Lessons Learned nach 12 Jahren IT: Sicherheit (2)

Am 1. September 2012 starte ich in einem neuen Job und werde nach 12 Jahren das erste Mal nicht mehr in der IT arbeiten. In den kommenden Wochen möchte ich ein wenig über meine Erfahrungen in dieser Branche erzählen, dabei handelt es sich um meine subjektive Meinung.

Beinahe jede Woche hört man in den Medien, dass eine Webseite gehackt wurde, ein neuer Virus unterwegs ist oder dass Daten von einem Unternehmen entwendet wurden. Warum ist das so? Ich mache folgende Gründe dafür verantwortlich:

Die virtuelle Bedrohung ist nicht so offensichtlich wie Gefahren im realen Leben. Fällt man einem Phishing-Attacke zum Opfer und landet auf einer Webseite einer vermeintlichen Bank, so sieht alles wahrscheinlich so aus, wie auf einer legitimen Webseite. Deshalb vertraut man dieser gefälschten Webseite. Geraten wir im realen Leben in eine gefährliche Gegend, merken wir das recht bald und können reagieren.

Das zweite Problem ist, dass IT-Systeme sehr komplex sein können sind und so Fehler oft nicht bemerkt werden. Solche Probleme können über Jahre (oder Jahrzehnte) in einer Software vorhanden sein, ohne dass diese bemerkt werden. Selbst wenn man Zugriff auf den Quellcode hat, ist dies kein Garant dafür, das Fehler entdeckt werden. Der Leser des Codes versucht den Code zu verstehen und verfällt wahrscheinlich in dieselbe Denkweise wie der ursprüngliche Entwickler.

Der nächste Punkt mögen manche vielleicht als üble Behauptung abtun: Oft steht das Funktionieren eines Systems im Vordergrund. Das Projekt ist im Verzug, die Kosten überschritten… Die Hauptsache ist dass das System endlich live geht, die Sicherheit kommt dann vielleicht zu kurz.

Nebst Massnahmen wie Firewalls, Antivirus, Proxies etc. haben Unternehmen sicher auch Policies an welche sich die Benutzer halten müssen. Jedoch nehmen solche Verhaltensregeln implizit an, dass der Benutzer dem Unternehmen wohl gesinnt ist. Was ist mit Benutzern, welche innerlich abgeschalten haben und nur noch Dienst nach Vorschrift machen? Nicht erst seit dem Deutschland CDs von Schweizer Banken kauft wissen wir, wie es um das Einhalten solcher Policies steht.

Und last but not least, haben Sie gewusst das Schweizer Unternehmen oft mehr fürs Toilettenpapier ausgeben als für IT-Sicherheit? Aber immerhin steigt die Zahl der Mitglieder eines Management Boards, welche die Datensicherheit für ein wichtiges Thema halten.

Bisherige Artikel unter dieser Rubrik:

Lessons Learned nach 12 Jahren IT: Anforderungen (1)

2 thoughts on “Lessons Learned nach 12 Jahren IT: Sicherheit (2)

  1. Kommt dazu, dass der Begriff Sicherheit, ebenso wie der Begriff Qualität, oft missverstanden und fehlinterpretiert wird, oder zumindest von unterschiedlichen Leuten unterschiedlich aufgefasst wird. Daraus ergeben sich dann unsichtbare Diskrepanzen in der Implementierung, die jahrelang verborgen bleiben können.
    Das Leben ist nicht einfach 😉

  2. Das geht so in Richtung meines ersten Beitrag dieser „Serie“ über die Anforderungen. Stimme Dir 100%-ig zu. Dachte mir noch ob ich „Sicherheit“ hätte vielleicht definieren sollen, aber das hätte den Rahmen gesprengt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Captcha * Time limit is exhausted. Please reload CAPTCHA.