Kauderwelsch der IT-Systeme

Kommunikationsprobleme in und mit der IT!

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Brauchen wir für eine verständliche Kommunikation in und mit der IT nur ein Wörterbuch oder doch einen Übersetzer? Oder ist es vielleicht sogar eine hoffnungslose „Mission Impossible“?
Brauchen wir für eine verständliche Kommunikation in und mit der IT nur ein Wörterbuch oder doch einen Übersetzer? Oder ist es vielleicht sogar eine hoffnungslose „Mission Impossible“? (© pathdoc - stock.adobe.com)

Die Fähigkeit zur umfassenden Kommunikation ist zweifelsohne eine der wesentlichen, den Menschen auszeichnenden, Fähigkeiten. Anders als bei Tieren ist die menschliche Kommunikation in der Lage, auch komplexe Informationen zu vermitteln und abstrakte Konzepte wiederzugeben. Speziell in der IT scheint den Menschen aber die Fähigkeit zur verständlichen Kommunikation abhanden gekommen sein.

Manchmal scheint es, als würde die Menschliche Fähigkeit zur umfassenden Kommunikation komplexer Inhalte innerhalb der IT deutlich an Qualität verlieren. Denn die Kommunikation zwischen Anwender und IT verliert an Wirksamkeit. Was verwundert, denn die IT ist eigentlich nichts anders, als der verlängerte Arm eines Programmierteams, welches sich um Kom­mu­ni­ka­ti­on, Design und Abläufe kümmert – und aus Menschen besteht, wie der IT-Nutzer auch.

Mit einem Augenzwinkern wird immer behauptet: „Der Fehler sitzt vor der Tastatur“. Was im Wesentlichen aussagt, dass der IT-Nutzer die IT nicht richtig bedienen bzw. anwenden kann. Wobei man dabei aber vergisst, dass auch Programmierteams „vor der Tastatur“ sitzen und ebenso für diese Kommunikationsprobleme verantwortlich sind!

Lösungsansatz

Daher ist es durchaus üblich, Programmierteams in Kommunikations-Disziplinen zu schulen und auch den Anwender im Rahmen eines Trainings mit einer Anwendung vertraut zu machen. Wobei der erzielte Wirkungsgrad von verschiedenen Faktoren (Themendarstellung, Lernwille, Komplexität, Wissen, Präsentationsart …) beeinflusst wird.

Man hat aber früh erkannt, dass ein wesentlicher Blocking-Point für die breite Masse bei der PC-Nutzung, in der Art der Interaktion liegt. Denn die Anzahl der IT-Nutzer, die bereit sind mit einem User-Interface zu arbeiten, welches mit Kommandos wie DIR, BACKUP oder PWD, WC und AWK gesteuert wird, ist einfach zu gering. Also stülpt man eine leicht zu verstehende, grafische Benutzerschnittstelle über den Computer und preist dies als ultimative Lösung an. Die Praxis bestätigte auch diese Annahme und der Siegeszug der grafischen Oberflächen setzt sich bis heute fort.

Also alles in Ordnung – oder? Nun ja, fast, denn durch die Komplexität der heutigen IT und die Vergabe von Entwicklungsaufträgen an den preiswertesten Anbieter scheint es, als würden die Kommunikationsprobleme in der IT verstärkt auftreten – trotz Anwender-Training.

Phishing im eigenen Teich

Security-Startups im Blickpunkt: Lucy Security

Phishing im eigenen Teich

06.04.18 - Cyberkriminelle werden immer besser darin, täuschend echte Phishing-Nachrichten zu erstellen, die unbedarfte Mitarbeiter dazu verleiten sollen, Daten weiterzugeben oder die Malware der Angreifer zu installieren. Unternehmen können entweder ausschließlich auf Security-Technik setzen, um wichtige Kunden- oder Produktionsdaten zu schützen, oder sie können ihre Mitarbeiter trainieren und so zu einer weiteren Verteidigungslinie gegen Phishing-Angriffe machen. lesen

Mission impossible?

Der Lösungsansatz, den Anwender im korrekten Umgang mit neuen Medien, aktualisierten Programmversionen und maschinengestützten Workflows per Training zu unterstützen ist sinnvoll! Mitunter gleicht diese Aufgabe aber einer der zwölf Aufgaben des Herkules, die nur ein Halbgott erfolgreich lösen kann. Bestes Beispiel dafür sind Phishing-E-Mails die den Anwender tagtäglich belästigen. Denn eine GUI und andere Schutzsysteme haben auch Ihre Grenzen und so muss öfter, als dies den Verantwortlichen lieb ist, der (geschulte) Endanwender eine Entscheidung zur Kategorisierung treffen.

Für bekannte Angriffsarten wie beispielsweise der erforderliche Passwortwechsel bei einer Cloud-Anwendung oder die Verifikation von Bankdaten für eine Überweisung ist der IT-Nutzer meistens in der Lage, den Angriff zu erkennen. Aber wenn neue Themen und Ideen in Phishing-E-Mails umgesetzt werden, wird die Identifikation deutlich schwieriger. Und die Angreifer sind kreativ, wie eine Übersicht der genutzten Themen im Phishing-Umfeld zeigt. Das Unternehmen KnowBe4, Anbieter von Security Awareness-Schulungen, stellt in seinem Report für das Q4/2018 die Top 10 der Betreff-Zeilen bei Phishing E-Mails vor.

Der IT-Nutzer kann hier oft nicht unterscheiden, was real und was Fake ist – denn die Fachbegriffe klingen plausibel, die Sprache ist flüssig und weitestgehend frei von grammatikalischen Fehlern und u.U. ergibt sich auch noch ein Bezug zur Arbeit oder vertrauen Handlungsabläufen (Passwortverifikation).

Ein Phishing-Angriff ist kein Fehler, den ein Programmierteam begeht oder ein IT-Nutzer, aber es ist die tägliche Praxis dessen, was möglich ist, wenn es an einer verständlichen Kommunikation fehlt. Verständliche Kommunikation, die sich beispielsweise in Anwendung oder einer Webpage mit einem plakativen Hinweis darstellt wie: „Wir fordern Sie nie auf, Zugangsdaten online zu ändern – rufen Sie uns an, wenn Sie eine derartige Aufforderung erhalten!“ fehlen häufig.

Wenn derartige Hinweise vorhanden sind entdeckt man sie oft nur nach einer intensiven Suche in Untermenüs oder tief vergraben in Informationsschriften. Weshalb? Nun, weil Entwickler einen anderen Focus haben und man nicht unbedingt jedem IT-Nutzer derart auffällig mitteilen muss, dass die genutzte Applikation durch Cyberkriminelle per Phishing-E-Mail attackiert wird.

IT-Sicherheit für die Basis

Security-Startups im Blickpunkt: Perseus

IT-Sicherheit für die Basis

11.01.19 - Viele kleine und mittelständische Unternehmen stehen Themen wie Digitalisierung 4.0, Cloud Computing, IT Security und der DSGVO recht hilflos gegenüber. Denn Experten sind rar und entsprechende Arbeitsplätze sind oft, aus den unterschiedlichsten Gründen, verwaist. Ein junges Berliner Startup-Unternehmen versucht KMU bei den Themen Datenschutz und Cybersicherheit Hilfestellung zu geben. lesen

Wörterbuch benötigt?

Eine weitere Herausforderung für IT-Nutzer sind sehr häufig unverständliche Meldungen, die durch eine Applikation an den Anwender ausgegeben werden. Unverständlich deshalb, da der Benutzer das verwendete Fachvokabular einfach nicht kennt und versteht. Erhält man beispielsweise nach dem Versand einer E-Mail an „PaulMaier2@xyzfirma.de“ den SMTP-Fehler 550 gemeldet so ist diesem in der Regel auch eine Information zur Ursache beigefügt.

Lautet diese „Mailbox unavailable“ beginnt normalerweise das Rätselraten, was passiert ist. Warum ist die Mailbox nicht erreichbar? Ist der Mail-Server gestört, wurden Rechnung für den Service nicht bezahlt, ist die E-Mail-Adresse unvollständig oder falsch? Dass die E-Mail-Box nicht verfügbar ist, liegt aber ggf. einfach daran, dass es keine gibt, die auf den Namen „PaulMaier2“ lautet. Entweder liegt ein Tippfehler vor, oder Hr. Maier schreibt sich anders oder er hat kein Postfach mehr bei dem E-Mail-Hoster bzw. arbeitet nicht mehr bei dem betreffenden Unternehmen.

Das Rätselraten könnte man sich sparen, wenn man mehr Informationen an den Nachrichten-Empfänger liefern würde, beispielsweise nach dem folgenden Muster, indem ein erklärender Text hinzugefügt wird.

Aktion nicht ausgeführt:“mailbox unavailable“ –> Mögliche Ursachen

  • Fehler 550 Empfänger unbekannt
  • Fehler 550 Ungültige Adresse
  • Fehler 550 Postfach nicht gefunden
  • Fehler 550 Empfängeradresse abgelehnt: Empfänger nicht bekannt
  • Fehler 550 Abgelehnt, da ein Verstoß gegen Richtlinien
  • Fehler 550 Empfänger hat zu viele E-Mails auf dem Server (Kein freier Speicherplatz mehr verfügbar)
  • Fehler 550 Dauerhafter Fehler bei einem oder mehreren Empfängern

Problematisch ist, dass es sich bei dem SMTP-Fehlercode 550 um einen generischen Wert handelt, der bei vielen Fehlern ausgegeben wird.

  • 550 5.7.1: Message rejected as spam by Content Filtering (Exchange Server)
  • 550 5.2.1: Mail from refused spam site

Die Zusatzinformationen, die eine bessere Analyse erlauben, werden aber oft unterdrückt oder nur in Datenbereichen sichtbar, die dem normalen E-Mail-Anwender unzugänglich sind.

Auch die Bereitstellung von Informationen bzw. Fehlermeldungen in der Landessprache des Absenders (via Domain-Extension ermittelbar), sind heute leider noch nicht üblich, obwohl dies nützlich wäre und zum Verständnis beiträgt. Man kommuniziert also, aber unterschlägt die wesentlichen Informationen. Fast so, als würde man sich zu einem Geschäftsessen verabreden, ohne Ort und Zeit zu nennen.

Übersetzter benötigt?

Viele Anwender sind ja willig, sich um die Sicherheit Ihres Systems zu kümmern. Aber diese Bereitschaft erlahmt oft, wenn man sich mit unverständlichen Meldungen konfrontiert sieht. Ein gutes Beispiel ist hier die Windows-Ereignisanzeige, die eine Vielzahl von Informationen, Warnungen, Fehlermeldungen und auch kritischen Hinweisen liefert. Doch wenn man es realistisch betrachtet, helfen diese keinem Endanwender groß weiter. Das Eventlog liefert zwar viele Daten, doch diese sagen Otto Normaluser nichts. Selbst wenn er, nun beispielsweise nach dem Error Code 10016 auf die Suche geht, wird er ggf. fündig. Microsoft gibt hier Entwarnung, da dies ein erwarteter Fehler ist (Diese 10016-Ereignisse werden aufgezeichnet, wenn Microsoft-Komponenten versuchen, auf DCOM-Komponenten ohne die erforderlichen Berechtigungen zuzugreifen. In diesem Fall wird dies erwartet und ist beabsichtigt.) Weshalb aber dieser Code dann als Fehler gemeldet wird und nicht eher als Information bleibt offen.

Analysiert man im Event-Viewer weitere Windows-Protokolle, beispielsweise aus den Bereichen Anwendung, Sicherheit oder System, wird man eine Vielzahl von Meldungen finden, die einen unguten Eindruck hinterlassen. Aber die Analyse der Inhalte und vor allem die konkrete Ableitung von Maßnahmen überfordern einen Endanwender massiv – nicht nur vom zeitlichen Aufwand her.

Selbst „einfache“ Windows-Fehlermeldungen, wie sie nach, oder bei einem Update auftreten (Windows Update Fehlercode 0x80245006), sind für den Anwender unverständlich und nicht nachvollziehbar.

Ein Update von Programmen oder Komponenten des Betriebssystems ist heutzutage eine komplexe Angelegenheit. Während man vor 10 Jahren einfach eine Datei kopierte und das Update war erledigt, gestaltet sich dieser Vorgang heute wesentlich aufwendiger.

  • Dateien kopieren ggf. in Abhängigkeit von Hardware- und Software-Komponenten
  • Registrieren und verknüpfen in andere Anwendungen
  • Aktualisieren der Windows-Registrierungsdatenbank
  • Update von Zertifikats- und Lizenzinformationen
  • Löschen von alten Daten, Schlüsseln und Informationen
  • Konvertieren von gespeicherten Daten in ein neues Format
  • etc.

Warum nun ein Update scheitert, das ggf. eine neu entdeckte Schwachstelle behebt, wird in der Analyse üblicherweise den Software-Experten vorbehalten bleiben, denn dem Anwender fehlen konkrete Hantierungsanweisungen (für 0x80245006 genügt es oft, den Softwaredistributions-Ordner umzubenennen) und meistens auch das entsprechende Rüstzeug zur Analyse. Als Folge davon ist das Eventlog und andere Informationsquellen für die Mehrzahl der Anwender ein „Sperrgebiet“, dessen Besuch nicht lohnt.

Wären die Meldungen sprechender, könnten ggf. auch die Anwender ihr Verhalten der Situation anpassen und somit Ausfallzeiten reduzieren, was mittelfristig wieder die Effektivität steigert. Doch dies ist ein Thema, welches auf Seiten der Produkt-Entwicklung vorangetrieben werden muss. Denn Fehlermeldungen sollen nicht nur Selbstzweck sein, sondern eine Kommunikation forcieren, die einen Mehrwert generiert.

Whitelisting statt Virenscanner

Whitelisting-Lösung von Seculution

Whitelisting statt Virenscanner

03.05.19 - Computerviren und Würmer traten schon in den frühen 70er Jahren erstmals auf und erlebten ihre Hochzeit in den 80ern und 90ern. Auch heute ist Malware noch eine der größten Bedrohungen für die Netzwerksicherheit. Lange galt der klassische, signatur­basierte Viren­scanner als Waffe der Wahl gegen diese Schädlinge. Heute soll künstliche Intelligenz vor Malware schützen. Aber es gibt auch noch eine dritte Methode. lesen

Entscheider benötigt?

Selbst vergleichsweise einfache Security-Meldungen lassen viel Raum für Entscheidungen zu. Virustotal, anerkanntes Tool zur Analyse von verdächtigen Programmen meldet, nach der Überprüfung einer Datei durch 69 Tools, bei 12 Tools eine positive Identifikation. Gefunden wird ein Trojaner.

Bei dieser Ausgangslage muss man sich fragen, weshalb andere, gute Anti-Malware-Tools, wie z.B. von Avira, F-Prot, Kaspersky, Microsoft oder Symantec nichts melden? Daran, dass die Programmdatei brandneu ist, kann es nicht liegen, denn die erste „Submission“ erfolgte vor über einem Jahr und der aktuellen Überprüfungen gingen auch andere voraus.

Also ist es nun ein echter Alarm oder ein False-Positive? Auch ein Thema, das der Endanwender nicht entscheiden kann. Aber ggf. entscheiden muss, um ein Tool einzusetzen (im Business besteht i.d.R. für den Endanwender keine Möglichkeit, als virulent gekennzeichnete Programme und Tools zu nutzen). Aber Otto Normaluser, als Privatmensch ist sein eigener Security-Administrator, der keinen fachlich ausgebildeten Entscheider fragen kann.

Obwohl die Kommunikation klar ist, enthält sie keinen Hinweis wie man nun auf das Problem reagieren soll. Eine Information im Unternehmen, die besagt „Bei positiver Malware-Identifikation ist der Einsatz des Tools verboten“ wäre hier hilfreich. Möglicherweise würde auch der Anwender diese Handlungsanweisung in sein privates Umfeld übernehmen und so Schaden vermeiden. Auch Virustotal liefert hier keine Hilfestellung – aber der Dienst ist auch in erster Linie ein Tool für die Security-Experten und liefert nur Fakten, ohne diese zu bewerten.

Mehr Service benötigt?

Es ist nicht verwunderlich, dass Anwender, die sich durch IT Sicherheit überfordert fühlen oder auch im Stich gelassen sehen, nach Auswegen suchen. Hilfe versprechen Tools (Optimierungsprogramme), die nicht nur Malware beseitigen, alte Dateien löschen, Systemfehler beseitigt, unnütz belegten Speicherplatz freigeben, sondern auch aus langsamen PCs wahre Renn-Boliden zaubern. Die ideale Lösung also, denn man muss sich nicht im Detail auskennen und das Tool beseitigt sämtliche Fehler im System. Da ist man doch gerne bereit, 50 Euro zu investieren, wenn der PC dadurch wieder fit wird. Doch leider verbirgt sich hinter dem idealen Security-Tool oft nur Schadsoftware vom Type PUP (Potentially Unwanted Program), welches dem Anwender untergeschoben wird und mit dem die ECHTEN Probleme erst beginnen. Auch wenn dies ein Security-Problem ist, welches überwiegend auf privater Ebene auftritt, die Gründe sind die gleichen, wie im Business-Umfeld. Ein überforderter Endanwender!

Anwender verstehen nicht, was ihnen die IT-Tools oder auch Security-Programme mitteilen wollen, da dies hinter Fachbegriffe versteckt ist oder erst nach intensiver Recherche verständlich wird!

Der Report des Grauens

DSGVO und kein Umdenken in puncto Sicherheit

Der Report des Grauens

03.06.19 - Security-Spezialist Varonis hat für seinen Global Data Risk Report 2019 Zugriffsberechtigungen und das Active Directory von 758 Unternehmen weltweit analysiert. Das Ergebnis ist ernüchternd. Nicht nur werden oft veraltete Daten und Accounts weiter vorgehalten, manche Ordner sind zudem öffentlich zugänglich. lesen

Umdenken nötig?

Technik ist kompliziert – einerlei, ob es sich um die Steuerung eines PKW-Motors handelt, die Kontrolle eines AKW, die intelligente Steuerung von Ampelanlagen oder etwas anderes. Auch IT-Sicherheit ist kompliziert! Auch wenn man keine Handbücher aus Papier mehr verteilt, weil die Anwendungen ja „selbsterklärend“ ist, bedeutet dies nicht, dass die Anwendung für den Benutzer nicht doch zu kompliziert ist. Dies tritt meist erst dann zu Tage, wenn es zu Problemen und Fehlern kommt, denn dann werden oft nichtssagende Fehlerinformationen ausgegeben, die dem Anwender nicht helfen.

Letztendlich ist die Ursache dafür eine schlechte Kommunikation, die oft auf Seiten der Programmentwicklung nicht ausreichend auf die Bedürfnisse der Zielgruppe eingeht. Denn ein Buchhalter soll seine Buchhaltung machen, ein Einkäufer günstige Preise aushandeln und ein Verkäufer den Markt kennen. Dass hier jeder Security-Experte sein muss, nur weil er ein Smartphone oder einen Laptop nutzt ist ein Trugschluss. Auch hellseherischer Fähigkeiten, die genau identifizieren, was hinter dem Hex-Fehlercode „45 4e 44 45“ steht sind fast nicht vorhanden.

Ein Trugschluss, der vor allem den Tool-Herstellern angelastet werden muss, die sich zu wenig um diese Problematik kümmern. Dies obliegt dann den Security-Abteilungen, die ohnehin schon überlastet sind. Spötter empfehlen: „Setze keine Produkte ein, die eine „Servicehotline“ haben!“, denn diese Produkte sind oft nicht fehlerfrei und reifen quasi erst beim Anwender – sogenannte Bananensoftware.

Will man die IT-Sicherheit voranbringen, muss man sicherlich den Anwender schulen, aber auch beim Einkauf von Tools und Produkten nicht nur auf den Preis achten, sondern auch auf Qualität – auch bei den Fehlermeldungen, dem Umgang mit Problemen und der verfügbaren „Paperware“ (Alternativ elektronisches Lesematerial wie ein PDF, zur Nutzung des Tools und Interpretation von Problemsituationen).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45975679 / Mitarbeiter-Management)