Online Reputation Management versagt

Lothar Lochmaier zum Thema Online Reputation Management versagt



So sähe die schwarze Magie der Spiele aus: Hochgerüstete integrierte Überwachungssysteme sorgten dafür, dass trotzdem alles reibungslos liefe. Die äußere Hülle funktionierte perfekt. The Show must go on, lautet das Placebo. Eine durchaus lösbare Aufgabe wäre es sicherlich noch, die IT-Systeme der Spiele selbst gegen Eindringlinge von innen und außen abzuschotten. Online Reputation Management auf allen Kanälen und Frequenzen. Risikomanagement beginnt bekanntlich in der Chefetage, wir kriegen das schon in den Griff, oder?

Kein Problem, der Chief Security Officer (CSO) rennt auf Geheiß los und flickt die Löcher. Im Stile eines Doppelagenten, eines aus dem Himalaya entsandten Sherpas, mutiert er zum Streetworker, der mit allen Beteiligten verhandeln muss. Lässt sich der Konflikt noch moderieren, fragt er sich zweifelnd? Doch die Regierung pfeift den CSO wieder zurück, weil er immer mit den Falschen redet. Leider sei an „Business as Usual“ derzeit wohl kaum zu denken, angesichts einer wachsenden Polarisierung in der Öffentlichkeit, die kaum mehr zwischen Freund und Feind zu unterscheiden mag.

Gefragt ist stattdessen ein strenges Regime. Wie wäre es mit einem über Single Sign on installierten zentralisierten Identitätsmanagement. Dass die Tools noch nicht ganz ausgereift sind, spielt keine Rolle. Hauptsache, der CSO mutiert zum Datenwächter und Herrscher über den freien Meinungsaustausch. Das Helfersyndrom des Security-Officers ist nicht mehr gefragt. Mission impossible. Den Vorzug genießt stattdessen der neue im Betrieb, die rigide Kontrolleurpersönlichkeit, die auf der zentralen Schaltkonsole jede noch so kleine Bewegung registriert.

IT-Sicherheit und die Spiele: Lektion gelernt?

Formal, ja sicher, da ist auch beim neuen CSO großes Verhandlungsgeschick gefragt. Denn trotz aller äußeren Unwägbarkeiten müssen IT-Spezialisten dafür Sorge tragen, dass alle Systeme bei den Spielen reibungslos funktionieren. Doch könnte sich gerade das sensible Metier der Sicherheitsarchitektur als Fallstrick erweisen. Was können Unternehmen davon lernen, wie die chinesischen Machthaber mit dem Thema IT-Sicherheit umgehen?

Vor allem eine Lektion, und zwar mit Blick auf das Social Engineering: Grau ist alle Theorie. Ein Un-ternehmen ohne soziale Sensibilität, das alle Innovationsprozesse selbst kontrollieren will statt diese zu öffnen und aktiv zu unterstützen, benötigt viel Geld für „Security driven by Overdesign“. Das können sich nur Konzerne leisten, aber keine Mittelständler. Glücklicherweise kennt der Chef dort noch seine Mitarbeiter persönlich und muss diesen gelegentlich noch in die Augen sehen.

Im Klartext: An der Oberfläche im hierarchisch verzweigten Konglomerat herrscht Funkstille, darunter brodelt es gewaltig. Zwar laufen das Netzwerk der Spiele und das Internet physikalisch voneinander getrennt. Das Olympische Netzwerk ist zudem in Sicherheitsdomänen segmentiert. Strikte Konfigura-tionsverwaltungsprozesse und flankierende Sicherheitsmechanismen wie Virenschutzsoftware und Portsicherheit sind fortlaufend kontrolliert.

Die Sicherheitsexperten rechnen während der Spiele jedoch immerhin mit rund zehn Millionen gefilterten Ereignissen pro Tag. Offiziell sind nur wenige davon als kritisch einzustufen. Trotzdem wären es etwa dreimal so viele Malware-Samples wie bei den Winterspielen in Turin vor zwei Jahren. Die Front ist plötzlich überall, die Sicherheitsarchitektur hat versagt, weil das Risikomanagement zur rein formal leeren Aktivität geworden ist.

„Unternehmen Olympia“ wird zur löchrigen Webapplikation

„Business Critical“ ist noch etwas, das die Verfügbarkeit des äußeren wie inneren betrieblichen Er-scheinungsbildes tangiert. Weder die immer enger gezogene Firewall schützt das Unternehmen Olympia, noch ein ausgereiftes Intrusion Detection oder Prevention System. Zum Einsatz in Peking kommen zwar auch neue intelligente Verarbeitungsmethoden, die den neuen Herausforderungen professioneller Malware-Akteure gewachsen sind, um auf mögliche Bedrohungen innerhalb oder außerhalb des Netzwerks rasch reagieren zu können.

Umfassende Tests im Vorfeld der Spiele sollen Anomalien etwa bei Servern, PCs und Netzwerk frühzeitig aufspüren. Abweichungen von der Norm sollen sich somit erkennen und dokumentieren lassen, noch bevor Schädlinge das Netzwerk infiltrieren. Diese Strategie soll es dem rund um die Uhr im Einsatz befindlichen Sicherheitsteam ermöglichen, alle Vorfälle nach einem Prioritätsschema effektiv zu bearbeiten und die IT-Infrastruktur der Spiele vor einer Vielzahl von Bedrohungen zu schützen, die andernfalls kritische Dienste hätten beeinträchtigen könnten, beispielsweise die Aufzeichnung und Übermittlung von Wettkampfergebnissen.

Doch bleibt all dies eine graue Theorie, so wie Olympiaringe ohne Farbe, die durch die gegenwärtigen Ereignisse nahezu konterkariert sind. Neben Insider-Attacken rechnen nicht wenige Sicherheitsexperten während der Spiele mit groß angelegten Denial-of-Service-Attacken von außen. Auch Phishing dürfte über manipulierte Webseiten, die mit dem Begriff Olympia ihr Schindluder treiben, neuerlich eine Hochkonjunktur erfahren.

Sicherheitsspezialisten vermuten zudem, dass Trittbrettfahrer außergewöhnliche Leistungen von Sportlern via E-Mail dazu missbrauchen, arglose Surfer auf gefälschte Webseiten zu lotsen und dort Passwörter und Kreditkarteninformationen auszuspionieren. All dies wäre jedoch nichts gegen eine schleichenden Aushöhlung der Spiele von innen, gegen die auch keine noch so starke Brandschutzmauer schützen kann, egal ob um die IT herum gezogen oder darüber hinaus. Eigentlich sollte (IT) Sicherheit nur ein Randthema sein. Jetzt plötzlich reißen immer mehr Schlupflöcher im zentral gesteuerten System auf. Es droht der durch nicht technische Ursachen bewirkte „Distributed Denial of Service“.