Risiken ein­dämmen

Software und Technik alleine sind dumm! Wer Sie bedient sollte wissen was er tut. Der fünfte Teil der Serie zur Digi­ta­li­sierung zeigt, dass nicht nur Angriffe und Malware für Verlust und Ver­fäl­schung von Daten ver­ant­wortlich sind.

Schutz vor Viren und Angriffe aus dem Internet sind die Feinde, vor denen man sich im Internet in Acht nehmen muss. So sug­ge­rieren es ja auch gerne die Online-Medien. Fehler, Fehl­be­dienung, Defekte und Sabotage dagegen sind weit weniger gefährlich und gehören einer aus­ster­benden Art an – so scheint es. Man möchte fast meinen, diese gehören nicht zu den ernst­zu­neh­menden, all­täg­lichen Risiken, deren sich Unter­nehmer bewusst sein sollten. Dies belegt auch die DsiN-Sicher­heits­­­studie 2012 , bei der die Benutzer- und Rech­te­ver­waltung oder der Umgang mit mobilen Geräten etc., also Grund­lagen für den „Sicheren Betrieb“ für Sicher­heits­software, deutlich hinter dem nackten Einsatz von Sicher­heits­software zurück­bleibt. Auch nehmen es, lt. Umfrage des BITKOM , die Arbeit­geber mit der Sicherheit scheinbar nicht so genau.

TÜV und Kun­den­dienst gab es ja früher auch nicht. Ebenso wenig wie Sicher­heits­gurte. Warum nochmal wurden diese ein­ge­führt? War es die Sicherheit in immer dichter wer­dendem Verkehr und dessen zuneh­mende Geschwin­digkeit – oder auch die Inge­nieure, die immer bil­ligere Pro­dukte ent­werfen sollten? Es ist schon seltsam, dass die Wahr­nehmung in unter­schied­lichen Lebens­be­reichen so weit aus­ein­ander liegt.

Schöne heile Welt?

Das Thema Mobi­lität kommt laut DsiN-Sicher­heits­­­studie an! Schön!? Nur nicht bei dem Aspekt „Sicherheit“! Hier ist pro­zentual sogar ein Rückgang zu ver­zeichnen. Besonders toll finde ich auch, dass nur 2% keine Inter­net­si­cherheit haben. Sieht auf den ersten Blick wirklich gut aus – leider wissen wir nicht, wie viele dieser Nutzer als Admi­nis­trator ins Internet gehen und wegen Nutzung sozialer Medien auch aktive Inhalte und Flash etc. ver­wenden. Vor­keh­rungen durch Benutzer-/Rech­­te­­ver­­­waltung werden bei knapp 30% ver­nach­lässigt. Bei Orga­ni­sation & Com­pliance sieht es noch etwas schlechter aus. Geschäfts­briefe werden nun in ¾ der Fälle per E‑Mail aus­ge­tauscht, nur leider in über 50 % der Fälle ohne Sicherheit.

Fazit: Echt schräg! Wer die Wech­sel­wir­kungen nicht beachtet, kann sich in Summe kaum geschützt nennen.

Warum der kurze Abriss? Ich will mal im Bild bleiben: Bremsen sind dran! Aber kein ABS, keine Nacken­stütze oder Gurt etc. Auch der TÜV ist abge­laufen (äh: nicht vor­handen;-) – und dann hat der Fahrer auch noch keinen Füh­rer­schein! Aber hallo!

Den Anbietern von Sicher­heits­lö­sungen wird’s ganz warm ums Herz! Da kommt es auch nicht von ungefähr, dass mit DE-Mail und nPA ver­sucht wird, die Kom­mu­ni­kation mit der staat­lichen Ver­waltung auf sichere Beine zu stellen: Wer ist tat­sächlich der Absender, wurde unver­fälscht über­mittelt und ist die Mail frei von schäd­licher Software? Aber der Otto-Nor­­mal­­ver­­­braucher wettert: „Alles nur Ver­kaufs­stra­tegie!“ Nun, wenn jeder bei einem Sicher­heits­vorfall das Män­telchen des Schweigens darüber legt, ist es nicht ver­wun­derlich, dass so wenig ver­meldet wird.

Her­an­ge­hens­weise

Eine mög­liche Erklärung dafür könnte sein, dass wenig über die Wech­sel­wir­kungen von unter­schied­lichen Maß­nahmen gesprochen wird. Gut, das ist natürlich nicht so einfach: Da jedes Netzwerk anders auf­gebaut ist, gibt es „im Detail“ keine Stan­dard­maß­nahmen und natürlich keinen Standard bei den Wech­sel­wir­kungen. Es ist letztlich wie bei der Ein­nahme ver­schie­denster Medi­ka­mente: fragen Sie Ihren Arzt oder Apo­theker. Damit ist bei der Vielzahl der Mög­lich­keiten der Cete­­ribus-Paribus-Ansatz sowohl für die beratend Tätigen (als Ver­käufer) als auch für den Unter­nehmer (als Kunden) ein­facher und ver­ständ­licher.

Nur leider – leider ist damit das Ganze eben nicht mehr als die Summe der Ein­zel­teile, sondern im Zweifel eben sogar deutlich weniger. Ein Bei­spiel: Der teu­erste Viren­scanner ist nichts wert, wenn eine Web-Site die Kon­fi­gu­ration ver­ändern kann. Aller­dings gibt es „im All­ge­meinen“ durchaus beschreibbare Wech­sel­wir­kungen, die mit wenig Aufwand für ein trag­fä­higes Fun­dament an Sicherheit sorgen.

All­täglich, aber unter­schiedlich wahr­scheinlich:
unvoll­ständige Kon­zepte, Fehler, Fehl­be­dienung, Defekte und Sabotage

Internet- und E‑Mail-Sicherheit sind mit und ohne Cloud bzw. mobilen End­ge­räten nur dann effektiv, wenn ein Fun­dament aus Benutzer-/Rech­­te­­ver­­­waltung und Orga­ni­sation & Com­pliance vor­handen ist. Alles andere ist Maku­latur! Ein teurer Spaß, sich so in die Tasche zu lügen.
Daneben exis­tieren natürlich auch Fehler, Fehl­be­dienung, Defekte und Sabotage in den eigenen Reihen. Ja, auch das Aller­hei­ligste ist nicht ohne Fehl und Tadel. Und nicht nur der Mensch macht Fehler, sondern auch die von ihm erschaffene Hardware und die Software – ein bös­wil­liger Angriff von außen ist für Verlust oder Ver­fäl­schung von Daten zunächst einmal gar nicht erfor­derlich. Nur war es im Papier­zeit­alter etwas schwerer, innerhalb von Sekunden alles zu ver­ändern.

Ele­mentare Schutz­vor­keh­rungen

Diese Risiken müssen durch ent­spre­chende Maß­nahmen im Unter­nehmen abge­si­chert werden: Als wich­tigster Punkt muss eine wir­kungs­volle Daten­si­cherung bestehen, die im Pro­blemfall als Fall­back­stra­tegie fun­giert. Man beachte besonders das Attribut„wirkungsvoll“. Hat der Ver­ant­wort­liche für die Daten­si­cherung eine voll­ständige Liste aller Geräte und der tat­sächlich ver­wen­deten Daten­pfade? Oder herrscht anar­chi­sches Chaos, bei dem jeder spei­chert, wo es ihm gefällt – und sichert was im wichtig ist? Sind auch alle mobilen Geräte und Daten­träger berück­sichtigt? Funk­tio­nieren im Zweifel die Siche­rungs­medien? Kein Scherz: Unsere Erfah­rungs­werte sprechen hier ihre eigene Sprache.

Indem Daten­be­stände in regel­mä­ßigen Inter­vallen (täglich!?) gesi­chert werden, aber die Siche­rungen meh­rerer Tage/Wochen/Monate par­allel vor­ge­halten werden, lassen sich Daten auch vor Fehl­be­dienung und Fehlern in Soft- und Hardware schützen, da dann im Zwei­felsfall immer eine Siche­rungs­kopie vor­handen ist, die vor dem Fehler erstellt wurde. Aller­dings setzt dies eine gewisse Ordnung und Richt­linien zur Daten­ver­ar­beitung, Daten­haltung und Daten­pflege voraus. Wer sollte sonst fest­stellen, dass plötzlich eine Datei oder ein Datensatz fehlt – oder die Werte diese Woche ganz anders aus­sehen, als noch vor einer Woche. Die DsiN-Sicher­heits­­­studie zeigt hier ein­deu­tigen Hand­lungs­bedarf auf!

Mit „Richt­linien“ ist bereits das nächste Stichwort gefallen. Damit wird eine der tra­genden Säulen zur Nach­hal­tigkeit von Pro­zess­ab­läufen und Wert­schöpfung auch zum Hüter der Sicherheit. Die Rede ist hier von Com­pliance. Dar­unter ver­steht man sowohl die Ein­haltung von internen Ver­hal­tens­regeln als auch von Gesetzen.

Die Benutzer- und Rech­te­ver­waltung ist ein Teil der auto­ma­ti­sierten Form von Com­pliance, ebenso wie Regeln zur Archi­vierung, Betriebs­prüfung und Daten­schutz etc. Die Akten­ordner der frü­heren Zeit, zu denen nur aus­ge­wählte Mit­ar­beiter Zugriff hatten, finden ihr Pendant in der Rech­te­ver­waltung. Die Zugriffs­rechte können aller­dings nur dann durch­ge­setzt werden, wenn eine sichere Authen­ti­fi­kation des jewei­ligen Nutzers statt­ge­funden hat. Dies wie­derum setzt eine Benut­zer­ver­waltung voraus, die bei­spiels­weise mit Hilfe von Benut­zername und Passwort sicher­stellt, welche Person welche Benut­zer­kennung ver­wendet.

So weit so gut. Aller­dings gehört es eben­falls zu Com­pliance, dass sich die fest­ge­legten Zugriffs­rechte auch auf Daten­si­che­rungen und mobile Geräte erstrecken – und Fest­platten nicht einfach aus­gebaut werden können. Denn sonst werden diese Richt­linien so schnell unter­laufen, wie sie auf­ge­stellt wurden. Dies ist aller­dings nur durch orga­ni­sa­to­rische Maß­nahmen möglich.

Durch die zuneh­mende Öffnung ins und Zusam­men­arbeit über das Internet bzw. durch die Nutzung von Cloud-Fun­k­­tionen ist ebenso ein wirk­samer Schutz vor unbe­rech­tigtem Zugriff auf das eigene Netzwerk not­wendig. Dies gilt ebenso für die Anbindung von Home-Office-Arbeits­­plätzen oder mobilen End­ge­räten wie Smart­phones wie auch für den Zugriff innerhalb eines Unter­nehmens.

Und warum der ganze Aufwand, wenn wir von den gesetz­lichen Vor­schriften mal absehen? Ein Bei­spiel: Wenn jeder nur auf die Daten zugreifen kann, die er für die Arbeit benötigt, können Fehler sich nur auf die eigenen Daten aus­wirken. Der ganze Rest ist geschützt, dar­unter fallen nicht nur die Daten anderer Mit­ar­beiter, sondern auch das Betriebs­system und die instal­lierten Pro­gramme. Darüber hinaus können Fehl­be­dienung und Sabotage ein­zelnen Per­sonen zuge­ordnet werden.

Ebenso wichtig wie der Schutz vor Fehl­be­dienung und Fehl­funk­tionen ist der Schutz vor schäd­licher Software. Doch ent­gegen der gän­gigen, aktu­ellen Pres­se­mel­dungen gelangt diese nicht nur über das Internet ins Unter­neh­mens­netzwerk. Auch durch die Unacht­samkeit von Mit­ar­beitern kann diese, beim Ver­wenden mobiler Geräte über die USB-Schnit­t­stellen der PCs oder WLAN, ins Netzwerk gelangen. Bewusst lie­gen­ge­lassene USB-Daten­­träger sorgen immer wieder für Mel­dungen. Mein per­sön­licher Favorit ist aber immer wieder der Kauf von infi­zierter neuer Hardware, deren Treiber oder Software. Vor allem wenn diese Teile an einem Server verbaut werden, der über keinen eigenen Viren­schutz verfügt.

Fazit:
Weder Mensch noch Maschine sind unfehlbar. Gerade durch die zuneh­mende Digi­ta­li­sierung und die Flüch­tigkeit des Mediums sollte ein Unter­nehmen zunächst die spe­zi­fi­schen Risiken im eigenen Unter­nehmen ein­dämmen. Erst dann können darauf auf­bauende tech­nische Sicher­heits­vor­keh­rungen ihren Nutzen ent­falten.

Im nächsten Beitrag, der Anfang Februar erscheinen wird, zeige ich auf, wie viel Sicherheit nötig ist um sicher im Internet zu agieren.

Die wei­teren Bei­träge zu dieser Serie:

Teil 1 “Hand­lungs­bedarf bei neu ent­stan­denen Sicher­heits­lücken”

Teil 2 “Die Rolle des eGo­vernments bei der digi­talen Kor­re­spondenz”

Teil 3 “Daten­schutz und Daten­si­cherheit beginnen am Arbeits­platz”

Teil 4 “Pro­zesse orga­ni­sieren, sicher arbeiten”

Teil 6 “Sicher mit dem Internet agieren”

Teil 7 “Wie viel Sicherheit ist nötig — Wie viel ist genug”

Bild:  © Rainer Sturm / pixelio.de