Content: Blog

Kritik der Sicherheit - Teil 2

← zurück zum Blog

Thomas Bader

Thomas Bader
10.01.2014

Kaum mehr weg zu denken ist er, der Begriff Sicherheit. Ist er doch überall präsent; sei es in den Medien, in Werbematerial, in Strategiepapieren oder rechtlichen und regulatorischen Vorgaben. Der erste Teil zeigte auf, inwiefern Schutzmassnahmen und der Wert des zu Schützenden zusammenhängen. Der zweite Teil beschäftigt sich damit, was ein Sicherheitsdispositiv ist.

Die Machttechnologie der Gesellschaft besteht aus drei Mechanismen: Die rechtlichen, die disziplinarischen und die sicherheitsrelevanten. Gesetze verbieten, die Disziplin schreibt vor und die Sicherheit hat die Funktion auf die Realität zu reagieren - sie aufzuheben, zu regeln, einzuschränken oder zu bremsen. Es handelt es sich um ein komplexes Gefüge, mit gegenseitiger Beeinflussung und laufender Weiterentwicklung.

Auf eine Firma angewendet heisst dies: Die meisten Gesetze treten von aussen an die Firma und sie sind nicht verhandelbar. Je nach Branche sind sie zudem anders. In einem weiteren Sinn bestehen auch innerhalb der Firma Gesetze (z.B. Verträge mit Dritten), dies soll jedoch in dem Artikel nicht beachtet werden. Eine Bank muss eine wesentlich grössere Menge an Gesetzen beachten als eine Autowerkstatt. Aus der Disziplin ergeben sich Prozesse und Vorschriften, z.B. im Bereich der Qualität von Dienstleistungen oder dem Vorgehen bei der Auf/Abschaltung von Diensten für den Kunden. Die Sicherheit reagiert auf die Realität bzw. auf Bedrohungen. Diese können akzeptiert, vermindert oder verändert werden. Dies basiert auf statistischen Wahrscheinlichkeiten, in der Vergangenheit gemachten Erfahrungen, Empfehlungen von Herstellern und Standards und Best Practices.

Die drei Dispositive beeinflussen sich. Eine Vorgabe aus einem Gesetz kann sowohl Vorschriften in der Firma als auch Sicherheitsmechanismen beeinflussen. Ein Schritt in einem Prozess kann zwingend verlangen, dass eine bestimmte, sicherheitsrelevante Massnahme umgesetzt ist. Ebenso kann eine Erkenntnis der Sicherheit verlangen, dass Dienstvorschriften angepasst werden.

Security Measures2.jpg


Ein Sicherheitsdispositiv ist eine Sammlung von berechneten Wahrscheinlichkeiten, rationalen Entscheidungen und der Vorstellung, wie sich Interaktionen innerhalb und ausserhalb des Dispositiv verhalten. An einem Beispiel gezeigt: Die Auf- oder Abschaltung von Verschlüsselungsmechanismen ist ein bewusster Entscheid innerhalb des Sicherheitsdispositivs, der darauf basiert:

-    welche Chancen und Risiken bringt die Verschlüsselung
-    welche Kompatibilität hat die Verschlüsselung zur Software der Kunden
-    welche Funktionalität bietet der Lieferant der eigenen Software an
-    welche Wahrscheinlichkeiten besteht bzgl. des Eintreten von möglichen Schäden
-    welche Folgeschäden können nach dem Eintreten eines Sicherheitsvorfalls entstehen
-    welche auftretenden Risiken sollen durch weitere Massnahmen verringert werden
-    welche potentiellen Schäden sind akzeptabel, welche sind tolerierbar und welche sind inakzeptabel
-    was ist aufgrund geltender Vorschriften möglich
-    wo müssen Vorschriften angepasst werden
-    ergeben sich Konflikte mit dem Gesetz

Hat sich das Sicherheitsdispositiv entschieden, die Verschlüsselung einzuführen, dann muss die Disziplin entsprechende Weisungen erstellen, damit alle beteiligten die Umsetzung korrekt vornehmen. Denn wenn niemand angehalten wird die Verschlüsselung zu aktivieren, dann setzt sie sich auch nicht durch. Auf den ersten Blick wirkt diese Aufzählung abschreckend, kann die Menge an Faktoren doch zu langen Diskussionen, vielem Frust und einer Überlastung von Personalressourcen führen. Und es ist in der Tat so, dass man sich mit der Thematik lange beschäftigen kann.

Der Aufwand zur Pflege eines Dispositiv hängt auch mit der Firmengrösse zusammen, was unbedingt beachtet werden sollte. Bei einer kleinen Firma ist die Umgebung, welche das Sicherheitsdispositiv als Realität wahrnimmt, kleiner. Bei grösseren Firmen wird mehr Aufwand notwendig. Auf jeden Fall kann das Dispositiv nicht perfekt sein - die Realität verändert sich, und das Dispositiv wird immer einen Schritt hinter der Realität zurück liegen. Eine Firma soll sich deshalb nicht davon abgeschreckt fühlen, sich mit der Sicherheit zu beschäftigen. Die Arbeit am Dispositiv ist nie beendet, laufende Pflege und Prüfung ist notwendig. Zudem muss man nicht alles gleichzeitig schaffen. Zuerst mindestens in einem Teil der Firma zu beginnen ist besser, als gar nicht erst etwas zu unternehmen.
Eine Firma sollte sich minimal Gedanken über folgendes machen:

-    Was ist wichtig, was verdient besonderen Schutz?
-    Werden Gesetze und Vorschriften eingehalten?
-    Wird das Dispositiv aktuell gehalten?
-    Welche Schutzmassnahmen können und sollen aktiviert werden?
-    Wer ist der Angreifer?
-    Was kann ein Angreifer von mir wollen?
-    Was passiert, wenn der Angreifer mir etwas wegnimmt?
-    Was habe ich meinen Kunden versprochen und wodurch werden sie enttäuscht?
-    Kann die eigene Organisation - bewusst oder unbewusst - Schäden bei Dritten verursachen?
-    Welche Massnahmen müssen in der Technik aktiviert werden?
-    Welche Funktionalität bietet der Lieferant der Technik?

Wichtig ist dabei auch zu verstehen, dass dies, was Schutz verdient, nicht zwingend etwas physisches sein muss. Es gibt neben materiellen Gütern auch immaterielle, wie z.B. geistiges Eigentum, Firmengeheimnisse oder die Kommunikation mit Kunden. Für eine Firma, die Software entwickelt, wäre es katastrophal, wenn geschützter Quellcode der eigenen Applikationen veröffentlicht wird. Für einen Dienstleister kann es, je nach Branche, katastrophal sein wenn Daten seiner Kunden veröffentlicht werden.

Auch der Begriff des Angreifers ist mehrdeutig. Auf den ersten Blick denkt man bei dem Begriff an einen Menschen, der via Internet auf eine Infrastruktur verbindet. Es können aber auch viele weitere Dinge als abstrakter Angreifer verstanden werden. Dies geht über fehlenden Verträge (z.B. wenn ein Lieferant keine Sicherheitsupdates bereit stellt), defekten Komponenten (z.B. der Ausfall eines kritischen Storage-Systems), mangelnder Schulung von Mitarbeitern bis hin zu fehlenden oder nicht korrekt durchgeführten Backups.

Abschliessend soll darauf hingewiesen werden, dass ein Sicherheitsdispositiv nie für sich alleine stehen kann. Wie gezeigt spielen daneben noch das Recht und die Disziplin eine Rolle. Es soll nicht vergessen werden, die Sicherheit in internen Vorschriften, Prozessen, Verträgen und ähnlichem zu integrieren.


Die «smart, kompetent und leidenschaftlich» - Services für Unternehmen