Ein Artikel mit eben diesem unsinnigen Titel „Für Sicherheit braucht man nur Mitarbeiterschulungen“ kam gestern auf Zeit-Online. Sicherheit ist niemals eine intrinsische Eigenschaft einer Entität, sondern es kann sie immer nur in Bezug auf etwas Anderes geben (sicher vor Diebstahl, Feuer, Asteroideneinschlägen etc.). Somit ist Sicherheit immer ein System von Maßnahmen im Hinblick auf bestimmte Angriffsvektoren. Daher ist allein unter diesem allgemeinen Gesichtspunkt die Aussage grob falsch, aber auch im engeren Sinne nur bezogen auf Datensicherheit reichen Mitarbeiterschulungen allein bei weitem nicht aus. Bestes Beispiel sind die Einbrüche in EDV-Anlagen über Softwarelücken. Selbst beste Schulungen können diese nicht verhindern. Mitarbeiterschulungen verbessern zwar das allgemeine Sicherheitsniveau, aber ohne jegliche technische Maßnahmen wird es nicht gehen. …
Auch die Behauptung, daß „Unternehmer ein Gespür für die Angriffsmöglichkeiten und die Sicherheitsmaßnahmen entwickeln“ sollen, wird so nicht funktionieren, denn die Einfallstore in die IT sind buchstäblich unsichtbar. Es gibt keine praktikable Möglichkeit zu entscheiden, ob eine Software tatsächlich sicher ist oder nicht, schon gar nicht bei nicht-quelloffener Software. Ein unabhängiges Audit hat meist nicht stattgefunden — zu teuer. Für viele Anwendungen gibt es außerdem Standardanwendungen, entweder man benutzt diese oder eben keine. Mit Fühlen kommt man hier nicht weiter. Für die meisten Unternehmen ist IT-Sicherheit allenfalls ein, wann immer möglich, zu vermeidender Kostenfaktor, da durch sie im Regelfalle kein zusätzliches Einkommen erzielt wird. Neben Unbedarftheit und Naivïtät in den Untenehmen, gibt es immer eine Kosten-Nutzen-Risiko-Abwägung, die so gut wie immer zu Ungusten von Investitionen von IT-Sicherheit ausfällt.
Daß das im Artikel von Jan Wolter beworbene „Handbuch Wirtschaftsgrundschutz“ vom ASW Bundesverband herausgegeben wurde ist eine eher knappe Teilwahrheit, denn der ASW erscheint nur eher nebenbei als Mitherausgeber, wie ein Blick in das Handbuch Wirtschaftsgrundschutz und die dazugehörige Webseite zeigt, bei der man direkt bei den Sicherheitsbehörden landet. Für ein Handbuch empfinde ich den Inhalt dann auch wieder recht dünn, insbesondere unter Berücksichtigung, wer dort Beiträge geleistet haben soll (gelistet sind etliche bekannte große dt. Unternehmen).
Federführend sind dabei das Bundesamt für Verfassungschutz (BfV), auf welches die Webseite Wirtschaftsschutz.info registriert ist und das Bundesamt für Sicherheit in der Informationstechnik, beim dem offenbar die Webseite gehostet wird. Dort darf man sich dann in einer Klickorgie das halbfertige „Buch“ in Form diverser PDFs kapitelweise herunterladen.
Übrigens kann man sich auf der Seite dort auch als Firma registrieren, allerdings nur unter Angabe einer identifizierenden Angabe (IHK-Nummer, RAK-Nummer, USt-Id o.ä.) unter der man dann u.a. folgender Bedingung zustimmt:
Es sind nur Anwenderinnen und Anwender zum Zugang berechtigt, deren Aufgabe im Schutz ihrer Organisation liegt. Die Informationen des Nutzerbereichs dienen ausschließlich dem organisationsinternen Gebrauch. Das Redaktionsteam des Informationsportals behält sich das Recht vor, das Registrierungsgesuch ohne Angabe von Gründen abzulehnen.
Einerseits sollen Mitarbeiter geschult werden, andererseits wird hier versucht den IT-Schutz zu einer Art Geheimwissenschaft zu stilisieren, zu denen nur auserwählte Zugang haben sollen. Security through obscurity hat in der IT noch niemals funktioniert.
Feuerwaechter:~ [2388][0]>whois wirtschaftsschutz.info Domain Name: WIRTSCHAFTSSCHUTZ.INFO Domain ID: D53291511-LRMS WHOIS Server: whois.udag.net Referral URL: https://www.united-domains.de/whois-suche Updated Date: 2016-08-09T22:22:24Z Creation Date: 2014-08-09T13:55:20Z Registry Expiry Date: 2017-08-09T13:55:20Z Sponsoring Registrar: United-domains AG Sponsoring Registrar IANA ID: 1408 Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Registrant ID: C-BTK4150-MHXKMD Registrant Name: Thomas Klausnitzer Registrant Organization: Bundesamt fuer Verfassungsschutz Registrant Street: Merianstrasse 100 Registrant City: Koeln Registrant State/Province: Registrant Postal Code: 50765 Registrant Country: DE Registrant Phone: +49.2217923322 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: thomas.klausnitzer@bfv.bund.de Feuerwaechter:~ [2389][0]>whois 77.87.229.103 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '77.87.224.0 - 77.87.231.255' % Abuse contact for '77.87.224.0 - 77.87.231.255' is 'abuse@bund.de' inetnum: 77.87.224.0 - 77.87.231.255 netname: BSI-IVBB country: DE org: ORG-BA202-RIPE admin-c: OE245-RIPE tech-c: OE245-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-END-MNT mnt-by: BSI-IVBB mnt-by: DTAG-NIC mnt-routes: BSI-IVBB mnt-domains: BSI-IVBB created: 2007-08-10T07:09:51Z last-modified: 2016-04-14T10:50:14Z source: RIPE sponsoring-org: ORG-DTA2-RIPE organisation: ORG-BA202-RIPE org-name: Bundesamt fuer Sicherheit in der Informationstechnik org-type: OTHER address: Bonn abuse-c: AR19622-RIPE mnt-ref: DTAG-RR mnt-ref: BSI-IVBB mnt-by: BSI-IVBB mnt-by: DTAG-NIC created: 2007-07-13T09:04:37Z last-modified: 2014-03-28T08:55:56Z source: RIPE # Filtered person: Olaf Erber address: Bundesamt fuer Sicherheit in der IT address: Postfach 20 03 63 address: 53133 Bonn address: Germany phone: +49 3018 9582 0 nic-hdl: OE245-RIPE mnt-by: DFN-NTFY created: 2006-07-11T09:35:17Z last-modified: 2008-01-02T10:02:57Z source: RIPE # Filtered % Information related to '77.87.229.0/24AS49234' route: 77.87.229.0/24 descr: BSI-IVBB origin: AS49234 mnt-by: BSI-IVBB created: 2014-02-11T13:56:35Z last-modified: 2014-02-11T13:56:35Z source: RIPE % This query was served by the RIPE Database Query Service version 1.88 (BLAARKOP)
Als Mitarbeiter im ÖDi geb ich auch Stellungnahmen über das Internet ab. Dabei turne ich mit mehreren Kollegen mit gleicher Kennung und gleichem Kennwort auf dem selben Portal rum. Das Kennwort ist noch nie, seit Jahren, verändert worden, obwohl Mitarbeiter regelmäßig ausscheiden.
Sie sind da nicht der Einzige: „Passwörter im TV-Bild: Spekulationen zu TV5-Attacke“. Gerade bei Sozialen Medien und öffentlichen Foren gibt es aber keine andere Möglichkeit wenn man unter einer Kennung auftreten will.