Business-Software: Der Schutzzaun bekommt Löcher

Früher war die Welt noch in Ordnung. Die klassische Business-Software war "fat" auf den Clients installiert und an die entsprechenden Server angebunden. Alles spielte sich im Intranet ab. Da die Administratoren wussten, welcher Client zugriffsberechtigt war, konnten sie ihre Back-end-Systeme durch Firewalls wirksam von der restlichen Infrastruktur abschotten. Natürlich hatte auch diese Architektur Schwachstellen, beispielsweise durch mangelndes Rollen- und Rechte-Management oder direkte Datenbankzugriffe unter Umgehung des Client-GUI.

Diese Risiken waren jedoch begrenzt, da es sich um die eigenen Mitarbeiter und die bekannten Client-Rechner innerhalb einer kontrollierten Netzinfrastruktur handelte. Mit anderen Worten: Die Schafe - also die Anwendungen - waren gesichert. Die Weide - also die Infrastruktur - war mit einem Zaun geschützt. Im schlimmsten Fall missbrauchte ein falscher Hirte seine Zugriffsrechte, oder jemand vergaß, das Gatter abzuschließen.

Fokus verlagert sich auf Usability

Das Aufkommen von Web-Techniken riss erste Lücken in diesen Zaun: Um die Betriebskosten der bestehenden Client-Server- Infrastruktur zu verringern, stellten viele IT-Verantwortliche ihre Business-Software teilweise oder vollständig auf Web um. Dabei lag der Fokus meist auf der Usability des Frontends. Eine möglichst einfache Nutzung über einen Web-Browser als Ersatz für den Fat Client war die treibende Kraft in der Softwareentwicklung. Eventuelle unberechtigte Zugriffsmöglichkeiten auf das Frontend wurden meist nicht geprüft, da die Umstellung auf Web-Technik noch immer im geschützten Raum des kontrollierten Intranets stattfand.

Der aktuelle Trend zur Mobilität in Kombination mit einer möglichst unkomplizierten Anbindung von internen und externen Partnern löst nun allerdings die Web-Architektur endgültig aus dem geschützten Raum des Intranets. Viele Unternehmen versprechen sich - durchaus zurecht - Effizienzgewinne durch die Einbindung von Smartphones und Tablets. Das funktioniert heute immer häufiger über das Internet und nicht mehr über das Intranet. Die im Unternehmen eingesetzten Softwaresysteme agieren demnach quasi in aller Öffentlichkeit. Die Spannweite erstreckt sich von einer Verlagerung der Web-Frontends in eine kontrollierte entmilitarisierte Zone der eigenen Firewall-Infrastruktur bis zur kompletten Systemmigration zu einem externen Cloud-Service-Anbieter.

Wie sich IT-Sicherheit und Cloud Security unterscheiden
Datenverluste und das Kompromittieren von unternehmenskritischen Informationen sind in traditionellen IT-Infrastrukturen und Cloud-Computing-Umgebungen auf unterschiedliche Faktoren zurückzuführen, so die IT-Firmen Symantec und Intel. In Unternehmensnetzen sind dafür drei Faktoren verantwortlich:

Wohlmeinende Mitarbeiter:
Sie verzichten fahrlässig auf das Verschlüsseln von wichtigen Daten oder nehmen Geschäftsinformationen auf USB-Sticks oder privaten Mobilgeräten mit nach Hause. Weitere potenzielle Gefahren durch solche Mitarbeiter: der Verlust von Mobilsystemen wie Notebooks oder die Weitergabe von Account-Daten an Kollegen.

Böswillige Mitarbeiter:
Sie verschaffen sich gezielt Zugang zu Geschäftsdaten, um diese zu verkaufen oder für persönliche Zwecke zu missbrauchen. Ein typisches Beispiel: Ein Mitarbeiter kopiert vor dem Wechsel zu einem Konkurrenten Kundendaten, Preislisten oder Projektunterlagen.

Cyber-Kriminelle:
Sie verschaffen sich meist über ungenügend abgesicherte Endgeräte wie PCs, Notebooks und Smartphones Zugang zum Firmennetz und kopieren verwertbare Informationen.

Spezielle Risiken für Cloud Security:
In Cloud-Computing-Umgebungen kommen zu den genannten potenziellen Risiken weitere hinzu. Dazu zählt die Nutzung von Cloud-Services ohne Wissen der IT-Abteilung. Dies können Online-Storage-Dienste wie Dropbox sein, aber auch CRM-Angebote wie Salesforce. Das „Aussperren“ der IT-Fachleute torpediert eine unternehmensweite IT- und Cloud-Security- Strategie.

Spezielle Risiken für Cloud Security:
Ein weiterer Faktor ist das verteilte Speichern unternehmenskritischer Daten: Sie lagern teilweise auf IT-Systemen im Unternehmensnetz, teils auf denen des Cloud-Computing-Service- Providers. Dies erschwert es, den Zugriff auf diese Informationen zu reglementieren und ihren Schutz sicherzustellen.

Spezielle Risiken für Cloud Security:
Ein dritter Punkt: Cyber-Kriminellen und „böswilligen Insidern“ stehen mehr Angriffspunkte zur Verfügung: das Unternehmensnetz, die Cloud-Computing-Umgebung des Providers und die Kommunikationswege zwischen Kunde und Cloud-Service-Provider.

Neue Risiken durch Web-Frontend

Die Web-Frontends sind nun öffentlich und permanent verfügbar, was ganz neue Risiken für die Software mit sich bringt: Ein Angriff auf diese Systeme ist jetzt nicht mehr ausschließlich einem Mitarbeiter im internen Netz möglich, sondern designbedingt jedem Internet-Teilnehmer - vom "Script-Kiddie" über versierte Hacker bis zu Industriespionage durch Geschäftspartner oder professionelle Organisationen. Der Zaun hat nun riesige Löcher, und die Hirten wissen im Zweifel nicht einmal, welcher Wolf bereits ein Schaf geholt hat.

Wie viele unterschiedliche Möglichkeiten von Angriffen auf das Web-Frontend es gibt, ist öffentlich und allgemein bekannt: Das Open Web Application Security Project (OWASP) zeigt beispielsweise seit vielen Jahren die kritischsten Schwachstellen in Web-Applikationen in den veröffentlichten OWASP Top 10 auf. Unter diesen Rahmenbedingungen müssen Unternehmen die Sicherheit ihrer Business-Software ganz neu konzipieren: Um nun den nötigen Schutz zu gewährleisten, gilt es, jedes Schaf einzeln zu prüfen und zu sichern.

Frage nach Relevanz der Daten

Zu Beginn müssen sich die Verantwortlichen die Frage nach der Relevanz der Informationen stellen: Das tatsächliche Gefährdungspotenzial der Web-Frontend-Schwachstellen hängt stark von verarbeiteten Daten innerhalb der Business-Software ab. Ein unberechtigter Zugriff auf öffentliche Daten ist dabei tendenziell eher unkritisch. Ganz anders ist jedoch der unbefugte Zugriff auf interne Geschäftsunterlagen, Daten von Geschäftspartnern oder personenbezogene Daten zu bewerten.

Das Schadenspotenzial bei Veröffentlichung von internen Geschäftszahlen, der Abfluss von vertraulichen produktionsnahen Daten - Stichwort Industriespionage - kann dabei nur von der betroffenen Organisation selbst beziffert werden. Gehen jedoch Geschäftspartnerdaten oder personenbezogene Daten verloren, greift in Deutschland das Bundesdatenschutzgesetz (BDSG), das im Strafmaß bis zur Haftung der Geschäftsführung reichen kann.

Um diesen wirtschaftlichen und rechtlichen Gefahren zu begegnen, gilt es im nächsten Schritt, zusätzlich zu Infrastruktur-Vulnerability-Scans speziell auf Web-Applikationen zugeschnittene Penetrationstests zu initiieren. Der klassische Vulnerabiltiy Scan endet meist an der Web-Server-Oberkante und kann nur bedingt Websites mit aktiven Inhalten überprüfen. Web-Applikationen selbst lassen sich mit spezialisierten Scannern nur eingeschränkt auf ihre Sicherheit prüfen.

Diese Scanner sind zwar in der Lage, Schwachstellen wie zum Beispiel SQL- Injection oder Cross-Site-Scripting aufzuspüren, können aber keine Mängel im Rollen- und Rechte-Management der Applikation entdecken. Auch können sie nicht bewerten, wie kritisch die erreichbaren Daten sind. Unter Einbeziehung automatisierter Web-Applikations-Scanner lassen sich fundiertere Einblicke gewinnen, welche Schwachstellen vorhanden sind.

Ein ganz neues Gefährdungspotenzial tritt ein, wenn die Business-Software in Cloud-Umgebungen betrieben wird. Die eigenen Daten sind in diesem Fall nicht mehr komplett im eigenen Zugriff. Die Schafe stehen dann also nicht einmal mehr auf der eigenen Weide und werden von fremden Hirten betreut, die man nur bedingt im Blick hat.

Beim Cloud-Betrieb der Software trägt der Cloud-Provider einen nicht zu unterschätzenden Anteil an der Absicherung der Daten. Der Eigentümer der Daten hat nur noch begrenzte Möglichkeiten, die Sicherheit der zugrunde liegenden Infrastruktur zu bestimmen. Selbst Verschlüsselungstechniken lassen sich in der Cloud häufig nur eingeschränkt hochsicher umsetzen, da das dafür notwendige Schlüssel-Management ebenfalls auf den Systemen der Cloud-Provider abgewickelt wird. Für deutsche wie europäische Firmen kann das US-amerikanische Recht beim Cloud-Einsatz zum Problem werden, besonders wenn die Datenverarbeitung in den Vereinigten Staaten oder durch US-Firmen erfolgt. In diesem Fall können US-Behörden auf Basis des Patriot Act rechtlich legimitiert den Zugriff auf Systeme und Daten fordern.

Mit Teamwork Wissen sammeln und sparen
Mit Social-Business-Software und der Integration von Anwendungen können Unternehmen ihre Effizienz und Gewinne steigern. Allerdings nur dann, wenn "Social Collaboration" von den Mitarbeitern akzeptiert wird. Tipps zur Planung und Softwareauswahl finden Sie hier.

Akzeptanz für Teamarbeit schaffen
Bei zahlreichen Unternehmen und ihren Mitarbeitern konnte das Prinzip der Enterprise 2.0 aufgrund der schnelleren und geradlinigeren Kommunikation sowie einer größeren, geteilten Wissensbasis schon hohe Akzeptanz erlangen. Überzeugt hat ferner die kostensensible Kopplung verschiedener Funktionen, die früher in separaten Lösungen parallel gepflegt werden mussten.

Modulare Softwarelösungen sind von Vorteil
Ist dieser Punkt geklärt, empfiehlt es sich, Anbieter zu vergleichen und eine Social-Softwarelösung auszuwählen, die modular zusammengestellt werden kann. Auf diese Weise ist die Lösung nicht nur maßgeschneidert, sondern zudem jederzeit um zusätzliche Module erweiterbar.

Anwendungsgebiete für den Mittelstand
Eine "Rundum-Sorglos-Lösung", die wirklich jeden Unternehmensbereich abdeckt, ergibt für kleine und mittelständische Betriebe sicherlich erst ab einer gewissen Größe Sinn. So wäre es beispielsweise bei wenigen Mitarbeitern, die alle an demselben Standort arbeiten, eine Lösung überdimensioniert, die Buchhaltung oder Urlaubsverwaltung über eine Enterprise-2.0-Lösung zu betreiben. Hingegen kann es bereits in kleinen Teams sehr sinnvoll sein, Wissen zu sammeln und zu speichern, eine Datenbank zu pflegen und Dokumente zu verwalten.

Positive Gruppenbildung für mehr Kommunikation und Wissen
So greifen in einer Intranet-Enterprise 2.0-Lösung beispielsweise Kommunikationsbausteine ineinander, die ansonsten parallel gepflegt werden müssten. Der Austausch kann über Chats oder Messaging-Funktionen ebenso erfolgen wie über persönliche Nachrichten innerhalb des Systems, die der E-Mail ähnlich sind.

Activity Streams halten auf dem Laufenden
Social-Software-Angebote haben ihren Ursprung oft in Funktionalitäten, die sich an Social-Media-Netzen orientieren. So kann ein mittelständisches Unternehmen seine Mitarbeiter mit sogenannten Activity Streams auf dem Laufenden halten: Direkt auf der Portalstartseite eines Mitarbeiters blendet der Activity-Stream neue Postings oder Aktionen der Organisationsmitglieder ein, auch Aktivitäten in Gruppen werden angezeigt.

Wissens-Pool hilft Zeit und Geld sparen
Wikis, Blogs und Foren, die ihren Ursprung ebenfalls im sozialen Netz haben, können sich auf dieselbe Weise positiv auf die Kommunikation in mittelständischen Firmen auswirken. Klassische Anwendungsbeispiele sind hier Nachfragen zu einem Projektstatus, die für jeden Beteiligten einsehbar sind, Fragen zu Problemen oder Vorgängen, die über diese Wege direkt geklärt werden können, oder der Austausch zu fachspezifischen Themen.

Kundendaten verwalten und Projekte abwickeln
In einer Social-Software-Lösung können Kundenkommunikation, interner Austausch, organisatorische Aufgaben und vieles mehr gleichzeitig abgewickelt werden. So verfügen einige Anbieter über ein integriertes CRM-System, in dem alle Kontakte angelegt und verwaltet werden. Damit werden erforderliche Ansprechpartner über eine Suchfunktion inklusive aller Kontaktdaten schnell gefunden.

Dokumenten-Management integrieren
Auch in der Koordination von Projekten kann Social-Business-Software den Mittelstand unterstützen, und zwar auch über die bereits erwähnten Gruppen hinaus. Zum Beispiel führt ein in die Social-Software integriertes Dokumenten-Management-System dazu, dass Dateien und Dokumente sicher ausgetauscht und versionsgetreu oder parallel bearbeitet werden können.

Buchhaltung, Reisekosten, Urlaubs- und Projektplanung inklusive
Mittelständler, die ihre Buchhaltung intern abwickeln, können die Fibu bei einigen Anbietern direkt mit der Social-Business-Software verknüpfen - wovon auch Mitarbeiter über die Finanzabteilung hinaus profitieren. Dazu legen einige Lösungen zum Beispiel Personalakten je Mitarbeiter an, die jeweils die vertraglich geregelten Arbeitszeiten sowie Urlaubstage dokumentieren.

Cloud-Security im Vertrag fixieren

Um ein angemessenes Sicherheitsniveau in der Cloud zu erreichen, muss der Provider grundlegende Sicherheitsmaßnahmen treffen. Diese müssen vertraglich klar festgelegt sein. Zu den wichtigsten Punkten gehören unter anderem eine strikte Mandantentrennung innerhalb der Cloud sowie die Isolierung der Cloud-Anwendungen. Bei besonders schützenswerten Informationen empfiehlt sich die Verschlüsselung der Daten und eine starke Zwei-Faktor-Authentifikation. Um die Portierung der Cloud-Inhalte bei einem Wechsel des Providers zu ermöglichen, sollten standardisierte und offene Schnittstellen und Formate verwendet werden.

Mittlerweile gibt es zur Sicherheit in Clouds als Orientierungshilfe und Entscheidungsvorlagen einige internationale Standards wie zum Beispiel von der Cloud Security Alliance und von der European Network and Information Security Agency (Enisa). Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat angekündigt, seine IT-Grundschutz-Kataloge um die Aspekte des Cloud Computings zu erweitern.

Der Schutz der Business-Software unter den aktuellen organisatorisch-technischen Rahmenbedingungen - Cloud, Mobile Access, permanente Verfügbarkeit - ist also mit einigem Aufwand verbunden. Wenn ein Unternehmen die Trends nutzen will, dann muss es ein neues Sicherheitsverständnis und eine neue Sicherheitsorganisation entwickeln. Sonst drohen im Fall eines Datenmissbrauchs rechtliche Konsequenzen und Reputationsverlust.