Zusammenarbeit mit Security-Anbietern
Schaulaufen im NATO-Hauptquartier
Beim zweiten NATO-Infosec-Tag in in Brüssel trafen sich Anbieter von IT-Sicherheitslösungen und die IT-Security-Spezialisten des Militärbündnisses. Die Industrie will die NATO-Anforderungen genauer kennenlernen, und die NATO sucht Zugang zu neuen Entwicklungen.
Die Konsequenzen von Verletzungen der Informationssicherheit fallen bei der NATO mitunter
dramatischer aus als bei zivilen Organisationen. "Nehmen wir an, eine unbemannte Aufklärungsdrohne
fliegt über feindliches Gebiet und schickt Bilddaten – da muss der Leitstand doch sicher sein, dass
die Daten vom eigenen Aufklärer kommen", lautete beim zweiten NATO-Infosec-Tag am 18. Oktober ein
erschreckend plastisches Beispiel für die Bedeutung von Prozess-zu-Prozess-Authentifizierungen.
Die meisten im NATO-Hauptquartier diskutierten Security-Probleme fielen allerdings weniger
spektakulär aus. Auch die NATO muss mit heterogenen IT-Strukturen in einer Welt operieren, in der
ohne Verbindungen zum Internet kein Weiterkommen ist, und an den Schnittstellen zum öffentlichen
Netz für den Schutz vor Malicious Codes und Hackern sorgen. Für Eigenentwicklungen oder
Standleitungen darf die Organisation das Geld der Steuerzahler aber nur dann ausgeben, wenn extreme
Sicherheitsanforderungen gelten.
Das Event, das mit Unterstützung der European Expert Group for IT Security (EICAR) von der
Agentur Kommpassion war, hatte deshalb auch mit der Suche nach Einsparpotenzialen zu tun. Nach
einem Grußwort von NATO-General D’Hollander und Einführungen von
NATO-Aircommand-IT-Sicherheitsspezialist Rainer Fahs sowie Mark Loepker, National Co-Chairman NATO
INFOSEC Subcommittee, folgten unter Leitung von Prof. Wolfgang Bienert vor etwa 100
NATO-Spezialisten Vorträge von Symantec zum Umgang mit Sicherheitslücken, Sun zu Federated
Identities und zur Liberty Alliance, Vantronix zu OpenBSD, Computer Associates zu rollengestütztem
Identity- und Access-Management, Microsoft zur Sicherheit in Longhorn, Entrust zu Entwicklungen auf
dem Gebiet der Authentifizierung, Phoenix zur Rolle der Client-Sicherheit, Finjan zum
verhaltensgestützten Blockieren von Malicious Code, Secunet zur Verschlüsselungs- und
VPN-Architektur SINA, Selex zur rechnergestützten Funkkommunikation und Becrypt zur Verschlüsselung
von Daten auf Massenspeichern. Ein für IT-Verhältnisse hoher Anteil an Herren mit graumelierten
Kurzhaarfrisuren und militärischer Vergangenheit unter den Firmenvertretern – Lawrence Dietz von
Symantec baute als Ex-Colonel seinen Truppenausweis in seine Präsentation ein, ein Referent verwies
gar auf NVA-Erfahrungen – machte spürber, welch große Rolle der Abbau von Kommunkationsbarrieren
spielte.
Das Programm zeigte, dass Identity- und Access-Management für die NATO ein zentrales Thema ist. "
Auch wir brauchen Zugang zu Daten von überall und zu jeder Zeit, aber wir haben es eben mit
besonders vertraulichem Material zu tun", erklärt Mark Loepker. "Eine besondere Herausforderung ist
die einsatzbezogene Zusammenarbeit mit Vertretern von Staaten außerhalb der NATO, die Zugang zu
ausgewählten Informationen bekommen müssen. Identity-Federation-Techniken interessiert uns deshalb
besonders." Ideal für NATO-Zwecke wäre eine Umgebung, bei dem sich die Rechte von Personen und die
Zugangsbeschränkungen für Systeme oder Dokumente bei jeder Subjekt-Objekt-Interaktion dynamisch bis
ins Detail bestimmen ließen. "Am besten wäre es, die Dokumente wüssten selbst, wer sie sehen darf",
fasste ein NATO-Spezialist den Bedarf seiner Organisation zusammen.
Während der Diskussionen in Brüssel wurde spürbar, dass die IT-Industrie der NATO gern häufiger
Lösungen für die IT-Sicherheit anbieten würde, sich aber nicht immer gut genug über die
Anforderungen der Militärs informiert fühlt. Die NATO solle nicht eigene Standards vorgeben,
sondern vorhandene Metastandards adaptieren, lautete ein Vorschlag aus den Reihen der Hersteller.
Das Militärbündnis wiederum will von den Entwicklungsarbeiten der Industrie profitieren und wüsste
gern mehr über die neuesten Techniken, um sie entweder für sich selbst zu nutzen oder daraus
resultierende Bedrohungspotenziale besser einzuschätzen. Dazu allerdings fehlte ihr bisher der
Kontakt zu kleinen, innovativen Anbietern. Außerdem drängt die NATO vehement auf
anwenderfreundliche Security-Lösungen, die die eigentliche Arbeit mit der IT nicht behindern – ein
Anliegen, von dem auch die "normalen" Anwender profitieren könnten.
Wie sehr die NATO mit Kapazitätsengpässen kämpft, zeigt sich auch an ihrer Haltung zu Open
Source. "Freie Software hat Vorteile, aber auch den Nachteil, dass man sie vor dem Einsatz noch
weiter entwickeln muss, während man etwa ein Windows-System sofort aus der Box einsetzen kann",
erklärt Loepker. Auch bei kommerziellen Systemen erhalte man Einblick in den Sourcecode, könne aber
nur ansatzweise prüfen und müsse schon deshalb zusätzliche Sicherheitssysteme implementieren.
Lesen Sie mehr zum Thema
