Ein Jahr heise Security mit dem BSI

Ja, es waren aufregende 12 Monate: Im Bundesamt für Sicherheit in der Informationstechnik - kurz BSI - glühte die Viren-Hotline und heise Security gingen die Themen nicht aus. Weit mehr als 20 Warnungen zu Sobig, Blaster, Beagel, Sasser und Co. hat das BSI verbreitet, allein drei im August 2003. Es waren Viren und Würmer, die sich über Software-Schwachstellen verbreiten oder durch die Schwachstelle Mensch meist unbewusst als E-Mail in Massen verteilt werden (Stichwort: Leichtfertiges Öffnen von Mail-Anhängen).

Betriebssysteme und Anwendungen werden von Menschen geschrieben und benutzt. In beiden Fällen sind Fehler nicht zu vermeiden - wie menschlich. Um die Menschen zu erreichen und zu sensibilisieren werden Informationen zum Thema IT-Sicherheit eigentlich zum wichtigsten Instrument zur Verbesserung der Situation. Menschen, die rechtzeitig informiert sind, wodurch sie bedroht sind und wie sie sich schützen können, sind in der Lage, rechtzeitig Maßnahmen zu treffen, um Schaden abzuwehren.

"Zeitig" ist das Schlüsselwort: die Information muss frühzeitig den Adressaten erreichen, damit der rechtzeitig reagieren kann.

Neue Konzepte zum Aufbau eines Frühwarnsystems für IT-Sicherheit sind die Herausforderung. Sorgfältige Recherche und sachliche Aufbereitung von Anzeichen bevorstehender Bedrohungen sind die Grundlage rechtzeitiger Information, Warnung und Alarmierung.

Mit einem funktionierenden Frühwarnsystem können eindeutige Erkenntnisse zu Schwachstellen weitergegeben werden - bevor diese in größerem Umfang ausgenutzt werden, um noch nicht Betroffene vor Schaden zu bewahren. Neben Soft- oder Hardware, die die Sicherheit verbessern soll, benötigt der Heimanwender genauso wie der Netzwerkadministrator rechtzeitige Information, der damit ein besonderer Stellenwert zukommt. Die jüngste Untersuchung zur Sicherheit von WLAN-Installationen in c't belegen eindrucksvoll, dass nicht immer die Technik für unsichere IT verantwortlich gemacht werden kann, sondern wie mangelnde Sensibilisierung zu oberflächlichem Umgang mit weitgehend sicherer Technik führen kann.

Mit mobilen Rechnern als Sensoren für den Zustand der WLANs wurden Informationen erfasst, bewertet und als (Früh-)Warnung an den Leser weitergegeben. Frühwarnung gibt es auch in anderen Bereichen: Gänse und Wetterfrösche galten lange als biologische Sensoren für die Erdbeben- und Wettervorhersage. Heute stützen sich die Meteorologen moderner Frühwarnsysteme auf Messwerte physikalischer Sensoren sowie Erfahrungen aus der Wetterbeobachtung und leiten hieraus Prognosen, Warnungen und schlimmstenfalls Alarme ab.

Im Bereich der IT-Sicherheit muss wirksame Frühwarnung auf ein schnelles Informationsmedium zurückgreifen können, das alle Gruppen von potentiell Betroffenen rechtzeitig erreicht und inhaltlich anspricht. Sachliche Information mit klaren Handlungsvorschlägen helfen dabei dem professionellen wie privaten IT-Nutzer.

Informieren der Anwender, Warnen vor Schwachstellen und Alarmieren bei akuter Bedrohung haben sich heise Security und das BSI daher gemeinsam zur Aufgabe gemacht. Und die Anstrengungen haben sich gelohnt: der IT-GAU fand in unserer Republik nicht statt. Deshalb sage ich: "Herzlichen Glückwunsch zu einem erfolgreichen Jahr Medienarbeit, heise Security!"

Dr. Hartwig Kreutz
Fachbereichsleiter Internetsicherheit
Bundesamt für Sicherheit in der Informationstechnik (ju)