Clay Shirky: Institutions vs. collaboration

Gestern Abend wurde ich in einer Diskussion an folgendes Video erinnert, welches ich während des Studiums gesehen habe. Unter anderem geht es um die Nachteile die eine Organisation mit sich bringt:

  • Aufwand (Kosten) um die Organisation zu etablieren und aufrecht zu erhalten
  • und die Organisation wird zum Selbstzweck
Kollaborative Systeme haben hier entscheidende Vorteile. Seien wir gespannt, was die Zukunft bringt 🙂

Lessons Learned nach 12 Jahren IT: Sicherheit (2)

Am 1. September 2012 starte ich in einem neuen Job und werde nach 12 Jahren das erste Mal nicht mehr in der IT arbeiten. In den kommenden Wochen möchte ich ein wenig über meine Erfahrungen in dieser Branche erzählen, dabei handelt es sich um meine subjektive Meinung.

Beinahe jede Woche hört man in den Medien, dass eine Webseite gehackt wurde, ein neuer Virus unterwegs ist oder dass Daten von einem Unternehmen entwendet wurden. Warum ist das so? Ich mache folgende Gründe dafür verantwortlich:

Die virtuelle Bedrohung ist nicht so offensichtlich wie Gefahren im realen Leben. Fällt man einem Phishing-Attacke zum Opfer und landet auf einer Webseite einer vermeintlichen Bank, so sieht alles wahrscheinlich so aus, wie auf einer legitimen Webseite. Deshalb vertraut man dieser gefälschten Webseite. Geraten wir im realen Leben in eine gefährliche Gegend, merken wir das recht bald und können reagieren.

Das zweite Problem ist, dass IT-Systeme sehr komplex sein können sind und so Fehler oft nicht bemerkt werden. Solche Probleme können über Jahre (oder Jahrzehnte) in einer Software vorhanden sein, ohne dass diese bemerkt werden. Selbst wenn man Zugriff auf den Quellcode hat, ist dies kein Garant dafür, das Fehler entdeckt werden. Der Leser des Codes versucht den Code zu verstehen und verfällt wahrscheinlich in dieselbe Denkweise wie der ursprüngliche Entwickler.

Der nächste Punkt mögen manche vielleicht als üble Behauptung abtun: Oft steht das Funktionieren eines Systems im Vordergrund. Das Projekt ist im Verzug, die Kosten überschritten… Die Hauptsache ist dass das System endlich live geht, die Sicherheit kommt dann vielleicht zu kurz.

Nebst Massnahmen wie Firewalls, Antivirus, Proxies etc. haben Unternehmen sicher auch Policies an welche sich die Benutzer halten müssen. Jedoch nehmen solche Verhaltensregeln implizit an, dass der Benutzer dem Unternehmen wohl gesinnt ist. Was ist mit Benutzern, welche innerlich abgeschalten haben und nur noch Dienst nach Vorschrift machen? Nicht erst seit dem Deutschland CDs von Schweizer Banken kauft wissen wir, wie es um das Einhalten solcher Policies steht.

Und last but not least, haben Sie gewusst das Schweizer Unternehmen oft mehr fürs Toilettenpapier ausgeben als für IT-Sicherheit? Aber immerhin steigt die Zahl der Mitglieder eines Management Boards, welche die Datensicherheit für ein wichtiges Thema halten.

Bisherige Artikel unter dieser Rubrik:

Lessons Learned nach 12 Jahren IT: Anforderungen (1)