Philipp Schaumann

Sicherheitskultur und Informationssicherheit

Wir lesen ständig, dass wir jetzt im Informationszeitalter leben. Der Wert von Unternehmen bestimmt sich (angeblich) in Zukunft durch die Informationen die es hat und die es verarbeitet (ICAP=Intellectual Capital). Daher kommt der Sicherheit dieser Informationen, d.h. der Informationssicherheit, auch eine immer größere Bedeutung zu. Dabei geht es nicht nur um die IT, d.h. die Computer, das Rechenzentrum und ähnliches, sondern es geht auch darum, wie mit den vielen Informationen im Kopf der Mitarbeiter umgegangen wird.

Informationssicherheit ist nur teilweise ein technisches Problem, die eigentliche Herausforderung sind

• oftmals unzureichendes Sicherheitsbewusstsein im Management
• mangelnde Erfahrung in risiko-orientierten Denk- und Bewertungsansätzen
• fehlendes oder unvollständiges Sicherheitskonzept
• unzureichendes Sicherheitsbewusstsein auf allen Ebenen des Unternehmens
• mangelnde Katastrophen-Vorsorge, speziell in Kleinunternehmen

Jede Kette ist so sicher, wie ihr schwächstes Glied. D.h. technische Sicherheit ist wichtig, aber organisatorische Sicherheit muss auf dem gleichen Niveau sein. Und genauso wichtig sind Fragen rund um Sicherheit und Firmenkultur - wie kann es ein Unternehmen erreichen, dass jeder einzelne Mitarbeiter sich stärker seiner Rolle im Unternehmen in Bezug auf Sicherheit und Qualität bewusst wird und diese auch aktiv annimmt. Hier gibt es mehr über die Zusammenhänge zwischen Unternehmenskultur und Sicherheitsbewusstsein. Business Ethik ist dabei ein zentraler Punkt.

Ein großes Thema auf der Website ist der schleichende Verlust der Privatsphäre, unsere Spuren im Internet und neue Trends wie Social Networking.

Als kleine Hilfestellung für jedermann habe pflege ich meine ständig aktualiserten Tipps für Heim-PCs. Für Firmen biete ich meine Kurzversion einer Checkliste zur "Härtung" einer Firmen-IT. Der Kern dessen, was m.E. auf technischem Gebiet in der IT-Sicherheit schief läuft, habe ich in diesen Thesen beschrieben.

Wer Schwierigkeiten mit den auf dieser Website erwähnten Begriffen und Abkürzungen hat, dem sei das Glossar der Informationssicherheit empfohlen (pdf, ständig erweitert und aktualisiert, > 100 Seiten, > 1MB).

Viel Spaß beim Stöbern auf der Website - Philipp Schaumann

Zum Impressum nach dem E-Commerce und dem Medien-Gesetz.

Tipps zur Informationssicherheit

Viren, Würmer, Trojaner, Spam, Phishing und die Geschäftsmodelle dahinter

Privatsphäre, ist sie noch zu retten?

Der große Überblick über die Informationssicherheit: Von der Risikoanalyse bis zur Security Policy - die "Eisberg-Reihe"

Die Verantwortung von Technikern - Business Ethik-Fragen

Urban Legends, Hoaxes, Gerüchte

Glossen zu Problemen im Bereich Computer und Informationssicherheit

Aktuelles unter "unverdaute Notizen"

Überblick nach Themen / Sitemap

Kontakt zum Webmaster und Formales

Die Computerwelt berichtet April 2004: 80% aller österreichischen Home-PCs sind mit Viren verseucht. Wen das alles ein wenig beunruhigt, sollte meine Tipps für Heim-PCs und Apple Rechner beherzigen.

Spam, d.h. die unerwünschten Massen-E-Mails werden zwar immer mehr zu einer Belästigung aller Internetnutzer, aber sie stellen immer noch die harmloseste Form der sog. Schadsoftware dar. Hier werden auch die wirtschaftlichen Hintergründe von Spam, Trojanern und anderen Problemen beleuchtet, denn die Spammer und die Anbieter von Raubkopien müssen ja auch irgendwo ihr Geld herbekommen und das ist der eigentliche Ansatzpunkt: Was ist eigentlich das Business Modell hinter diesen Ärgernissen?

Unter dem obigen Link wird auch das Thema elektronischer Bankraub, d.h. Phishing bearbeitet. Traditioneller Bankraub kommt bei den Profis mehr und mehr aus der Mode. Es ist viel bequemer und vor allem sicherer, irgendwo von Brasilien oder Thailand aus eine große Zahl von Konten auszuräumen.

Ein Aspekt der Datensicherheit ist der Schutz der Privatsphäre (Privacy), d.h. der Schutz der persönlichen Daten.

These 1:

Die Privatsphäre wie wir sie traditionell kennen, nämlich die Tatsache dass es vieles gibt, von dem niemand anderes etwas weiß, geht unwiederbringlich und unaufhaltsam verloren. Technologien, die zur Verfügung stehen, werden auch genutzt, wir bekommen den Teufel nicht wieder in die Flasche zurück, auch wenn wir uns das noch so sehr wünschen

Scott Mc Neal, der Chef der Computerfirma Sun Microsystems: "You have zero privacy. Get over it."

Privatsphäre hat 4 große Aspekte:

• Wer weiß, wo ich mich gerade befinde? (Location)
• Wer kann meine Kommunikation mithören oder lesen? (Communication)
• Wer kann mich mir zuschauen? (Surveillance)
• Wer weiß, was ich früher mal gemacht habe? (History)

Hier mehr zum Thema Privatsphäre

Ich bin manchmal überrascht, mit welcher Sorglosigkeit viele Kunden im Supermarkt mit der Bankomatkarte bezahlen. Erstens weiß damit die Firma genau, was ich alles kaufe und zweitens ist es kaum möglich, dabei den PIN-Code so einzugeben, dass kein anderer es sieht. Und ruck-zuck ist die Karte geklaut und 3000 Euro sind vom Konto verschwunden. Mehr auch dazu in meinen PC-Tipps für Heim-PCs und Apple Rechner.

Im März 2003 kam der erste Band der mittlerweile auf 4 Bände angewachsenen "Eisberg-Reihe", "Informationssicherheit und das Eisberg-Prinzip" heraus. Viele Texte daraus und aus dem Nachfolgebuch, das im März 2004 heraus gekommen ist, befinden sich hier auf der Website in zum Teil erweiterter Form. Trotzdem sind die Bücher natürlich, schon aus "taktilen Gründen", durchaus weiterhin zu empfehlen. Als 3. Band der Serie erschien dann das Glossar, eine gebundene Kurzfassung meines jetzt 100-seitigen Glossar der Informationssicherheit (pdf). Band 4 ist die im Sommer 2005 erschienene Checklistensammlung "Basissicherheit und das Eisbergprinzip", die speziell für KMUs (kleine und mittelständische Unternehmen), die selbst ihren Sicherheitsstandard hinterfragen wollen, sehr zu empfehlen ist. Eine ganz kurze Version einer solchen Checkliste (nur in Stichworten) gibt es hier online.

Erweiterte Texte aus den Eisbergbüchern

• Eisberge versenken unsinkbare Schiffe

• Wer sind die Gegner?

• Die Erstellung einer Security Policy

• Benutzerrechte und -pflichten für die Mitarbeiter

• Benutzersensibilisierung

• Schutz gegen Social Engineering Angriffe

• Technische Sicherheitsinfrastruktur

• Web Security: Wie mache ich einen Web Server sicherer?

• Kryptographie - Die Kunst der Verschlüsselung

• Disaster Recovery für den Mittelstand

• Outsourcing von Security

• Risikoanalyse

• Informationssicherheit und Recht

• Recht sicher? Gesetzliche Vorgaben zur Informationssicherheit

• Wirtschaftskriminalität - Der unterschätzte Machtfaktor

• Wettbewerbsspionage und Social Engineering

• Sicherheitstipps IT-Security

• Die Linksammlung aus dem Eisbergbuch

Ein Thema, das mich sehr interessiert sind die Aspekte, die die Business Ethik betreffen, d.h. das moralisch korrekte Verhalten auch am Arbeitsplatz. Dieses Thema hat viele Verbindungen zur Sicherheitsproblematik: ohne ethisch korrektes Verhalten kann es keine Sicherheit geben. Hier gibt es mehr Informationen über die Zusammenhänge zwischen Unternehmenskultur und Sicherheitsbewusstsein und hier Informationen zum Thema Entwicklung eines Business Ethik-Programmes.

Noch ein paar weitere Themen rund um ethische Fragen:

• Die Ethik des Technikers und Wissenschaftlers

• Die Columbia Katastrophe

• Kaprun

• Zivilcourage, oder "Warum sind die beiden Shuttle abgestürzt?"

• Änderung der Unternehmenskultur

• Aspekte des Sicherheitsdesign

• Die Sicherheitsgeschichte der Dampfkessel

Und hier noch ein sehr interessanter Beitrag zum Thema ganzheitliches Wirtschaften, über die moralisch-ethischen Aspekte in unserem heutigen Wirtschaftstreiben.

• eine gigantische Sammlung von Gerüchten, wahr oder auch nicht, gibt es auf Snopes (englisch)
• eine ähnliche Sammlung auf Urban Legends (englisch)
• Oder die amerikanische CDC, Centers for Disease Control and Prevention (englisch) beschäftigt sich mit allen Gerüchten zu Krankheiten (z.B. oben genannten Nadeln)
• Sehr ausführlich recherchierte Artikel, z.B. zu den berüchtigten Geschichten mit den gestohlenen Nieren oder den unglücklichen Bonsai Kätzchen

Direkt relevant für die IT-Sicherheit wird es, wenn diese Hoaxes in der Form von Virenwarnungen daher kommen, hier eine Seite von Symantec zu diesem Thema (englisch). Leider sind auch hier die Detailinfos auf englisch. Fazit: ganz viele der Virenwarnungen sind falsch und zum Teil sogar gefährlich, wenn da z.B. steht, dass man unbedingt eine bestimmte Datei soll oder sofort ein Tool aus dem Internet herunterladen soll.

Nirgendwo werden Säuberungstools per E-Mail verschickt. Solche gibt es zwar, z.B. auf der Symantec Website, aber die muss man sich selbst runterladen.

Hier noch ein Hoax-Lexikon auf Deutsch, von Ikarus, einer österreichischen Anti-Virus Firma. Dabei erwähnen sie auch die vielen unsäglichen Kettenbriefe, zum Teil mit Drohungen von schrecklichem Unglück, wenn das E-Mail nicht weitergeleitet wird. Bitte NICHT weiterleiten. Und noch mal auf deutsch, diesmal vom BSI, einer Einrichtung der bundesdeutschen Regierung.

Auf meiner Privat-Website gibt es Beispiele für IT-Humor und hier gibt es eine alte Satire "Real Programmers don't use PASCAL (oder die deutsche Version Echte Programierer meiden PASCAL (PDF, 220 KB).

Und außerdem:

Kontakt
Anregungen, Kritik, Feedback über die Kontaktseite.

Viele Links sind PDF-Dateien, dafür braucht man den Adobe Reader und den gibt es kostenlos bei Adobe

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.

Zurück nach oben

Impressum

Offenlegung im Sinne des §§24 und 25 österreichisches Mediengesetzes und § 5 E-Commerce-Gesetz:
Medieninhaber: Philipp Schaumann, A-2384 Breitenfurt bei Wien,
grundlegende Ausrichtung: Förderung der Informationssicherheit
Kontakt