Home      Themenübersicht / Sitemap      Notizen      Webmaster

 

Einige Glossen von Wolfgang Schnabl

Wozu benötigt die IT Bremsen?

Wozu braucht ein Auto Bremsen?

Stelle ich diese Frage in meinen Awareness-Trainings, so ernte ich Verblüffung und bekomme die Standardantwort: „Na, zum Stehen bleiben.“

Aber das ist nur eine sehr oberflächliche Begründung. Ein Auto wird schließlich nicht gebaut und gekauft, um stehen zu bleiben, im Gegenteil, ich will ein Auto um weiterzukommen! Ein Auto braucht also einen Motor, Räder und ein Gaspedal. Wozu dann Bremsen? Bremsen hindern mich am Weiterkommen, sie „bremsen“ meinen Fortschritt.

Wenn man sich die Geschichte der Fortbewegung ansieht, so spielen Bremsen zu Beginn eine untergeordnete Rolle. Der Dampfwagen, der 1769 mit 9 km/h einen Geschwindigkeitsrekord aufstellte, benötigte keine ausgefeilten Bremsanlagen. Heute hingegen sind selbst in Standard-Autos die Bremsen zu High-tech Computern mutiert, mit ABS-Systemen, die in der Lage sind, das Bremsverhalten jedes einzelnen Rades optimal zu steuern, wodurch das Fahrzeug während des Bremsvorgangs vollständig lenkbar bleibt und nicht ausbricht.

Bremsen benötige ich also nicht zum Stehen bleiben, sondern um schneller fahren zu können! Sie sind eine Sicherheitseinrichtung. Die Evolution der Bremsen fand statt, als sich die Geschwindigkeit der Fortbewegungsmittel immer weiter erhöhte und dadurch Gefahr für das Leben des Lenkers entstand.

Analog dazu entwickelten sich andere Sicherheitsmaßnahmen weiter, etwa 1905 die erste Stoßstange von Mercedes, 1959 der erste 3-Punktgurt von Volvo und 1981 der erste Airbag wieder von Mercedes. Wir sind dadurch heute in einer Situation, in der trotz enorm ansteigendem Verkehrsaufkommen und wachsender Mobilität die Schadensfälle an Personen durch Verkehrsunfälle zurückgehen.

Was hat das Ganze nun mit IT zu tun?

Die IT ist heute in einer ähnlichen Lage, wie die Autoindustrie vor 100 Jahren. Wir verwenden die vorhandene Technik, aber wir machen uns nur wenig Gedanken um die Sicherheit. Dabei hat sich die Geschäftswelt in den letzten Jahren fast unmerklich, aber dramatisch verändert. Unterstützten vor einiger Zeit die Computersysteme noch unsere Geschäftsprozesse, so ist das längst nicht mehr der Fall.

Heute basieren unsere Geschäftsprozesse auf einer funktionierenden IT. Damit ändern sich jedoch auch drastisch die Sicherheitsanforderungen an diese IT. Konnte man vor einiger Zeit einen Rechnerausfall von mehreren Tagen noch mit manuellen Prozeduren überbrücken, so gibt es heute diese manuelle Überbrückung nicht mehr, die Prozesse bestehen nicht mehr, Karteikästen sind verschwunden, Kunden existieren nur noch in elektronischen Datenbanken.

Wie beim Automobil benötigen wir in der IT nun verstärkt Sicherheitsmaßnahmen um als Firma nicht nur kompetitiv am Markt agieren zu können, nein, viel elementarer, einfach um überleben zu können. Diese Sicherheit ist aber nur zum Teil käuflich! Mit Technik allein, obwohl unumgänglich, erreiche ich keine Daten- und Informationssicherheit.

Wie im Straßenverkehr, so kann ich auch in der IT unterschiedliche Sicherheitsmaßnahmen ergreifen.

Bei den technischen Maßnahmen lassen sich aktive (ABS, ASR, bzw. Firewall, Virenschutz) und passive (Sicherheitsgut, Airbag, Kindersitz bzw. Identity Management, Redundanz, Penetration Testing) unterscheiden.

Organisatorische Maßnahmen betten die Technik in ein Sicherheitsgerüst ein, etwa Verkehrslenkung (Verkehrsschilder), Verkehrsüberwachung, gesetzliche Regelungen (Gurtenpflicht) bzw. Standards und Policies (ISO17799, Basel II, SOX), Awareness-Schulungen, Audits, Rechtsvorschriften (Datenschutzgesetz).

In die letzte Kategorie, die persönlichen Maßnahmen, fallen Dinge, die wir als Verkehrsteilnehmer bzw. Computerbenutzer selbst verantworten. Dazu gehören defensives Fahren, korrektes Einhalten der Verkehrsvorschriften, Training der Fahrzeugbeherrschung (Fahrsicherheitstraining) bzw. verantwortungsbewusstes Handeln (Awareness), korrektes Einhalten der Policies, Training des „Ernstfalls“.

Das Problem besteht jedoch darin, dass all die technischen und organisatorischen Maßnahmen kaum greifen, wenn die letzte Kategorie, persönliche Maßnahmen, außer Acht gelassen wird. Unzählige Untersuchungen bestätigen: Mitarbeiter sind das größte Sicherheitsrisiko; Mitarbeiter verursachen 70-80% der Sicherheitsvorfälle (Virenbefall von Systemen, Einschleppung von Trojanern, Datenverlust, unbewusste Informationsweitergabe, und vieles mehr) im Unternehmen. Aber nicht boshafte Mitarbeiter sind das Problem, Unwissenheit ist das Dilemma: „Denn sie wissen nicht, was sie tun.“

Phishing und Social Engineering sind die Sicherheitsthemen der Gegenwart und Zukunft. Bereits eine geringe Investition in die Awareness der Mitarbeiter, in bewusstseinsbildende Maßnahmen bezüglich IT Sicherheit, rechnet sich sofort. Der bekannte Sicherheitsguru unserer Zeit, Bruce Schneier, sagt dazu: „Nur Amateure hacken Systeme, Profis hacken Menschen.“

Wir brauchen Menschen die verantwortungsbewusst handeln, Der Mitarbeiter muss mit Wissen ausgestattet werden, das es ihm ermöglicht, Gut und Schlecht zu unterscheiden. Im täglichen Leben verwenden wir den Hausverstand um unbekannte Situationen zu meistern, in der IT müssen wir den Hausverstand erst trainieren.

Wie Bremsen, Verkehrsvorschriften und defensives Fahren für unser eigenes Überleben beim Autofahren essentiell sind, so braucht auch die IT Sicherheitsmaßnahmen technischer, organisatorischer und vor allem persönlicher Art um uns das Überleben in der virtuellen Welt zu ermöglichen.

Wolfgang Schnabl - 23.7.06

 

Taxifahrt

Ich bin bei einem Kundentermin in der Wiener Mariahilferstraße. Mein Thema ist, wie so oft, Sicherheitsmaßnahmen, die man im IT Bereich treffen muss, um sich vor Angriffen von außen zu schützen und einen reibungslosen Ablauf des internen IT Netzes zu gewährleisten. Wie auch bei anderen Kunden liegen beim heutigen Gespräch die größten Probleme in der Unwissenheit der Benutzer und dem Fehlen entsprechender Sicherheitsrichtlinien.

Zur Heimfahrt suche ich mir ein Taxi an einem der vielen Standplätze in der Mariahilferstraße. Beim Einsteigen bemerke ich, dass der Fahrer einen Laptop vor sich hat und offenbar im Internet surft. „Moment bitte, ich schicke noch schnell diese Mail ab“ kam seine kurze Aussage. „Toll“, dachte ich mir, „auch vor den Taxifahrern machen die modernen Technologien nicht halt.“ „Aha, sie haben eine Vodafon Karte und sind damit überall online“, sagte ich zu ihm. Einen kurzen Moment schaute er mich an, lächelte und entgegnete: „Oh nein, viel zu teuer. Ich verwende Funknetze. Aber nicht die öffentlichen Hotspots, wo man zahlen muss. Es gibt überall frei zugängliche WLAN Netze von Heimbenutzern, aber auch von Firmen. Ich suche mir meine Standorte so aus, dass ich immer gratis im Internet surfen kann.“

Diese Antwort verblüffte mich doch etwas. Natürlich weiß man, wie unsicher WLAN sein kann, und ich predige es ständig meinen Kunden. Dennoch wird Sicherheit hartnäckig ignoriert und es besteht noch immer die landläufige Meinung: „wer sollte denn bei mir schon eindringen, ich hab ja nichts Wichtiges auf meinem Rechner“. Hier jedoch gibt’s ein konkretes Beispiel. Und mein Taxifahrer war nun wirklich kein Hackertyp, er war einfach auf der Suche nach einem gratis Internetzugang.

Warum ist es so leicht in fremde Netze einzudringen, auch ohne tiefes technisches Wissen? Es gibt natürlich viele Gründe dafür, aber man kann es meiner Meinung nach auf einen Punkt bringen: Der stolze Besitzer einer WLAN Umgebung hat keine Ahnung von den Gefahren, im Gegenteil, er verkündet selbstbewusst von seiner technischen Errungenschaft. Aber unsere IT Welt ist plug-and-play geworden, und das bedeutet immer, eingebaute Sicherheitsmechanismen sind standardmäßig ausgeschaltet. Dabei reicht es manchmal das Handbuch zu lesen, um im Produkt vorhandene Sicherheitsmaßnahmen zu aktivieren; manchmal braucht man dafür allerdings einen Experten, der die größeren Zusammenhänge versteht und das System individuell absichern kann.

Niemand käme ohne die nötigen Fachkenntnisse auf die Idee die Bremsen seines Autos selbst zu reparieren. Am Computer setzt der Hausverstand aus, wir sind plötzlich alle Experten!

Wolfgang Schnabl - 21.5.06

 




Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Andererseits betrachte ich meine Artikel als "offenes Material", d.h. andere dürfen sie bei entsprechendem Hinweis auf die Autorenschaft gern verwenden. Dies ist in Anlehnung an das Konzept des Copyleft.