IT-Sicherheit im Firmenalltag – Anspruch und Wirklichkeit

Passwort-Management beispielhaft für schlechte Sicherheitspolitik im Unternehmen

30.10.2009 | Autor / Redakteur: Dinu-Mathias Fulea, (ISC)² zertifizierter CSSLP / Stephan Augsten

Verzettelt: Der Security-Verantwortliche sollte bedenken, dass der Anwender angesichts übertriebener Richtlinien unwillig oder überfordert werden kann.
Verzettelt: Der Security-Verantwortliche sollte bedenken, dass der Anwender angesichts übertriebener Richtlinien unwillig oder überfordert werden kann.

In vielen Unternehmen wird die Security von den Verantwortlichen zu isoliert betrachtet. Oft fehlt eine genaue Einschätzung, wie viel Sicherheit überhaupt nötig ist. Zudem werden die Mitarbeiter nicht ausreichend in das Sicherheitskonzept miteinbezogen. So wundert es nicht, dass die Diskrepanz zwischen Sicherheit und operativem Geschäft nicht überwunden wird.

Der Schutz von Daten, Systemen, Zugängen oder Netzwerken ist sowohl bei der Einführung einer neuen Software als auch im ganz normalen IT-Alltag ein ständiges Feld von Reibereien, heißen Grabenkämpfen und erbittert geführten Diskussionen. Während für das Security-Departement die IT-Sicherheit höchste Priorität hat, will sich die Belegschaft nicht in ihren alltäglichen Arbeitsprozessen beschneiden lassen.

Beide Positionen sind nachvollziehbar, schließlich will jeder seinen Job möglichst gut machen. Wobei gerade in diesem eindimensionalen Fokus der Wurm steckt. Die oftmals übereifrigen Security-Verantwortlichen richten ihr Augenmerk hauptsächlich auf die Systemsicherheit, während die Mitarbeiter sich durch die ihnen übertrieben scheinenden Sicherheitsmaßnahmen gepiesackt fühlen und eine Kooperation verweigern.

Der skizzierte Konflikt wird am Beispiel der durch Passwörter gesicherten Zugangskontrolle deutlich. Seit der Antike bis zum heutigen Tag wird nach der „Parole“ bzw. dem Passwort gefragt, wenn ein Individuum, dessen Äußeres unbekannt ist, sich authentifizieren soll.

Die digitale Abbildung dieser lang bewährten und weit verbreiteten Technik der Authentifizierung scheint zunächst einmal eine brauchbare Lösung in der IT zu sein. Beim genaueren Betrachten wird jedoch genau hier deutlich, warum einige Sicherheitsmaßnahmen und die damit verbundenen Richtlinien den beschriebenen Konflikt schüren.

Nicht übers Ziel hinausschießen

Stellen wir uns vor, der Verantwortliche für die IT-Security im Unternehmen X ist seit kurzem aus Altersgründen ausgeschieden. Der jetzt pensionierte Fachmann für Sicherheit ist seinem Job stets pflichtbewusst nachgegangen, ohne dabei den Blick für das Ganze zu verlieren. Demnach hatte er immer ein offenes Ohr für seine Kollegen aus dem operativen Bereich und hielt es beispielsweise nicht für notwendig, die Laufzeit der Kennwörter zu beschränken.

Sein Nachfolger, der vor allem durch sein hohes Know-how in Kryptographie während des Vorstellungsgesprächs aufgefallen war, stellte sofort in mehreren Schritten sämtliche Sicherheitsrichtlinien um. Dabei sollten Passwörter plötzlich mindestens zehn Zeichen lang sein, eine Mischung von Groß-, Kleinschreibung und Sonderzeichen beinhalten und zweimal pro Quartal gewechselt werden.

Richtig so, werden viele an dieser Stelle denken, denn Sicherheit ist wichtig und würde durch diese Schritte sicherlich erhöht. „Entschieden zu viel des Guten“, werden all jene entgegnen, die sich die Mühe machen und sehen, dass es sich bei dem zu sichernden System lediglich um ein Intranet ohne Internetanbindung handelte.

Der neue Sicherheitsverantwortliche hat in diesem Beispiel aufgrund seines professionellen Übereifers und eindimensionalen Fokuses versäumt eine Bedrohungsanalyse zu erstellen. Stattdessen hat er mit Kanonen auf Spatzen geschossen.

Seite 2: Abwehrhaltung resultiert aus schlechter Absprache und Koordination

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2041921 / Security Management)