Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

430 Kapitel 16: Aspekte für kleine Unternehmen
Anforderungen des Unternehmens zu kennen, sodass Sie eine Lösung mit akzeptabler
Sicherheit entwickeln können, die auf der Windows Server 2008-Produktfamilie aufbaut.
Betreiben von Servern bei knappem Budget
Das erste Probleme, das Sie beim Bereitstellen einer sicheren Windows Server 2008-Lösung
in einer kleinen Organisation anpacken müssen, ist die Frage von Kosten und Budgets. Gehen
Sie das Problem der Budgets und Preise so an, dass Sie aktuelle und künftige Kosten
abschätzen, inklusive Implementierung, Überwachung und Wartung, kombiniert mit akzeptablen
Ausfallzeiten und akzeptablen Risiken. Verliert eine kleine Organisation Umsatz,
wenn ein Sicherheitsvorfall passiert und sie aufgrund von Vorschriften ihre Kunden darüber
informieren muss? In der Praxis verstehen Kunden von Firmen, bei denen Daten abhanden
gekommen sind, erstaunlicherweise recht genau, dass die Möglichkeit eines Identitätsdiebstahls
besteht, wenn Datensicherungsbänder, Notebooks und ähnliche Datenträger verloren
gehen. Vorfälle, bei denen Daten in unbefugte Hände gelangen, haben letztlich weniger
finanzielle Auswirkungen auf die Organisationen, als Sie möglicherweise denken, wenn Sie
sich die Schwere der Sicherheitsvorfälle vor Augen führen. (Ein Beispiel ist in »The TJX
Effect« von Larry Greenemeier in Information Week beschrieben.) Sicherheitsvorfälle haben
mehr dem Ruf der Consultants geschadet, die die Netzwerke bereitgestellt haben, als den
betroffenen Firmen selbst. (Siehe zum Beispiel »Medical IT Contractor Folds After Breaches«,
Tim Wilson, Dark Reading.)
Falls die Organisation allerdings von einer Virusinfektion betroffen ist, die das Netzwerk
weitläufig lahmlegt, sind die Folgen einfacher zu berechnen. In diesem Beispiel können Sie
den Umsatzausfall pro Stunde beziffern. Multiplizieren Sie diese Zahl mit der Zahl der
Stunden, die diese Organisation von dem Sicherheitsvorfall betroffen ist, und fragen Sie den
Kunden, ob diese Kosten akzeptabel sind. Die herkömmliche Formel für die Risikoberechnung
lautet ALE = SLE * ARO, wobei ALE (Annualized Loss Expectancy) der Verlust im
Gesamtjahr, SLE (Single Loss Expectancy) der bei einem einzelnen Vorfall zu erwartende
Verlust und ARO (Annualized Rate of Occurrence) die Wahrscheinlichkeit ist, dass der Vorfall
innerhalb eines Jahres auftritt. Dabei wird der Wert der Eindämmung nicht berücksichtigt.
Außerdem wird das Problem ignoriert, wie schwierig es ist, das »was wäre, wenn« abzuschätzen.
Das Konzept dieser überarbeiteten Risikoanalyse wird in einem Blogeintrag von
Dr. Jesper Johansson vom Mai 2006 diskutiert.
Es ist keine einfache Aufgabe, einem Klienten die Bedeutung der Sicherheit zu vermitteln,
wenn noch kein Vorfall passiert ist. Das erinnert mich daran, was Bruce Turbeyville vom
California Fire Safe Council in einem Interview nach einem verheerenden Brand sagte, bei
dem im Lake Tahoe-Gebiet Ende 2007 Hunderte von Häusern zerstört wurden. Er klagte:
»Warum ist immer genug Geld da, um das Feuer zu bekämpfen? Weil wir sie immer bekämpfen
und sie immer gelöscht werden. Aber es ist niemals genug Geld da, um das Feuer
zu verhindern.« Dieselbe Klage stimmen viele Netzwerkadministratoren von kleinen Organisationen
an. In einem kleinen Unternehmen hat derjenige, der die Technologie implementiert,
gegenüber dem Kollegen im großen Netzwerk sicherlich einen Vorteil: Wenn das
Management die vorgeschlagene Sicherheitslösung einmal genehmigt hat, haben diejenigen,
die das Netzwerk implementieren, die völlige Kontrolle über das Netzwerk; sie brauchen
sich nicht mit anderen Abteilungen, Organisationen oder Administratoren für bestimmte
Serverrollen abzustimmen.