Auf dem Weg zur Sicherheit, IT-Sicherheit als Prozess

Oft hört man, dass Sicherheit ein Prozess sei. Dem stimme ich ausdrücklich zu, doch die Frage, die sich stellt ist: Was ist damit gemeint? Ich bin mir sehr sicher, dass darüber unterschiedliche Vorstellungen existieren und ich möchte meine Vorstellung darüber verdeutlichen.

Die erste Frage, die sich stellt ist, was ist denn unter Sicherheit zu verstehen, wie kann ich Sicherheit begreifen? Sicherheit ist für viele Menschen schwierig zu fassen, es ist ein Begriff, der höchst unterschiedlich interpretiert wird. Sicherheit ist eine Eigenschaft, soviel ist klar. Greifbarer wird der Begriff, wenn man die Fragen stellt:

Sicherheit bietet Verlässlichkeit, d.h. man kann vertrauen, man weiß, wie etwas ist, dass bestimmte Dinge nicht passieren, bzw. dass Dinge auf jedenfall passieren. Sicherheit bietet Klarheit, man weiß von wem etwas kommt, weiß wie etwas funktioniert.

Sicherheit ist letztlich das, was jeder im alltäglichen Leben ständig braucht, man muss sich auf Dinge verlassen können. Wenn man in ein Auto einsteigt, erwartet man, dass der Benzintank nicht explodiert, das einwandfreies Fahren möglich ist, dass sich die anderen Verkehrsteilnehmer einigermaßen an die Verkehrsregeln halten. Im Rechtsstaat verlässt man sich darauf, dass man nicht einfach erschossen wird auf der Straße, dass die Rechte einklagbar sind, dass Polizisten nicht willkürlich handeln. Man verlässt sich darauf, dass Lebensmittel nicht vergiftet sind, dass aus der Steckdose Strom kommt usw.

Mit der IT-Sicherheit wollen wir erreichen, dass wir uns nicht täglich um diese blöden blinkenden und piependen Kisten namens Computer, den verbindenden Netzwerken und den gespeicherten Daten Sorgen machen müssen. Die Computer und Netzwerke sollen Arbeitsmittel sein und einfach funktionieren. Wenn doch mal was ausfällt, sollen die Ausfälle keine großen Schäden anrichten, wir wollen und auf die Computer verlassen können. Die Gehaltslisten sollen nicht auf einmal verfälscht sein, die Bilanz sollte nur im gewünschten Rahmen manipuliert sein, E-Mail verschicken sollte immer tun, unsere Interent-Telefonanlage sollte Telefongespräche zu jeder Zeit ermöglichen.

Was könnte z.B. die IT-Sicherheit gefährden?

Wir merken, Sicherheit oder IT-Sicherheit ist etwas komplexes, es umfasst viele Dinge. Wir können nicht erwarten, dass wir uns vor allen Dingen schützen können und wir können auch nicht erwarten, dass wir alle Dinge, die uns gefährden können, zu jeder Zeit ausreichend würdigen. Desweiteren können wir wirklich nicht erwarten, dass wir uns die Hyper-Firewall-Intrusion-Detection-und-Prevention-Kiste in die Ecke stellen und dann sind wir sicher.

Wir werden Fehler machen bei der Analyse, was uns gefährden kann, wir werden Fehler machen bei der Analyse, wie wir den Gefahren begegnen können konzeptionell und wir werden Fehler bei der Umsetzung der Konzepte machen. Diese Feststellung ist extrem wichtig, wir werden Fehler machen. Wir können darüber lange klagen, besser wäre aber darüber nachzudenken, wie wir damit bestmöglich umgehen. Zudem verändert sich gemeinerweise auch noch unsere Umwelt, neue Gefahren kommen hinzu, alte verschwinden, neue Konzepte werden erdacht, neue Techniken erhalten Einzug.

An dieser Stelle hören viele Überlegungen auf, ich will einen weiteren Gedanken einführen. Wir haben es bei der IT-Sicherheit an ganz vielen Stellen mit Menschen zu tun, auch wenn sich der Begriff IT-Sicherheit nicht danach anhört. Menschen haben gewisse Freiheitsgrade im Umgang mit der Technik, die sie haben müssen (man kann über das Maß im Einzelfall wohl diskutieren). Wenn ein Mitarbeiter z.B. Zugriff auf sensible Daten hat, dann kann er den Zugriff selbstverständlich missbrauchen. Es ist zwar eine Frage, wie schwer das ist elektronisch Daten hinauszuschmuggeln aus dem Unternehmen oder der Organisation, aber spätestens, wenn man sein Gehirn zur Speicherung benutzt und es zuhause niederschreibt, kann man realistisch gesehen technisch nichts mehr machen. Hinzu kommt, dass manche technische Sicherheitsmechanismen explizit nur funktionieren können, wenn die Menschen mitspielen wollen. Das schärfste Skalpell nützt nichts, wenn der Chirurg doch lieber für Schnitte Hammer und Meißel nimmt - manche Werkzeuge muss man verwenden wollen und den Umgang kennen, diese Entscheidung liegt beim Benutzer des Werkzeugs.

Wenn Menschen Sicherheitsmechanismen nicht akzeptieren, sind sie oftmals nutzlos oder kaum sinnvoll. Menschen kann man aber nicht programmieren darauf zu akzeptieren, ein guter Teil ist Einsicht und Freiwilligkeit, manchmal gehört auch Nachdruck der Vorgesetzten dazu.

Hier kommt der Prozess ins Spiel, wenn wir Probleme nicht endgültig lösen können, muss es einen Vorgang geben, der sich mit der bestmöglichen Lösung zu jeder Zeit befasst. Dabei ist die bestmögliche Lösung von Zeit zu Zeit wirklich unterschiedlich. Wenn Sicherheitsmechanismen akzeptiert werden müssen, bevor sie funktionieren, dann muss vor der Einführung einer solchen Sicherheitsmaßnahme auch Verständnis geschaffen und der Umgang mit den Werkzeugen geschult werden. Das braucht Zeit und auch Geld, d.h. man hat in vielerlei Hinsicht Prozesse vor sich:

Jedes Sicherheitskonzept, was diese Prozesse nicht einbezieht, wird nicht nur Lücken haben, sondern Scheunentore enthalten. Damit werden Risiken unkalkulierbar, die Verlässlichkeit in die IT ist nicht mehr gegeben. Damit drohen automatisch finanzielle Schäden, die ebenso unkalkulierbar sind. Wer sich dagegen problemlos vorstellen kann, alle seine Daten zu veröffentlichen, alle Daten zu löschen oder zu verändern und ohne Computer und Netzwerke sein Geschäft führen kann, der brauch sich ziemlich wenig Sorgen machen - derjenige muss sich schlicht nicht auf Computer verlassen.

Wenn man sich jetzt fragt, wie man diese Prozesse im Unternehmen etablieren kann, dann ist ganz klar die erste Antwort: Die Geschäftsführung muss dies wollen und zwar ganz. Sie muss dies nicht nur wollen, nein sie muss die treibende Kraft sein und mit gutem Beispiel vorangehen wollen, Vorbild sein wollen.

Jeder System- und Netzwerkadministrator wird das kennen, der für die Absicherung zuständig ist: Macht die Geschäftsführung nicht mit, ist man weitestgehend verloren. Alle Sicherheitsbeauftragte tun ihr bestes, um dennoch wenigstens ein Stückchen Sicherheit zu erreichen, aber jeder weiß doch, dass man scheitert. Es ist ein Kampf, den man verliert und der Feind ist nicht der böse Angreifer in China oder USA, sondern sitzt im Büro nebenan und stellt den eigenen Gehaltsschecks aus. Den zu bekämpfen ist sinnlos und Ignoranten zu überzeugen ist so einfach, wie den katholischen Papst zum Islam zu bekehren. Ich persönlich versuche so etwas nicht mehr, lernen durch Schmerz ist deutlich effektiver, als eine Predigt.

Jetzt ist es natürlich unverantwortlich allein der Geschäftsführung den schwarzen Peter zuzuschieben, wenn es nicht klappt. Denn unfähige Berater, schlechte Konzepte und noch schlechtere Umsetzungen werden schnell zur Motivationsbremse, das ist der erste Schritt zum letzten Schritt zum großen Ziel der IT-Sicherheit. Danach kommt nur noch nervenaufreibender Kampf und Herumdoktorn. Man kann guten Gewissens in einem solchen Fall sagen: der Patient ist tot, möge er in Frieden ruhen. Beim Kampf um Akzeptanz hat man oft nur eine Chance, die sollte man nutzen. Aber auch hier ist natürlich ein Stück die Geschäftsführung gefragt gegenzusteuern, wenn was aus dem Ruder läuft, dafür ist sie schließlich da.

Desweiteren sollte man IT-Sicherheit der Geschäftsführung auch richtig verkaufen. Neben Sachargumenten wie Kostenersparnis, Verlässlichkeit und Gesetzeskonformität, hat Verkauf auch viel mit Emotionen zu tun, das nutzt die Werbung z.B. ganz bewusst. Ich persönlich habe schon diverse irrationale und teure Entscheidungen von Geschäftsführungen erlebt, weil das Angebot einfach die richtigen Emotionen weckte. Aus technischer Sicht waren die Entscheidungen einfach nur dumm, es wurden oft genug nicht einmal die eigenen Techniker dazu befragt. Cool sein und ein hohes Ansehen genießen sind wichtige Dinge für Menschen, auch für Geschäftsführer. Man sollte sich der Emotionen der Menschen bewusst sein und sie für gute Dinge nutzen.

Ich möchte es nochmal betonen: wenn die Geschäftsführung nicht die treibende Kraft ist, sollte man es meiner Meinung nach nicht weiter versuchen IT-Sicherheit voranzubringen. Die Mitarbeiter können einen prima vor die Wand laufen lassen, wenn sie wissen, dass die Geschäftsführung nicht mitspielt. Die Geschäftsführung kann desweiteren durch ihre Entscheidungen alle Sicherheitskonzepte mit einem male wirkungslos machen. Ich hab das alles schon viel zu oft gesehen, es ist wirklich ein Trauerspiel. Meine Lehre ist, dass ich die Finger von IT-Sicherheit lasse, wenn die Geschäftsführung nicht Zugpferd sein will.

Fortsetzung folgt ...