![[externer Link]](../../../../images/link.gif)
http://web.mit.edu/nelsonr/www/).Hört man sich unter Mitarbeitern der CERT-Landschaft um, dann gibt es angesichts stetig zunehmender Angriffe – von denen einige nicht ohne Folgen bleiben – immer mehr zu tun, ohne dass sich an den zur Verfügung stehenden Ressourcen viel ändern würde. Tatsächlich ist dieses Problem schon lange bekannt und natürlich nicht nur auf den CERT-Bereich beschränkt. Glücklicherweise (und fatalerweise) bringen aber gerade Mitarbeiterinnen und Mitarbeiter, die sich mit IT-Sicherheit beschäftigen, ein hohes Verantwortungsgefühl mit und investieren dementsprechend viel Zeit in ihre Arbeit.
Gerade wenn etwas geschieht, das nach einem konkreten Vorfall aussieht und weitere Analysen notwendig macht, um überhaupt einschätzen zu können, was genau passiert ist, entsteht ein – zunächst kurzfristiger – Druck; schnell wird der Feierabend verschoben. Denn natürlich ist es motivierend, mit einer wichtigen Aufgabe befasst zu sein – und was ist schon wichtiger als die Sicherheit der Netzwerke?
Solches Verhalten ist positiv und angemessen, wenn es nicht zu häufig vorkommt. Doch es kann schnell zur Regel werden und dann sorgen die "chronischen" Krisensituationen nicht nur für eine ständige starke Belastung der befassten Mitarbeiter, sondern ziehen mittelfristig auch die Leistungsfähigkeit des gesamten Teams in Mitleidenschaft. Das Team sägt quasi auf dem Ast, auf dem es sitzt – im Englischen hat sich hierfür der Begriff "Capability Trap" eingebürgert (s. http://web.mit.edu/nelsonr/www/).
In der letzten <kes> wurde an dieser Stelle auf die Bedeutung des Lernens nicht nur für Menschen, sondern auch für Organisationen als Ganzes hingewiesen. Um aus Fehlern lernen und sich an neue Gegebenheiten anpassen zu können, braucht man jedoch Zeit zur Nachbearbeitung – und die gibt es heute kaum noch. Auch mit der Erkenntnis, dass sich etwas ändern muss, ist es nicht getan: Denn Veränderungen brauchen wiederum Zeit – für die Planung, für das Training, für die Entwicklung oder Anpassung von Werkzeugen et cetera.
Und so wird zwar in allen CERT-Kursen und -Konferenzen auf die Bedeutung eines "Post Mortems" hingewiesen, aber dennoch kommt dies in der realen Arbeit oft zu kurz. Das "eigentliche Problem" ist ja gelöst – und das nächste ist bereits da. Doch irgendwann reicht auch die derart eingesparte Zeit nicht mehr aus und es wird an anderer Stelle gespart, zum Beispiel in der Weiterentwicklung der Werkzeugunterstützung. Und so ergibt sich ein Teufelskreis, in dem die Arbeit des Teams ja zunächst – aus Managementsicht ("Na also, geht doch!") – immer noch gut läuft, die Mitarbeiter aber immer öfter frustriert in die Zukunft schauen.
Wenn der Teufelskreis einmal begonnen hat, ist es sehr schwierig wieder herauszukommen. Kurz gesagt: Ohne eine radikale Umstellung der Denk- und Handlungsweise wird es nicht gehen. Dies ist schwierig, gerade wenn es die Erwartungshaltung Dritter betrifft, die von dem Team abhängen, und es erfordert eine entsprechende Begleitung – aber es gibt keine Alternative!
Und das Ziel eines solchen Umdenkens? Es geht natürlich nicht darum, einfach die Leistungen zu mindern; vielmehr steht das langfristige Sicherstellen der Leistungsfähigkeit im Mittelpunkt. Sie wird nicht zuletzt durch die Möglichkeit bestimmt, das Team, seine Werkzeuge und Dienstleistungen weiterzuentwickeln und die Arbeitslast so zu steuern, dass man sie tatsächlich dauerhaft erbringen kann – ohne ständige Überstunden.
Besonders deutlich wird die Problematik am Beispiel der vielen Angriffe, die man erfolgreich abwehren konnte – und die daher mit geringer Priorität eingestuft werden. Für den Umgang mit ihnen zeigt die Praxis verschiedene, typische Verfahrensweisen:
Dass alle drei genannten Möglichkeiten nicht sinnvoll sind, dürfte klar sein. Vielmehr gilt es zunächst zu entscheiden, welche Art der CERT-Dienstleistung richtig und angemessen ist. Dann müssen die entsprechenden Ressourcen zugesichert und auch eingesetzt werden. Natürlich sollte man nach einer Konzeptphase dennoch erneut über das Projekt nachdenken, wenn etwa neue Erkenntnisse vorliegen oder die Detailplanung überarbeitet werden muss.
Aber: Begonnene Arbeiten auch zu Ende zu führen, sollte zum ehernen Grundsatz werden! Dabei ist es sehr wichtig, die eingesetzten Mitarbeiterinnen und Mitarbeiter nicht gleichzeitig mit den Konflikten des Alltags zu konfrontieren. Sonst stellt sich schnell die (be-)drängende Frage: "Was ist jetzt wichtiger? Der akute Vorfall oder das Werkzeug, das eh erst in drei Monaten fertig sein muss?" – die "naheliegende" Antwort sorgt dann jedoch schnell dafür, dass das bewusste Werkzeug niemals fertig wird.
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
Eine klare Trennung zwischen der Vorfallsbearbeitung als Alltagsgeschäft und der Weiterentwicklung als Projektaufgabe ist daher zwingend notwendig und muss auch entsprechend überwacht werden. Es ist die Aufgabe des CERT-Managements, den für Weiterentwicklungen notwendigen Freiraum zu schaffen und zu verhindern, dass die dafür eingesetzten Ressourcen, die nachhaltig die Leistungsfähigkeit eines Teams sichern, von den Alltagsarbeiten "aufgefressen" werden.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#2, Seite 72
tag:kes.info,2007:art:2007-2-072
| 