19. August 2017

Was ist sicher?

Was ist sicher?

Eine interessante Frage, insbesonders wenn es keinen Kontext für die Frage gibt.

Wir stellen uns diese Frage nun aber im Zusammenhang mit der Informationssicherheit, mit Fokus auf deren Teildisziplin der IT-Sicherheit.

Warum ist diese Frage so wichtig? Es gibt viele Bücher, Leitfäden, Anleitungen und Ratschläge auf dem Weg zu einer sicheren IT. Backup da, Firewall dort, Virenschutz hier, Passwörter nach vorne, …

Doch Verwirrung löst beim Kunden jedesmal die Frage danach aus, was für ihn denn nun “sicher” eigentlich bedeutet. Wovor will er sich schützen? Was will er schützen und warum? Den ratlosen Blick in den Augen des Gegenübers hat die IT-Branche selbst zu verschulden. Lange Zeit meinte die IT-Branche sie sie der Arzt der IT. Problematisch dabei aber ist, dass die IT ein Support-Prozess im Unternehmen ist und kein wertschaffender oder wertschöpfender Hauptprozess. Viele Diskussionen branden hier in der IT-Branche auf, dass dem so ja nicht sei und überhaupt und ausserdem. Doch, Kolleginnen und Kollegen, genau so ist es. Die IT ist ein Support-Prozess, nicht mehr und nicht weniger. Auch in der IT-Branche selbst. Die Dienstleistung, die Person an der Kundenfront, das ist der wertschöpfende Prozess, nicht die Bits und Bytes die er für die Ausführung seiner Arbeit benutzt.

Genau diese Problematik ist es, die es der IT so schwer macht, sich vorzustellen, wie es dem Kunden eigentlich geht. Für den Kunden ist die IT ein reiner Supportprozess, der funktionieren muss, damit er seiner Arbeit nachgehen kann und Umsatz (und hoffentlich auch Gewinn) erzielen kann. Ob und wie das ganze funktioniert ist egal, es muss funktionieren. In den letzten Jahren hat sich die IT-Branche aber beim Kunden aufgedrängt und in den Vordergrund gestellt, weil mit der IT ja alles so viel leichter, schneller und besser funktioniert. Was wurde nicht alles vom papierlosen Büro gesprochen? Was hat es gebracht? Eine ausgedruckte Mail im Kundenordner findet sich heute immer noch schneller als in einer Datenbank, insbesonders wenn man sie noch jemandem vorlegen sollte. Was hat das alles mit der Frage nach “sicher” zu tun? Sehr viel. Denn auch die IT-Sicherheit ist ein Supportprozess, allerdings der IT selbst, um diese zu schützen und funktionsfähig im Falle eines Angriffes zu halten. Doch wie wurde über IT-Sicherheit mit dem Kunden gesprochen? Es wurde sehr selten behandelt, was denn nun genau zu schützen ist, denn in diesem Fall hätte es sich ja ergeben können, dass die Firewall, oder das Backup dann doch überdimensioniert sind und man keinen so grossen Wartungsvertrag noch oben drauf setzen kann. Was für ein Jammer für den Sales. Dies soll nun kein Schlag gegen den Sales sein, denn dieser wird von der gewinnorientierten Geschäftsführung angetrieben und muss Zahlen bringen. Aber in all diesem Streben nach mehr Gewinn blieb die Sicherheit an sich auf der Strecke. Nicht weil die Lösungen an sich so schlecht wären, oder gar falsch. Dies trifft zu einem Teil bei den Kunden zu, nämlich dann, wenn ein IT-Dienstleister auf den Sicherheitszug aufgesprungen ist, wegen der Gewinne und nicht weil er sich damit auskennt. So eine Firewall steckt man ja auch nur einfach dazwischen, was kann da schon schiefgehen? Wenn eine Managementoberfläche es geschafft hat, per Google gefunden zu werden, dann ist das ja ein Feature. Aber zurück zum Anfang der Diskussion. Stellen Sie Sich selbst die Frage, was für Sie im Zusammenhang mit Ihren Daten “sicher” bedeutet und für welche Daten dies gilt.

Auch hier greift die Formulierung ja schon etwas zu kurz. Geht es um Daten? Um Dateien? Um Wissen? Um Informationen? Lassen Sie mich die Frage daher präzisieren.

Was bedeutet für Sie “sicher” bezogen auf in Dateien gespeicherte firmenrelevante Informationen, deren Daten für Geschäftsprozesse imanent sind?

Um einen Kunden an dieser Stelle zu zitieren “Wus? Heans I möcht a Sicherheitskonzept, ka wissenschaftliche Arbeit!”

Der Mitbewerb freut sich über einen genervten Kunden und eilt mit einer Standardlösung herbei, schnell und einfach erklärt und toll verkauft.

Doch die Frage was denn “sicher” nun bedeute ist immer noch nicht geklärt.

Was heisst sicher?

Und lassen Sie mich hier nochmals anmerken, es geht um Informationen die in Dateien gespeichert sind und Daten für Geschäftsprozesse liefern. Warum ist dies so wichtig?

Hierfür muss man sich auch etwas mit dem Entstehungsprozess einer Datei befassen.

Am Anfang steht der Mensch. Wie Goethe schon sagte “Denn zuletzt ist es doch der Mensch, der jede Technik lebendig macht”. Tja so ist es. Eine Datei schreibt sich selten komplett von selbst, am Anfang stand immer ein Programmierer. Der Mensch hat ein Wissen in seinem Kopf. Dieses Wissen formuliert er mit Hilfe einer Syntax und der Semantic entweder in Form von Programmiercode oder in Form von Textzeilen oder Zahlen oder was auch immer. Jedenfalls transformiert er sein Wissen mit Hilfe einer Semantic in eine Information und nutzt als Speichermedium eine Datei, so wie ich beim Schreiben dieser Zeilen das Wissen aus meinem Kopf per Tastatur und deutscher Sprache und den arabischen Zeichen per iPad in eine Pages-Datei transformiere. Auf dem Weg aus meinem Kopf wird aus dem Wissen eine Information, die man weiter geben kann. An die geneigte Leserschaft, die sich hoffentlich an diesen Zeilen noch nicht über das zusätzliche Wissen vergeudeten Geldes für diese Information ärgert.

Nun den Ärger darüber, dass im Zuge dieser Transformation von Wissen zu Information und dann über Sender/Empfänger Problematik wieder das auslesen der Information in Wissen bei einem Gegenüber sehr viel an Wissen durch soziographische, kulturelle und intelektuelle Transponder gefiltert und verändert wird überlassen wir den Informations- und Wissensmanagern an dieser Stelle.

Kern der Aussage ist, am Anfang steht ein einzelner Mensch der Wissen in seinem Kopf trägt und dieses Wissen zu einer übermittelbaren Information in Form einer Datei werden lässt. Gehen wir nun vom positiven Fall aus, dass die Information das Wissen so gut enthält, dass der Abfluss dieser Informationen für das Unternehmen schädigend wäre.

Was ist nun sicher?

Sie sehen schon, dass die Frage nach “sicher” auch eine Frage nach dem Wissens- und Informationsmanagement im Unternehmen ist. Einer Disziplin an der grosse Firmen noch immer Arbeiten und nach wie vor scheitern. Aber es ist entscheidend zu wissen, welche in Dateien gespeicherten Informationen sind für das Unternehmen wichtig. Und für diese gilt es zu definieren, was als “sicher” anzusehen ist.

Wieso?

Nun “sicher” kann sein, dass es jederzeit und immer möglich sein muss, dass diese Information im Verlustfall wieder hergestellt werden kann. Brand, Diebstahl, Löschung, oder ein Virus. Das sind alles Möglichkeiten, die einen Verlust verursachen können. Hinzu kommt aber auch noch der Faktor Software-Veralterung. Was wenn die Datei in einem Format gespeichert ist, dass nicht mehr geöffnet werden kann? Oder, im Rahmen der Einführung des XML-Formates in Office-Dateien vielfach demonstriert, was wenn das Format so neu ist, dass nicht mehr alle auf die Information zugreifen können?

So nähern wir uns weiter der Frage nach “Was ist sicher?”.

“Sicher” kann schließlich auch bedeuten, dass gesichert sein muss, dass ein bestimmter Personenkreis immer und jederzeit mit dieser Datei arbeiten können muss. Dann nähern wir uns, dank Smartphones und mobiler Endgeräte der Frage nach dem Zugriff auf die Datei. Wobei “sicher” mit lediglich diesem Fokus auch durch eine DropBox, GoogleDocs, Windows360, iCloud oder andere Dienste gewährleistet werden kann. Aber ist das noch immer “sicher”?

Nun gelangen wir zur nächsten Stufe dieser Frage nach dem “was ist sicher”?

Wenn es für das Unternehmen unerheblich ist, wo die Daten liegen, welches Datenschutzgesetz dafür gilt und wenn sie keine personenbezogenen Daten speichern und damit dem österreichischen Datenschutzgesetz hinsichtlich Speicherort der Daten Folge leisten müssten, so können all die oben angeführten Cloud-Services die Fragestellung nach dem “sicher” zur vollsten Zufriedenheit des Kunden beantworten. Lediglich unangenehm, dass man jetzt nichts verkaufen kann und vermutlich für diese Antwort auch kein Geld bekommen wird. Aber das stellen wir einfach einmal hinten an.

Was ist sicher?

– Jeder soll von überall und immer in der Lage sein auf die Datei zuzugreifen und die Datei muss jederzeit wieder hergestellt werden können, wenn sie verändert, gelöscht oder korrumpiert wurde. Weiters sollen nur firmeninterne Personen Zugriff haben.

Nun diese Erweiterung schließt Public-Clouds weitestgehend aus. Es sind zwar inzwischen Secure-Public-Clouds im entstehen, deren Wirkungsweise gilt es aber noch abzuwarten. Insbesonders ist die Frage zu stellen ob auch personenbezogene Daten gespeichert werden. Diese dürfen nach DSG Österreich nicht verlassen. Jedenfalls bieten sich aber Secure-Public-Clouds für jene Unternehmen an, die eine sichere Form der Dropbox wünschen und für die es kein Problem ist, wenn die Daten bei einem Dritten, dem Anbieter der Secure-Public-Cloud, beispielsweise Sophos, liegen. Für alle anderen sollte der Dienstleister eine Private-Cloud anbieten. Diese ist mit allen Betriebssystemen von Windows über Mac OS bis zu den Unixoiden realisierbar und wird mit einer Firewall-Lösung kombiniert. Die technische Realisierung ist somit kein Problem, aber es hat schon bis zu dieser Stelle länger gedauert, bis aus der Aufgabenstellung “sichere IT” wirklich ein Großteil der Subaufgaben gefiltert werden konnte. Aber ist die Frage nun schon hinlänglich beantwortet? Wir haben immer noch den Faktor Mensch im Spiel. Was ist sicher? Ist “sicher” dass sich auch jeder diese Dateien auf das Notebook laden kann? Dass die in einer Datei gespeicherte Information in ein Blatt Papier per Druck transformiert werden kann? Dass sie auf Facebook gestellt werden kann? Gemailt?

Menschen sind sehr kreativ. Gehen wir von einer Secure-Print-Lösung aus, die im Druckbereich technisch das Höchstmass an Sicherheit bietet. Gehen wir weiters von einer Data-Leaque-Protection oder zumindest Prevention-Lösung aus, die den Transfer über das Internet in welcher Form auch immer weitestgehend unterbindet. So nähern wir uns immer mehr der Beantwortung der Frage des kleinen unscheinbaren Wörtchens “sicher”. Aber die Kreativität kennt keine Grenzen. Mit einer Kamera den Bildschirm abzufotografieren und so die Informationen in ein weiteres Format zu transformieren und aus dem Unternehmen zu transportieren kann an dieser Stelle technisch kaum verhindert werden. Wenn wir an dieser Stelle angelangt sind, dann kann die Information auch nicht jedem zur Verfügung gestellt werden. Es wäre aber auch wieder lösbar und zwar mit organisatorischen Mitteln. Es gibt nur eine bestimmte Anzahl an Terminals, die auf die Information zugreifen können. Terminals können lokal keine Dateien speichern und können auch weitestgehend in ihren Fähigkeiten und Funktionalitäten eingeschränkt werden. Der Raum indem der Terminal steht darf nicht mit einer Kamera (in welcher Form immer) betreten werden und mittels einer Videoüberwachung wird dies auch kontrolliert. So kann man ein Höchstmass an Sicherheit bieten und benötigt hierfür nicht einmal eine Vielzahl an Installationen oder Investitionen.

Die unscheinbare Frage “Was ist sicher?” ist somit in der IT-Sicherheit entscheidend, da die IT-Sicherheit nur ein Supportprozess der Informationssicherheit ist und die IT wiederum nur Supportprozess der Geschäftsprozesse eines Unternehmens. Im Laufe der Klärung der Frage ist auch ersichtlich, warum es eine Rolle spielt, dass die IT nur als Supportprozess gesehen wird. Denn grundlegend schützt man nicht die IT an sich, sondern den Geschäftsprozess der durch und mit der IT am Laufen gehalten wird. In diesem Geschäftsprozess werden die Informationen benötigt um sie weiter zu verarbeiten im Rahmen der Wertschöpfungs- bzw. Wertschaffungskette. Betrachtet man die IT für sich alleine, so wird man im Schutzbereich nie bis in die Ebenen des Geschäftsprozesses vorstossen und diesen effizient und effektiv schützen können. Es ist jedoch, Dank den bisherigen Bestrebungen der IT-Branche, ein sehr weiter Weg bis an jene Stelle an der geklärt wird, was eigentlich für das Unternehmen “sicher” bedeutet und welche Auswirkungen eine Unterbrechung des Sicherheitsprozesses hat.

Komplizierter wird es sogar noch, wenn die Möglichkeiten des Social-Engineers in die Gleichung nach einer “sicheren” Lösung eingebracht werden. Oftmals stellt man im Zuge der Gespräche mit dem Kunden fest, dass es an einer Kommunikationsstrategie im Unternehmen gänzlich mangelt und versucht wird, diese über das Thema des Social-Engineerings zu erlangen. Dies ist aber völlig fehlgeleitet. Der Umgang mit externen Anrufern am Telefon kann das Social-Engineering in dieser Form nicht klären. Es kann die Gefahren und Angriffsmodelle eines Social-Engineers am Telefon aufzeigen und insofern schulen, dass ein möglicher Angriff erkannt werden kann. Wie aber mit diesem Angriff in weiterer Folge umgegangen wird, wie diesem begegnet wird, wie generell mit externen Sales-Anrufen umgegangen wird ist keine Frage des Social-Engineerings, sondern der Unternehmenskommunikation. Ähnlich der Erziehung von Kindern versuchen hier Unternehmen die Verantwortung und die Findung eines Lösungsprozesses von sich abzuschieben und an eine vermeintlich kompetente Stelle abzugeben. Aber gleich wie die Lehrerschaft nicht in der Lage ist, eine gute Kinderstube im Elternhaus zu ersetzen, weil ihr dafür einfach die Mittel und die zeitlichen und finanziellen Ressourcen fehlen, so kann auch ein externer IT-Dienstleister nicht ein völlig fehlgeleitetes internes Unternehmensmarketing verändern und korrigieren. Aber natürlich ist es dann leichter, nicht die eigenen Fehlentscheidungen zu erkennen sondern das Versagen an anderer Stelle zu suchen.