Vom Aus der geschlossenen Anstalt Ein Traktat wider das hartnäckige Festhalten an vermeintlich Bewährtem

Ordnungsmerkmale

erschienen in: <kes> 2009#6, Seite 12

Rubrik: Management und Wissen

Schlagwort: Sicherheits-Strategie

Zusammenfassung: Über das Ende des Netzwerkperimeters und die Öffnung von Firmenressourcen für mobile Anwender, freie Mitarbeiter, Kunden und Partner redet die Branche seit Jahren. Sicherheitskonzepte, die so innovativ und offen sind wie die neuen IT-Landschaften und die Informationsgesellschaft an sich, bleiben jedoch Mangelware. Konzepte aus der Steinzeit halten sich hartnäckig, man baut fleißig weiter Burgen, zieht weiter Grenzen und duckt sich vor dem eigentlichen Problem: Menschen und Daten miteinander in Beziehung zu setzen.

Autor: Von Johannes Wiele, München

Wenn Menschen an Sicherheit denken, tun sie dies oft mit ihrem Reptiliengehirn – uralte Instinkte kommen ins Spiel, aber auch die Grenzen der menschlichen Wahrnehmung. Psychologen wissen zum Beispiel genau, warum beim Online-Banking nicht auffällt, wenn im Browser statt "Stadtsparkasse" unversehens "Stadtsporkasse" steht: Jahrtausendelang hat die Menschheit gerade deshalb gut überlebt, weil sie auch im wildesten Dickicht aus optischen Fragmenten schnellstens das Muster "Säbelzahntiger" (Weglaufen!) oder "Hirsch" (Hinrennen-totschlagen-essen!) zusammensetzen konnte. Gefahren aus kleinen Unterschieden in bereits erkannten Mustern herauszulesen, war indes nicht des Steinzeitmenschen Ding, und so fallen seine Nachkommen jetzt aufs Phishing herein.

"Draußen" ist böse

Noch eine Sicherheitslektion hat der Frühmensch gut gelernt: dass "gemeinsam drinnen" sicherer ist als "verstreut draußen". Man bilde eine Gemeinschaft unter Vertrauten, bestimme einen Chef, krieche zusammen in eine Höhle und stelle die Stärksten mit den Keulen an den Eingang – schon bleibt der Säbelzahntiger draußen. "Gemeinsam drinnen" gilt deshalb auch heute noch als sicher, auch wenn diese Risikoeinschätzung längst nicht überall passt.

Ein Arzt hatte unlängst die kluge Idee, dass Bus und Bahn ein paar Meter vor und nach einer Haltestelle automatisch die Fenster öffnen könnten, um durch kräftigen Luftaustausch das Influenzarisiko im öffentlichen Nahverkehr deutlich zu verringern: Denn "draußen" ist die Virenkonzentration unendlich viel kleiner als im überfüllten Innenraum! Aus der Zwangsöffnung der "sicheren" Kabine dürfte aber schon allein deshalb nix werden, weil in Deutschland über 80 % der Bevölkerung Angst vor der "bösen", erkältungsfördernden Zugluft haben. Lieber igelt man sich (gemeinsam) ein.

Risikogerechtes Verhalten in einer an sich eher friedlichen Welt ist in unserem Gehirn einfach noch nicht programmiert. Dabei hat die Mehrheit der Bevölkerung das Höhlenprinzip überall dort, wo es nicht um reflexartige Reaktionen auf lebensbedrohende Gefahren geht, längst hinter sich gelassen: Man pflegt lockere und wechselnde Gemeinschaft, hält im Übrigen online Kontakt und lebt gut dabei.

Das "Drinnen-Problem" der IT

Die IT in Gestalt von Administratoren, CIOs und CSOs sowie ihrer budgetverwaltenden Chefs hat – in frappierender Analogie zur virenfreundlichen Straßenbahn – ihr eigenes "Drinnen-Problem": Noch immer trauert so mancher den Zeiten des Mainframes oder zumindest des abgeschlossenen LAN hinterher, als alles schön "dicht" und bestens geklärt war, wer drinnen sein durfte. Die Bösen waren draußen, und wenn drinnen einer böse wurde, fiel das sofort auf.

Seit der Weg zur IT nicht mehr nur durch den Eingang zum verbunkerten Rechenzentrum, sondern auch durch vergleichsweise weiche Firewallsoftware führt, plagt die Informationsgesellschaft außerdem die Furcht vor ihren eigenen "Säbelzahntigern": den Hackern! Die müssen natürlich auch draußen bleiben, aber von der Bedrohungslage her fallen sie eigentlich schon unter den Artenschutz (sofern sie nicht geläutert sind und längst Vorträge auf Fachkonferenzen halten). Es ist wohl Zweckoptimismus, dass man sich weiterhin auf die Angreifer aus dem externen Netz konzentriert, potenzielle Übeltäter im Intranet aber weitgehend ignoriert und von relativer Sicherheit im Inneren ausgeht, obwohl aus der Innenposition heraus Missbrauch und bloße Nachlässigkeit viel mehr Schaden anrichten können. Schließlich, so denkt man wohl, kostet Perimetersicherheit schon mehr als genug.

Und so ist die IT trotz mittlerweile heftig entbrannter Debatte um Datenlecks (bzw. DLP) und Innentäter dabei, auch den nächsten Evolutionsschritt zu verpassen – die meisten Sicherheitskonzepte hinken der aktuellen Entwicklung von Arbeits- und Netzwelt eine kleine Ewigkeit hinterher. Dabei sind organisatorische und gesellschaftliche Aspekte ebenso wesentlich wie technische Innovationen: Wo man zunehmend fest angestellte Arbeitnehmer durch freie Mitarbeiter oder Dienstleister ersetzt, holen sich Unternehmen selbst immer mehr Personen ins Haus, deren Kommunikation sie nur begrenzt kontrollieren können und dürfen (s. a. [1]).

Mit gewollten und nicht gewollten, nicht zu Ende gedachten oder gar nicht bemerkten Auflösungstendenzen der Organisationsform "geschlossenes Unternehmen" kommt die IT zurzeit jedenfalls nur in wenigen Firmen zurecht. Obwohl sich schicke Begriffe wie "Borderless Networks" fröhlich verbreiten, diskutiert man immer noch verbreitet, was mobile Mitarbeiter dürfen, welche Macht man ihnen über ihre Arbeitsgeräte geben soll, was man klassischen Heimarbeitern erlauben kann und so weiter.

Fast immer geht es darum, möglichst viel vom "geschlossenen Netz" zu erhalten – und zwar wegen eines Kontrollideals, dass sich doch schon längst nicht mehr verwirklichen lässt. Auch das Gespenst "Privatnutzung von Firmenressourcen" wird gebetsmühlenartig beschworen, obwohl nicht einmal mehr der Begriff zum modernen, vernetzten Mix der Arbeits- und Freizeitwelt passt.

Wer weiß es besser?

Was die IT-Nutzung betrifft, werden Mitarbeiter heute oft noch behandelt wie Lehrlinge, die in den 50er-Jahren in einen typischen produzierenden Industriebetrieb eintraten: Von denen durfte man getrost annehmen, dass sie weder Vorkenntnisse mitbrachten noch einen der Firmenausstattung vergleichbaren Maschinenpark auch zuhause nutzten. Der Firmeneintritt bedeutete auch von der Werkzeugnutzung her den Schritt vom diffusen "Draußen" ins definierte "Drinnen" der Fachleute. Wo das Arbeitsmittel "IT" heißt, ist das heute aber gänzlich anders – teils haben sich die Verhältnisse sogar umgekehrt.

Schon längst ist es – zumindest für Wissensarbeiter – sogar ein wichtiges Einstellungskriterium, dass sie Kontakte mitbringen, also vernetzt sind. Dazu müssen sie in der IT-Nutzung fit sein und ihre Kontakte mittels Web 2.0 unterhalten können. Und haben sie etwa keine Übung darin, einerseits mit Informationen nach Auftraggebern zu fischen und andererseits Chancen und Vertrauliches zum eigenen Nutzen geheim zu halten? Laut Forrester verwalten zudem immer mehr Power-User eine "persönliche Wolke" aus heimischen PCs und Internet-Services, um ihren Informationsbestand im Griff zu halten [2].

Während des Awareness-Tracks der diesjährigen ISSE-Konferenz in Den Haag wagte ein Teilnehmer die erfrischende Frage, warum man eigentlich immer annehme, in Sachen Datenschutz und IT-Sicherheit sei grundsätzlich das Unternehmen seinen Mitarbeitern ethisch und konzeptionell überlegen und damit zwangsläufig die Orientierungsinstanz?! So manches Unternehmen habe sich vielmehr durch Verstöße beim Mitarbeiter- oder Kundendatenschutz längst selbst disqualifiziert. Auch das Lamento der Unternehmen über "Datenmitnahmen" ausgeschiedener Mitarbeiter passt hier ins Bild, denn oft steckt dahinter nicht mehr als die bittere Erkenntnis, dass Fluktuation nicht nur Kontakte bringt, sondern auch kostet.

Wem gehört was?

Probleme mit der informationellen Selbstbestimmung könnten in Zukunft aber auch "umgekehrt" entstehen: Wenn etwa Mitarbeiter selbst eigene Daten (z. B. mit Karriereinformationen) gegebenenfalls gegen die Wünsche des Unternehmens veröffentlichen möchten. Zur Schutzwürdigkeit der gewollten Freigabe von Informationen hat Karl Rihaczek gerade eine schöne Kolumne in der DuD geschrieben [3].

Egal, in welche Richtung Daten fließen sollen: Unternehmen müssen sich ganz neue Wege überlegen, wie sie zusammen mit ihren Mitarbeitern und Partnern (und auch im Interesse der Kunden) aushandeln, welche Informationen der Organisation gehören, welche beim Mitarbeiter verbleiben und wer über was wann und wie kommunizieren darf!

Fein justierbare Zugriffsrechte auf zentrale Ressourcen sind dabei das naheliegendste und wichtigste Mittel, vereinbarte Regeln auch durchzusetzen. Schon seltener bedacht wird die Rolle der Endgeräte: Genau dort muss man es schaffen, zwischen firmenbezogener und persönlicher Kommunikation zu unterscheiden – und zwar ganz anders als in traditionellen Konzepten. Man muss eine "Schnittstelle" schaffen zwischen den Informationen und Kommunikationskanälen, die in der Gewalt der Mitarbeiter bleiben, und denen, über die das Unternehmen die Kontrolle haben muss.

Dass dies so schwierig ist, liegt daran, dass IT-Systeme mehr sind als bloße Produktionswerkzeuge: Sie sind auch Denkprothesen und erweitertes Gedächtnis. Sie transportieren längst einen beträchtlichen Teil der höchst persönlichen Erfahrungen sowie Informations- und Kommunikationsressourcen, die ein moderner Mensch im Laufe seines Berufs- und Privatlebens sowohl zum eigenen als auch zum Nutzen seiner wechselnden Arbeitgeber sammelt und permanent anwendet!

----------Anfang Textkasten----------

Die Kehrseite der Unpersönlichkeit

Wie komplex das Verhältnis zwischen "Drinnen-Primat", wirtschaftlichen Trends und Sicherheit ist, zeigen die Nebenwirkungen des lange Zeit propagierten "offenen Bürokonzepts": In Unternehmen, bei denen die Mehrzahl der Angestellten permanent unterwegs ist und Kunden besucht oder externe Projekte abwickelt, mag es eine gute Lösung sein, wenn man einen Grundstock frei verfügbarer Standard-Arbeitsplätze nach Bedarf immer wieder neu zuteilt – die Rolle der "Heimat Büro" nehmen hier ohnehin eher Meeting-Räume, Cafeteria und Firmenwagen ein.

In vielen anderen Unternehmen baut man aber die hierfür vorgesehenen Großraumbüros schon wieder um und verschafft den Mitarbeitern statt eines uniformierten Rollcontainers und anonymer Gerätschaften nun neue kleine, aber eigene Reiche. Hintergrund ist die Erkenntnis, dass mit dem Verlust eines festen, individualisierbaren Arbeitsplatzes auch die Loyalität zum Unternehmen und damit die Unternehmenssicherheit sinken. Der Mensch will offenbar auch in der "Gemeinschaftshöhle" Wurzeln schlagen und sich ein privates Plätzchen erobern, sonst fühlt er sich nicht integriert und damit auch nicht verantwortlich für das Wohl der Gemeinschaft.

Diesen Nebenaspekt des "Drinnen-Prinzips" haben die Verfechter des offenen Bürokonzepts unterschätzt. Manchmal, so zeigte 2006 eine Studie von Known Sense [5], sind die Kennwörter dann der letzte Arbeitsbereich, dem ein Mitarbeiter seinen persönlichen Anstrich geben kann – so, und nicht nur aus Bequemlichkeit, kommt es dann zur Wahl der Namen von Frau, Mann, Kind, Katze oder Hund anstelle von "3dS%vi89". Vor diesem Hintergrund hat auch die Einschränkung von Administrations- und Individualisierungsrechten auf Firmen-PCs, also dem virtuellen Arbeitsplatz der Mitarbeiter, nicht nur Vor-, sondern auch Nachteile!

----------Ende Textkasten----------

Das neue Drinnen im Draußen?

Einer der interessanteren Ansätze zur "Strukturreform" ist das Desktop-on-Demand- oder Desktop-as-a-Service-Konzept: Hier kann jeder in einer Organisation seinen eigenen PC oder Laptop mitbringen und erhält die für seine Arbeit notwendigen Applikationen per Virtualisierungstechnik als komplette Umgebung zugespielt – ein Knopfdruck genügt und er befindet sich alternativ in der "privaten" Umgebung seines eigenen Systems. Dabei wollte man vor Kurzem noch nicht einmal diskutieren, ob und wie Mitarbeiter einmal ihre privaten Geräte mit ins Firmenumfeld einbringen könnten: Als ich das Thema vor drei Jahren für eine Konferenz vorschlug hieß es "zu exotisch, ... rechtlich und sicherheitstechnisch viel zu bedenklich". Heute rechnen Firmen bereits fleißig aus, ob die zusätzlichen Supportkosten und Anpassungsaufgaben, die ihnen dieses Modell beschert, nicht günstiger kommen als die Anschaffung und Verwaltung firmeneigener Hardware.

Umgekehrt funktioniert dieses Prinzip übrigens auch: Wenn schon der Zugriff auf Web-Mail als juristisch brauchbarer Workaround gilt, um Privatnutzung auf Firmen-PCs ohne negative Konsequenzen für ein Unternehmen zu erlauben (siehe [4]), könnte man Mitarbeitern doch auch gestatten, vom Arbeitsplatz aus einen privaten PC fernzusteuern – mit einem stromsparenden Mini-PC als heimischem Server und eventuell einem Konto bei einem "Desktop-to-Webbrowser"-Service (z. B. Logmein oder Teamviewer) wäre das für erfahrene Anwender kein Problem und passt zum Prinzip "persönliche Wolke".

Denkbar wäre auch, auf einem Firmen-PC eine private virtuelle Umgebung zu betreiben. Wurde diese Idee schon von Unternehmen auf ihre rechtlichen und technischen Implikationen geprüft (etwa für die Backup-Strategie)? Vermutlich eher selten und wohl nicht zuletzt deshalb nicht, weil man sich der wirklichen Bedeutung "persönlicher" Umgebungen im Arbeitsumfeld nach wie vor nicht stellen mag.

Vielleicht spielt hier ja auch noch ein ganz anderes "Drinnen-draußen-Problem" eine Rolle: die traditionelle Barriere zwischen den technischen Insidern, die in der Unternehmenspraxis noch immer die Informationssicherheit beherrschen, und den ewigen "Anderen", den "Dummusern"?!

Der Mensch als Schlüssel

Die Aufmerksamkeit der Sicherheitsfachleute in Bezug auf die Zusammenarbeit mit Organisationsangehörigen sollte längst darauf liegen, Verfahren zu finden, wie man gemeinsam mit vernünftigen Menschen den Umgang mit firmenbezogenen Informationen und privaten Daten in der täglichen Kommunikationspraxis klärt – und wie man technische Brücken zwischen beiden Bereichen gestaltet, statt möglichst viele Gräben zu ziehen. Da die Übergänge fließend sind, muss nämlich immer wieder der Einzelne entscheiden (können), welcher "Welt" eine bestimmte Nachricht oder Information eigentlich angehört. Menschen Souveränität im datenschutzgerechten Umgang mit Informationen zu vermitteln und ihnen zu zeigen, wie sie dabei privat und im Job die Rechte aller Beteiligten wahren, ist die eigentliche Sicherheitsaufgabe der Zukunft!

Dr. Johannes Wiele arbeitet als Director Business Consulting bei der Defense AG.

Literatur

[1]
Bettina Weßelmann, Johannes Wiele, Digital Natives und Informationssicherheit, Mit der Internet-Generation steigt die Bedeutung des "Faktors Mensch", <kes> 2009#5, S. 6
[2]
Frank E. Gillett, The Personal Cloud, How Individual Computing Will Shift From Being Device-Centric To Information-Centric, Forrester 2009, [externer Link] www.forrester.com/Research/Document/Excerpt/0,7211,54839,00.html
[3]
Karl Rihaczek, Unvermeidlich, DuD, 11/2009, S. 649
[4]
Tim Faulhaber, Stefan Uecker, Robert Niedermeier, E-Mail-Einsatz in Kreativunternehmen, LANline, März 2008, [externer Link] www.lanline.de/kn31395934
[5]
Entsicherung am Arbeitsplatz, Erkenntnisse und Folgerungen zur Psychologie der IT-Sicherheit,<kes> 2006#6, S. 61

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2009#6, Seite 12
tag:kes.info,2007:lp:2009-6-B

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.