU undenkbar gewesen waren. Insbesondere in der Schweiz, wo sogar schon bei Privatpersonen der Datendurchsatz und die Zuverlässigkeit der Internetanbindung ein Online-Remote-Arbeiten ohne Weiteres erlauben, wird die Anbindung von ausgelagerten Rechenzentren auch für KMU Realität, ohne dass Einbussen im Arbeitsablauf hingenommen werden müssen. Durch das sogenannte Cloud Computing trägt die ICT-Industrie dieser Entwicklung Rechnung und bietet entsprechende Lösungen für Standardanwendungen und die Datenspeicherung an. Methoden und Mechanismen der Server-Virtualisierung, kombiniert mit äusserst effizienten Prozessen, erlauben dabei den Anbietern, Rechenleistung nahezu nach Bedarf zur Verfügung zu stellen, indem einzelne Geräte im Cluster-Verbund mit vielen virtuellen Maschinen überbucht werden. Dies ist möglich, da üblicherweise nicht alle Maschinen immer vollständig ausgelastet sind.

Nicht ohne Risiken

Folgen Firmen dem Trend des Outsourcings durch Cloud Computing, gilt es jedoch, verschiedene Aspekte zu berücksichtigen: Zu­vorderst steht die unmittelbare Abgabe der Kontrolle über Daten und Informationen, da üblicherweise eine andere rechtliche Einheit Wartung und Betrieb vornimmt. Neben der offensichtlichen Ausweitung der Möglichkeit einer unberechtigten Dateneinsicht sind der Verlust der Daten ebenso wie Einzelfehler in den verarbeiteten und gespeicherten Daten nicht von der Hand zu weisen. Liegen vertrauliche Daten wie beispielsweise Forschungsresultate oder Strategiedokumente vor, ist abzuklären, welche Daten herausgegeben werden dürfen und welche nicht. Die Möglichkeit des Datenverlusts gibt es auch im Bereich des Cloud Computing, wenngleich die Anbieter dies nur im Kleingedruckten ausweisen. Sie ist aber real und sollte bei der Planung berücksichtigt werden. Als Beispiel kann die Kaskade von Einzelschäden aufgeführt werden, die 2009 bei SideKick zu Datenverlust im grösseren Rahmen geführt hat. Glücklich waren die Firmen, die in jener Situation eigene Datenbackups vorliegen hatten.

Schwachstellen

Anderseits weist das Design der Lösung sowohl hinsichtlich der Implementation als auch der Sicherheit generell unakzeptable Schwachstellen auf:

  • Erlaubt sind nur äusserst schwache Passworte; numerische PIN mit einer Länge von sechs bis zwölf Stellen sind heutzutage keine Herausforderung mehr.
  • Die vorliegenden Treiber erfordern, dass der Benutzer mit lokalen Administratorenrechten im Internet surft, wodurch ein Computer bei einer Verwundbarkeit des Web-Browser vollständig exponiert ist. Häufig sind zudem die Administratorenrechte aus Gründen der Firmen-Policy gar nicht erlaubt. Tests haben gezeigt, dass nach einem Neustart des Computers ein Surfen ohne Administratorenrechte möglich wird – darauf wird der Benutzer jedoch nicht hingewiesen.
  • Die Eingabe des Passworts erfolgt auf der normalen Tastatur und nicht über ein sogenanntes Klasse-2-Lesegerät, das extern und unabhängig von einem potenziell mit Viren und Trojanern verseuchten Computer funktioniert.

Während die ersten beiden Punkte in kommenden Versionen adressiert werden, ist insbesondere der letzte Punkt kritisch: Wird die SuisseID zum Erfolg und gleichzeitig auch für relevante Transaktionen wie beispielsweise Abstimmungen oder Finanzgeschäfte und damit auf breitere Ebene eingesetzt, so wird sie zu einem lohnenswerten Ziel für professionelle Angreifer aus der organisierten Cyber-Unterwelt.

Den Benutzern, insbesondere den Heimbenutzern, wird eine falsche Sicherheit vorgegaukelt. Professionelle Angreifer aus der organisierten Cyber-Unterwelt haben unlängst demonstriert, dass selbst staatliche Computer vor spezifisch für einen Angriff vorbereitete Viren und Trojanern mehr sicher sind. Mit Viren und Trojanern können, insbesondere wenn der Zugriff auf ein www.suisseid.ch-Zertifikat nur mit Administratoren-Rechten erfolgt, sehr einfach Progrämmchen installiert werden, welche Tastendrücke als sogenannte Keylogger abhorchen, speichern und Dritten zustellen.

Integrale Abhilfe

Gegen die zunehmende Professionalisierung des Cybercrimes reagiert die Schweiz ebenso wie Schweizer Unternehmen und die Technologielieferanten: Initiativen des Bundes zielen gegen Angriffe im Cyberspace und verbessern so die Landesverteidigung auch im neuen, digitalen Raum. Schweizer Unternehmen profitieren von neuen Mechanismen der Techno­logielieferanten, ebenso wie letztere Sicherheitslösungen als gewöhnliches Gut in ihre Produkte einbauen. Zu Hilfe kommt hierbei auch die gute Ausbildung an Schweizer Hochschulen und Universitäten wie auch die Sensibilisierung an Schulen der Unter- und Mittelstufe. Somit verliert die ICT-Sicherheit zwar ihren Nimbus und wird zusehends zu einem essenziellen Allgemeingut, ohne das ein Betrieb der modernen Infrastruktur, der Prozesse und gar des Lebensstils nicht mehr möglich ist. Sie zu meistern, bleibt aber eine Herausforderung, wenn es gilt, neue Technologien und Entwicklungen frühzeitig miteinzubeziehen.

Porträt

Dr. Lukas Ruf (Autor)

Inhaber und Geschäftsführer Consecom AG

Dr. Lukas Ruf ist Inhaber und Geschäftsführer der Consecom AG. Das Unternehmen unterstützt Firmen bei Fragen zur ICT-Sicherheit. Der Autor studierte an der ETH Zürich Electrical Engineering und doktorierte später auch an der ETH Zürich. Er verfügt über breite Forschungs-, Entwicklungs- und Praxiserfahrung in verschiedensten Branchen und hat sich auf ein breites Spektrum an Security-Anwendungen für Unternehmen und öffentliche Verwaltung spezialisiert. Seit März dieses Jahres ist Lukas Ruf Vorstandsmitglied der Information Security Society Switzerland (ISSS).

Kontakt

lukas.ruf(at)consecom.com www.consecom.com