Erst 25 Jahre sind vergangen, seit sich Computer Kids einen Spass daraus machten, die DEC VAX-Rechner der ETH vom heimischen Telefon aus zum Absturz zu bringen. Damals konnte man einen Akustikkoppler mit dem Telefonhörer verbinden und so mit maximal 300 Bits pro
Sekunde mit anderen Systemen Daten austauschen. Bezüglich Sicherheit hatte man sich bis dahin kaum Gedanken gemacht – die VAX-Rechner zum Beispiel stürzten einfach ab und mussten neu gestartet werden, wenn Ihnen ein Zeichenstring von mehr als 70 oder 80 Zeichen übermittelt wurde.
«Das Ungedachte denken»
Bis dahin hatte schlicht niemand daran gedacht, dass eine überlange Zeichenfolge überhaupt am System ankommen könnte, weil die angeschlossenen Systeme keine solchen Zeichenfolgen produzieren konnten. Mit der Öffnung nach aussen durch die Anbindung der Modems wurden erstmals völlig neuartige Endgeräte angeschlossen, die auf das Gesamtsystem nun ganz andere, unerwartete Auswirkungen haben können. Dabei soll dies nur ein Beispiel sein. Die Herausforderung für die Sicherheitsexperten auf der ganzen Welt liegt darin, «das Ungedachte zu denken», d.h., Zusammenhänge zu sehen, die sich aus der aktuellen Entwicklung ergeben und Szenarien zu entwickeln, dem zu begegnen. Und es sei nur nebenbei bemerkt, dass auch heute noch immer mal wieder sogenannte «Buffer Overflows» vorkommen …
«Trial and Error führte zu Verbesserung»
Durch die stetige Auseinandersetzung mit neuen Schwachstellen und Bedrohungen wurde die IT-Welt immer sicherheitsbewusster. Trial and Error führte zur stetigen Verbesserung der Gesamtsicherheit. Die grösste Herausforderung der letzen Jahre war dabei wohl die Kommerzialisierung und breite Nutzung des Internets, dessen Haupt-Design-Anspruch war, auch unter unmöglichsten Bedingungen noch weitestgehend zu funktionieren – und das deshalb schon per definitionem keine Sicherheit eingebaut hatte.
«Das Internet bietet ‹by design› nur Verfügbarkeit»
Von den drei heiligen Säulen der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – bietet das Internet von den Technologien her ‹by design› eigentlich nur Verfügbarkeit. Deshalb war hier besonders viel Nachholarbeit zu leisten, um den Anforderungen der Nutzer bezüglich Vertraulichkeit, Privacy, usw. Rechnung zu tragen. In einigen Fällen ist es da noch immer nicht zum besten bestellt: dass E-Mails beispielsweise im Klartext übertragen werden und prinzipiell von jedermann gelesen – und sogar unbemerkt verändert – werden können, wird einfach nur hingenommen, weil diesbezüglich wenig Bewusstsein besteht.
«Die IT hat ihre Hausaufgaben gemacht»
Generell darf aber festgehalten werden, dass die IT in Sachen Technologie ihre Hausaufgaben gemacht hat. Heute kann ein überzeugendes Sicherheitsniveau erreicht werden, wenn die «Best Practices» befolgt und gelebt werden. Dasselbe gilt auch für die Prozesse, die in den letzten Jahren enorme Fortschritte in Bezug auf Sicherheitsoptimierung erfahren durften. Dabei profitieren die Verantwortlichen vor allem von den umfangreichen Vorarbeiten im Bereich «Best Practice»: Grundschutzhandbuch und der BS7799 seien erwähnt und natürlich auch die wahre Explosion an ISO-Standards, die gegenwärtig stattfindet. Schliesslich erhöhen auch die regulatorischen Anforderungen wie SoX und Basel II das Sicherheitsniveau und sind aus dieser Perspektive betrachtet höchst willkommen.
«Der Mensch als grösstes Risiko»
Durch die erfolgreichen Anstrengungen der letzten Jahre in den Bereichen Technologie und Prozesse kam ein neuer Sicherheitsfaktor ins Bewusstsein: der Mensch. Schnell wurde dieser zum «grössten Risiko» erklärt – gleichzeitig aber auch zur grössten Chance. Das ist so durchaus auch richtig: In Bezug auf das Investitionsvolumen für entsprechende Massnahmen konnte beim Menschen eine aussergewöhnlich hohe Steigerung des Sicherheitsniveaus erreicht werden. Zudem war diese rasch zu erreichen und umzusetzen; allerdings benötigt der Erhalt des hohen Niveaus eine kontinuierliche Unterstützung und das Etablieren einer eigentlichen Sicherheitskultur.
Die Ansätze für die «Schwachstelle Mensch» waren durchaus kreativ. Mit umfangreichen Awareness-Kampagnen wurden die Mitarbeitenden ausgebildet, oft auch obligatorisch und für einen grossen Teil des Gesamtunternehmens. Dabei kamen E-Mails, Flyer, Poster, Filme, E-Learning, Workshops und vieles andere zum Einsatz. Sofern es sich um abgestimmte, integral und langfristig angelegte Kampagnen handelt, die auch vom Management her wirklich getragen und vorgelebt werden, sind dies auch heute noch ausgezeichnete Mittel zur relativ kostengünstigen Erhöhung des Gesamtsicherheitsniveaus.
«Das Individuum Mensch als grösstes Risiko»
Die Herausforderung in solch breit angelegten Awareness-Kampagnen liegt in der Unterschiedlichkeit der anzusprechenden Empfänger. So hat eine juristische Sachbearbeiterin zum Beispiel einen völlig anderen Hintergrund als ein IT-Crack, der sich im Selbststudium dazu entwickelt hat. Die «Empfänger» sind quasi «nicht auf derselben Frequenz» – und dies macht es auch für einen begabten «Sender» nicht leicht, seine Botschaft zu übermitteln.
«Schlüsselstellen im System»
In jedem System gibt es Schlüsselstellen, die für das einwandfreie Funktionieren unerlässlich sind. Für die Sicherheit des Unternehmens ist es kritisch, die «Schlüsselfiguren» und allfällige Risikofaktoren zu identifizieren. Dabei sind zwei Sichten anzuwenden: Zum einen ist dies die organisatorische Sicht. Welche Stellen im Organigramm konzentrieren besonders viel oder hochbewertetes Know-how (z.B. Stabsstellen, Forschung&Entwicklung)? An welchen Stellen ist das «Need-to-Know-Prinzip» nicht oder nur beschränkt durchsetzbar (z.B. Administratoren, oberes Kader)? Solche Schlüsselfiguren zu identifizieren fällt nicht leicht, wenn – wie in der Praxis oft erlebt - eine gewisse «Betriebsblindheit» vorliegt. Es empfiehlt sich deshalb, einen externen Consultant beizuziehen, der sich in kurzer Zeit einen Überblick über die Organisation verschaffen kann und Ihnen Ihre wichtigsten Schlüsselpositionen aufzeigt.
«eine individuelle Sicht auf Mitarbeitende»
Dieser erwähnte organisatorische Fokus reicht aber nicht aus! Darüberhinaus müssen die Schlüsselfiguren individuell eruiert und angesprochen werden. Quasi»mit einer anderen Brille» werden einzelne Personen angeschaut und für sie spezifische Faktoren ermittelt. Gibt es in einem Team beispielsweise seit langem Querelen wegen einer Person oder einem «ewigen Thema»? Stehen Veränderungen im Unternehmen an, die mit Entlassungen oder Teamänderungen einhergehen, welche jemand als Bedrohung empfindet? Hat sich jemand in letzter Zeit verändert, ist vielleicht introvertiert, verschlossen geworden oder hat seinen Lebensstil sehr verändert? Ist eventuell eine Mitarbeiterin von Krankheit oder Tod in der Familie betroffen und dadurch in ihrem Alltags-Erleben und -Leisten eingeschränkt?
«den Blick weiter machen»
Wir sind in der IT – und insgesamt – gefordert, den Blick weiter zu machen und uns alter Scheuklappen zu entledigen. Dabei gilt zur Schaffung von mehr Sicherheit weiterhin das Bewährte: Technologie soll ständig verbessert werden. Prozesse müssen kontinuierlich optimiert werden. Die Mitarbeitenden müssen in Awareness-Programmen nachhaltig geschult werden. Eine eigentliche Sicherheitskultur muss geschaffen werden. Sicherheit ist nicht starr und tot, Sicherheit wird «gelebt». Und endlich auch müssen individuelle Faktoren berücksichtigt werden, «weiche Faktoren», die auf Ebene der Einzelperson zu betrachten sind. Wenn Sie auch die «Soft Factors» mutig anerkennen und in den Griff bekommen, schaffen Sie Ihrem Unternehmen einen erheblichen Marktvorteil.
