Feuer im IT Dach

Wenn Nachrichten aus der IT Welt in die Alltags-News Welt überschwappen dann steigt das öffentliche Interesse. Es gibt unterdessen eine ganze Armada von beobachtenden Gremien, die Sicherheitslücken melden und eindringlich warnen. Zu recht, wie viele Attacken der letzten Zeit zeigen. Ist eine Lücke erstmal publik schalten sich darum immer schneller die Gralshüter der Sicherheit innerhalb und ausserhalb der Unternehmen ins Geschehen ein. Jeder ist jetzt ein IT Experte und weiss was zu tun ist. Das ist gut, weil so IT Sicherheit auf die Agenda kommt. Es ist aber auch schlecht weil Alarm-Stimmung und Aktivismus zum Normalzustand erhoben wird. Unter Druck sind noch nie besonders intelligente Konzepte entstanden.

Folgendes sollte man nicht vergessen:

• Software wird von Menschen gemacht. Menschen haben Fehler, also hat auch Software Fehler. Perfekte Software gibt es nicht. Perfekte Menschen auch nicht.
• Auch die Software, die angeblich eine Sicherheitslücke schliesst kann Fehler haben. Manchmal kommt dann kurz darauf nochmal ein Update für das Update…
• Das Einspielen eines nicht getesteten Updates ist auch ein Betriebsrisiko

Es stossen nun also hier zwei Welten aufeinander, die nur vermeintlich gegensätzliche Interessen haben.

Die Sicherheits-Verantwortlichen:

• Die Sicherheits-Verantwortlichen hören von einer Lücke in Software X
• Sie wollen jetzt auf möglichst jedem System wo Software X installiert ist sofort die Sicherheitslücke schliessen auch wenn das bedeutet ein System mitten am Tag zu stoppen.

Die Betriebs-Verantwortlichen:

• Der Betriebs-Verantwortlichen hören von einem Update, dass Lücken in der Software X beheben soll
• Ist Software X in der bei mir installierten Konstellation betroffen? Ein System in einer isolierten Netzwerkzone muss nicht betroffen sein.
• Wurde das Sicherheits-Update ausreichend getestet?

Eigentlich wollen beide das selbe:

• Den stabilen Betrieb des Sytems erhalten und Reputations- oder finanziellen Schaden vom Unternehmen abwenden.
• Grössere Betriebe haben für Updates vorgesehene Prozeduren und Zeitfenster.
• Für kritische Updates werden dann aber diese Prozeduren oft abgekürzt oder ganz über den Haufen geworfen.

Die Sicherheits-Updates sind ein Nebenschauplatz. Sicherheits-Verantwortliche fokussieren sich oft zu sehr auf eine Feuerlöscher-Rolle statt die grundlegenden Probleme anzugehen. Warum ist das so? Oft sind diese grundlegenden Aenderungen unbequem. Man muss Rechte einschränken und wegnehmen oder Zugriffe verstärken (2-Faktor Authentisierung). Solche Massnahmen sind bei den Benutzern aber unbeliebt und werden oft nur murrend akzeptiert. Bewährte Abläufe dauern länger oder müssen neu gedacht werden. Es lässt sich so kein Blumentopf gewinnen, im Gegenteil. Mit der Feuerlöscher-Rolle hat man aber das Ohr der Verantwortlichen, denn es wird ja aktiv was gemacht und es werden drohende Attacken verhindert.

Sicherheit ist auch eine Organisationsfrage. Geschäftsführer und CEO’s sollten sich nicht damit begnügen einen IT Sicherheits-Verantwortlichen einzusetzen und sich nach jeder verhinderten Attacke auf die Schulter zu klopfen. Sie müssen aktiv eine Bereitschaft innerhalb des Unternehmens fördern, dass sich jeder für Sicherheit verantwortlich fühlt und auch Verständnis für weniger populäre Massnahmen aufbringt wie Einschränkungen von Web-Inhalten oder komplizierte Anmelde-Verfahren. Sicherheitsmassnahmen werden oft von der IT eingeführt und betrieben aber das geht nicht gegen den Willen des Managements. Wenn Sicherheit als Arbeits-Behinderung gesehen wird, dann muss das Management energisch Gegensteuer geben. Sonst ist Feuer im Dach.

Und Sicherheit ist auch teuer. Wo es früher reichte, ein paar Antivirus Lizenzen zu kaufen braucht es jetzt eben auch mehr ausgebildetes Personal und spezialisierte Software sowie Testumgebungen für das Einspielen von Updates etc.

Wer sich nur auf die Feuerlöscher-Rolle beschränkt und keine langfristige Sicherheit-Strategie hat, spielt im wahrsten Sinne des Wortes mit dem Feuer.