Suchen

Mut zum Risiko wird bestraft

Wie menschliche Versäumnisse die IT-Sicherheit im Unternehmen gefährden

Seite: 2/2

Firmen zum Thema

IT-Sicherheit beginnt mit vorausschauendem Denken

Aber diese rückwärtsgerichtete Sichtweise und Ex-Post-Analysen bringen uns zumindest in der IT-Security nicht weiter, denn aus heutiger Sicht sind die Probleme und Risiken sowie veröffentlichte Schwachstellen und Datenpannen keine Unbekannten mehr.

Es scheint so, dass Technologie-Folgeabschätzungen und FMEA-Analysen (Fehler-Möglichkeits- und Einflussanalysen) nur durchgeführt werden, wenn die Auswirkungen eines Risikos extrem groß sein können (wie beispielsweise bei Raketenstarts, Marsexpeditionen und Kernkraftwerken). Doch selbst wenn Probleme und Schwierigkeiten erkannt sind dauert es oft viel zu lange, bis sie behoben werden.

Ein weiteres aktuelles Beispiel: Nur weil Zweitbohrungen nicht zwingend vorgeschrieben sind, soll man sie dann unterlassen? Obwohl wir wissen, dass sie notwendig sind, wenn der Druck im Bohrloch zu groß wird? Sicherungsmaßnahmen werden unterlassen, um Geld zu sparen. Insbesondere, wenn die Folgeschäden nicht klar abzuschätzen sind, wird gerne das Risiko kleingerechnet und vernachlässigt. Bei klarem Menschenverstand und mit etwas Abstand wird klar, dass diese Strategien keine Lösung sein können.

Es muss (erst) etwas geschehen

In der IT-Sicherheit haben wir leider ganz ähnliche Verhaltensweisen und Vogel-Strauß-Strategien: Systeme, die nicht mit neuesten Korrekturen versehen werden, Kennungen die nach Tests weiter gültig sind, Applikationen die „nur mal schnell“ auf den Rechnern installiert werden und dann weiter laufen bis die bekannte Schwachstelle in der Applikation dann doch angegriffen wird. In dieser Art ließe sich eine beliebig lange Liste der Versäumnisse und Nachlässigkeiten erstellen.

Gleichzeitig ist unser Sicherheitsbedürfnis so sehr ausgeprägt, dass daraus eine ganze Industrie entstanden ist. Warum werden aber trotzdem die Existenz und der Fortbestand von Systemen, Organisationen und sogar unseres ganzen Wirtschaftssystems derart gefährdet? Vielfach wird nach dem Motto gehandelt „No risk, no fun“ – und das ist vielen Fällen auch nachvollziehbar. Aber warum muss Security, also die Absicherung gegen Fehlbedienung, das Vermeiden von Schwachstellen und die Reduzierung der Auswirkungen immer erst im Nachhinein eingebaut werden?

Oftmals sind die entsprechenden Techniken zur Absicherung bekannt, werden aber nicht komplett umgesetzt oder aus Effizienzgründen eingespart. Agile Software-Entwicklung ohne Sicherheit? Features first, patching next? Werden Menschen wirklich erst aus Schaden klug?

Ich gehe davon aus, dass unser Job als Sicherheitsverantwortliche in den Unternehmen auch in den nächsten Jahren ein interessanter Job bleiben wird. Gibt es jemanden, der dagegen hält?

Rainer Rehm, (ISC)²-zertifizierter CISSP, arbeitet als Security Architect im Global Security Department bei Nokia Siemens Networks.

(ID:2046751)