CERN-IT-Sicherheitschef Stefan Lüders

"Wir leben ByoD seit 20 Jahren"



Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Security-Training als Hauptaufgabe

Geben Sie denn zumindest Hilfestellung bei der Absicherung der Systeme und Netze?

Stefan Lüders: Ich gebe Ihnen ein Beispiel. Jemand kommt ans CERN und setzt einen eigenen Web-Server samt Website auf, weil er das für ein Experiment benötigt. Verantwortlich für diese Website ist er selbst. Wie er Server und Site absichert, kann er von uns in Schulungen erfahren. Wir schauen uns aufgesetzte Server dann hinterher an - schätzen wir ihn als zu unsicher ein, bekommen er von uns keine Freigabe für die Sichtbarkeit im Internet.

Die andere Möglichkeit ist, unsere IT-Services in Anspruch zu nehmen. Unser IT Department stellen verschiedene Content-Management-Systeme wie SharePointSharePoint oder Drupal zur Verfügung, auf denen ebenfalls Seiten betrieben werden können. Aber auch für die Sicherheit dieser Seiten ist der Einzelne selbst verantwortlich - beispielsweise wenn eine Datenbank angeschlossen werden soll. Wir als Security-Team sorgen genau wie das IT-Department indes dafür, den Nutzern die entsprechenden abgesicherten technischen Ressourcen bereitzustellen - wie sichere Web-, File- oder Datenbank-Services. Alles zu Sharepoint auf CIO.de

Wie sieht das Security-Training konkret aus?

Stefan Lüders: Wir geben interessierten Mitarbeitern unter anderem Training im sicheren Programmieren oder im sicheren Einrichten eines Servers. Oder wir machen spezielle Training-Events. Für unsere "WhiteHat Challenge" beispielsweise haben sich 60 Leute beworben, die lernen möchten, wie man Penetrationstests macht. Innerhalb weniger Tage bilden wir sie dafür nun in mehreren Kursen aus, damit sie am CERN als Penetrationstester arbeiten können. Ziel des Ganzen ist natürlich, dass sie die Verwundbarkeiten ihrer Systeme später selbst aufspüren und beseitigen können.

Phishing-Attacken als Initialzündung

Welche Erfahrungen haben Sie mit dem Modell der Eigenverantwortung gemacht?

Stefan Lüders: Ich gebe Ihnen auch hier wieder ein Beispiel. Im Jahr 2008 hatten wir mehrere groß angelegte Phishing-Attacken gegen unsere Mitarbeiter und Gastnutzer. Eine dieser Kampagnen beispielsweise richtete sich gleich gegen 1500 unserer Mitarbeiter, von denen immerhin 40 auf die MailMail hereingefallen sind. Wir haben dann versucht, herauszufinden, wer diese 40 waren. Klassifizieren konnten wir sie nicht - es waren nicht nur ältere, nur jüngere oder nur weniger intelligente Mitarbeiter, wie immer sie letzteres auch messen wollen. Es waren nicht nur die Männer, die Frauen, die Physiker oder die Techniker. Alles zu Mail auf CIO.de

Nein, diejenigen, die auf die Phishing-Mails reagierten, taten dies ohne böse Absicht einfach aus einer bestimmten Situation heraus. Sie waren gerade beschäftigt, bekamen eine Mail vom Absender "Webmail IT-Service", in der sie nach Ihrem Passwort gefragt wurden, kamen der Aufforderung nach und hatten die Mail damit abgearbeitet. Erst im Nachhinein wurde ihnen klar, dass sie hereingelegt worden waren.

Diese Phishing-Attacke aus dem Jahr 2008 war die Initialzündung für uns, Sicherheits-Kampagnen und Trainings anzubieten - mit dem Ergebnis, dass wir heute aus einem Pool von rund 22.000 E-Mail-Konten am CERN pro Monat nur noch zwei bis drei Accounts in dem Sinne verlieren, dass dessen Accounts missbraucht worden sind. Größtenteils durch Phishing-Angriffe oder auch durch kompromittierte Universitäts-Rechner, an denen sich Studenten remote am CERN einloggen und dadurch ihr Passwort unbewusst preisgeben. In beiden Fällen handelt es sich aber erwiesenermaßen fast ausschließlich um neue Mitarbeiter, die noch an keinem unserer Trainings teilgenommen haben.

Zur Startseite