„Für Sicherheit braucht man nur Mitarbeiterschulungen“

Ein Artikel mit eben diesem unsinnigen Titel „Für Sicherheit braucht man nur Mitarbeiterschulungen“ kam gestern auf Zeit-Online. Sicherheit ist niemals eine intrinsische Eigenschaft einer Entität, sondern es kann sie immer nur in Bezug auf etwas Anderes geben (sicher vor Diebstahl, Feuer, Asteroideneinschlägen etc.). Somit ist Sicherheit immer ein System von Maßnahmen im Hinblick auf bestimmte Angriffsvektoren. Daher ist allein unter diesem allgemeinen Gesichtspunkt die Aussage grob falsch, aber auch im engeren Sinne nur bezogen auf Datensicherheit reichen Mitarbeiterschulungen allein bei weitem nicht aus. Bestes Beispiel sind die Einbrüche in EDV-Anlagen über Softwarelücken. Selbst beste Schulungen können diese nicht verhindern. Mitarbeiterschulungen verbessern zwar das allgemeine Sicherheitsniveau, aber ohne jegliche technische Maßnahmen wird es nicht gehen. …

Auch die Behauptung, daß „Unternehmer ein Gespür für die Angriffsmöglichkeiten und die Sicherheitsmaßnahmen entwickeln“ sollen, wird so nicht funktionieren, denn die Einfallstore in die IT sind buchstäblich unsichtbar. Es gibt keine praktikable Möglichkeit zu entscheiden, ob eine Software tatsächlich sicher ist oder nicht, schon gar nicht bei nicht-quelloffener Software. Ein unabhängiges Audit hat meist nicht stattgefunden — zu teuer. Für viele Anwendungen gibt es außerdem Standardanwendungen, entweder man benutzt diese oder eben keine. Mit Fühlen kommt man hier nicht weiter. Für die meisten Unternehmen ist IT-Sicherheit allenfalls ein, wann immer möglich, zu vermeidender Kostenfaktor, da durch sie im Regelfalle kein zusätzliches Einkommen erzielt wird. Neben Unbedarftheit und Naivïtät in den Untenehmen, gibt es immer eine Kosten-Nutzen-Risiko-Abwägung, die so gut wie immer zu Ungusten von Investitionen von IT-Sicherheit ausfällt.

Daß das im Artikel von Jan Wolter beworbene „Handbuch Wirtschaftsgrundschutz“ vom ASW Bundesverband herausgegeben wurde ist eine eher knappe Teilwahrheit, denn der ASW erscheint nur eher nebenbei als Mitherausgeber, wie ein Blick in das Handbuch Wirtschaftsgrundschutz und die dazugehörige Webseite zeigt, bei der man direkt bei den Sicherheitsbehörden landet. Für ein Handbuch empfinde ich den Inhalt dann auch wieder recht dünn, insbesondere unter Berücksichtigung, wer dort Beiträge geleistet haben soll (gelistet sind etliche bekannte große dt. Unternehmen).

Federführend sind dabei das Bundesamt für Verfassungschutz (BfV), auf welches die Webseite Wirtschaftsschutz.info registriert ist und das Bundesamt für Sicherheit in der Informationstechnik, beim dem offenbar die Webseite gehostet wird. Dort darf man sich dann in einer Klickorgie das halbfertige „Buch“ in Form diverser PDFs kapitelweise herunterladen.

Übrigens kann man sich auf der Seite dort auch als Firma registrieren, allerdings nur unter Angabe einer identifizierenden Angabe (IHK-Nummer, RAK-Nummer, USt-Id o.ä.) unter der man dann u.a. folgender Bedingung zustimmt:

Es sind nur Anwenderinnen und Anwender zum Zugang berechtigt, deren Aufgabe im Schutz ihrer Organisation liegt. Die Informationen des Nutzerbereichs dienen ausschließlich dem organisationsinternen Gebrauch. Das Redaktionsteam des Informationsportals behält sich das Recht vor, das Registrierungsgesuch ohne Angabe von Gründen abzulehnen.

Einerseits sollen Mitarbeiter geschult werden, andererseits wird hier versucht den IT-Schutz zu einer Art Geheimwissenschaft zu stilisieren, zu denen nur auserwählte Zugang haben sollen. Security through obscurity hat in der IT noch niemals funktioniert.

Feuerwaechter:~ [2388][0]>whois wirtschaftsschutz.info
Domain Name: WIRTSCHAFTSSCHUTZ.INFO
Domain ID: D53291511-LRMS
WHOIS Server: whois.udag.net
Referral URL: https://www.united-domains.de/whois-suche
Updated Date: 2016-08-09T22:22:24Z
Creation Date: 2014-08-09T13:55:20Z
Registry Expiry Date: 2017-08-09T13:55:20Z
Sponsoring Registrar: United-domains AG
Sponsoring Registrar IANA ID: 1408
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: C-BTK4150-MHXKMD
Registrant Name: Thomas Klausnitzer
Registrant Organization: Bundesamt fuer Verfassungsschutz
Registrant Street: Merianstrasse 100
Registrant City: Koeln
Registrant State/Province:
Registrant Postal Code: 50765
Registrant Country: DE
Registrant Phone: +49.2217923322
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: thomas.klausnitzer@bfv.bund.de

Feuerwaechter:~ [2389][0]>whois 77.87.229.103
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '77.87.224.0 - 77.87.231.255'

% Abuse contact for '77.87.224.0 - 77.87.231.255' is 'abuse@bund.de'

inetnum:        77.87.224.0 - 77.87.231.255
netname:        BSI-IVBB
country:        DE
org:            ORG-BA202-RIPE
admin-c:        OE245-RIPE
tech-c:         OE245-RIPE
status:         ASSIGNED PI
mnt-by:         RIPE-NCC-END-MNT
mnt-by:         BSI-IVBB
mnt-by:         DTAG-NIC
mnt-routes:     BSI-IVBB
mnt-domains:    BSI-IVBB
created:        2007-08-10T07:09:51Z
last-modified:  2016-04-14T10:50:14Z
source:         RIPE
sponsoring-org: ORG-DTA2-RIPE

organisation:   ORG-BA202-RIPE
org-name:       Bundesamt fuer Sicherheit in der Informationstechnik
org-type:       OTHER
address:        Bonn
abuse-c:        AR19622-RIPE
mnt-ref:        DTAG-RR
mnt-ref:        BSI-IVBB
mnt-by:         BSI-IVBB
mnt-by:         DTAG-NIC
created:        2007-07-13T09:04:37Z
last-modified:  2014-03-28T08:55:56Z
source:         RIPE # Filtered

person:         Olaf Erber
address:        Bundesamt fuer Sicherheit in der IT
address:        Postfach 20 03 63
address:        53133 Bonn
address:        Germany
phone:          +49 3018 9582 0
nic-hdl:        OE245-RIPE
mnt-by:         DFN-NTFY
created:        2006-07-11T09:35:17Z
last-modified:  2008-01-02T10:02:57Z
source:         RIPE # Filtered

% Information related to '77.87.229.0/24AS49234'

route:          77.87.229.0/24
descr:          BSI-IVBB
origin:         AS49234
mnt-by:         BSI-IVBB
created:        2014-02-11T13:56:35Z
last-modified:  2014-02-11T13:56:35Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.88 (BLAARKOP)

2 Kommentare

  1. uwe hauptschueler sagt:

    Als Mitarbeiter im ÖDi geb ich auch Stellungnahmen über das Internet ab. Dabei turne ich mit mehreren Kollegen mit gleicher Kennung und gleichem Kennwort auf dem selben Portal rum. Das Kennwort ist noch nie, seit Jahren, verändert worden, obwohl Mitarbeiter regelmäßig ausscheiden.

  2. Sie sind da nicht der Einzige: „Passwörter im TV-Bild: Spekulationen zu TV5-Attacke“. Gerade bei Sozialen Medien und öffentlichen Foren gibt es aber keine andere Möglichkeit wenn man unter einer Kennung auftreten will.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert