Security-Management benötigt Psychologie
Mitarbeiter sind die beste Firewall
Eine einzige Schwachstelle genügt
Security-Management benötigt Psychologie
Es gibt viele unterschiedliche Möglichkeiten, Schwachstellen in einem IT-System aufzuspüren – und die Sicherheitschefs müssen versuchen, sie alle zu finden und abzublocken. Der Eindringling aber braucht nur eine einzige zu finden.
Diese Eindringlinge können Web-zugängliche Anwendungen, Betriebssysteme, Geschäftspraktiken oder Menschen ausbeuten. Sie können ganze Heerscharen von simplen Tricks anwenden, um Anwendungen so zum Narren zu halten, dass sie Informationen preisgeben – und sie könen Betriebsysteme dazu bringen, dass sie einen privilegierten Zugriff gestatten. Sie können Geschäftspraktiken untergraben, um Schwächen auszubeuten oder Mitarbeiter zu manipulieren. Sie können sich bis aufs Firmengelände durchplappern, Computermedien stehlen, Papierkörbe durchstöbern, Jobs in der nächtlichen Putzkolonne finden und so weier und so fort…. Die Möglichkeiten sind nahezu unbegrenzt.
Aber Sicherheitsmanager haben ein paar Trümpfe im Ärmel, und die besten davon sind vielleicht auch die einfachsten: Schulung, Dokumentierung und die Wachsamkeit der Nutzer.
Mitarbeiter als schlagkräftigste Verteidigungslinie
Security-Management benötigt Psychologie
Man biete den Mitabeitern gute Schulungen, sichere ab, dass sie wissen, welche Risiken es gibt – einschließlich genauer Anweisungen, was zu tun ist – und sie werden die wichtigste Verteidigungslinie bilden. Sie werden Eindringlinge bemerken und auf sie reagieren. Sie werden überlegen, was in den Abfalleimer wandern kann und was nicht. Sie werden dem ungebetenen Strippenzieher einen Korb geben.
Als vorderste Front bei der Verteidigung können die Menschen auch die wichtigste Firewall für ein Unternehmen darstellen, wobei ihr guter Wille vielleicht die beste Bewaffnung in jedem Unternehmen ist – und auch die beste Garantie dafür, dass der Security-Manager nicht alleine auf verlorenem Posten kämpft.
Leider übersehen viele Firmen diese einfache Taktik und verlassen sich stattdessen auf kostspielige Technologien und hoch entwickelte Software für ihren Schutz.
Tools sind nur so gut wie ihre Nutzer
Security-Management benötigt Psychologie
Natürlich spielen solche Tools eine Rolle aber man muss – wie bei jedem Instrument – immer daran denken, dass diese nur so gut sein können, wie die Person, die sie handhaben. Bei der Informations-Sicherheit liegen die Tools in den Händen vieler verschiedener Leute in einem Unternehmen, die alle in der Lage sind, die Sicherheitsmaßnahmen zu untergraben oder zu manipulieren, wenn sie es denn wollen. Da außerdem der größte Teil der Informations-Sicherheit nach außen gerichtet ist, werden nur wenige Technologien wirklich effektiv sein, wenn es um unbewusste oder absichtliche Subversion von innen geht.
Das richtige Herangehen an dieses Problem verlangt, dass Methoden für die Informationssicherheit entwickelt, vereinbart und in wirksamer Weise vermittelt werden. Dabei müssen die einzelnen Funktionen und Verantwortlichkeiten klar definiert sein. Das erfordert Schulung, Zusammenarbeit und ein Bewusstsein für die Sicherheitsforderungen.
Nur dann werden die Unternehmen und Organisationen die Chance haben, ein gutes Sicherheitsniveau zu erreichen und beizubehalten. Man sollte nie vergessen, dass Informations-Sicherheit ein Prozess ist und keine Eigenschaft. Sie beruht auf dem umsichtigen Handeln und der Disziplin der Mitarbeiter und nicht auf der korrekten Konfiguration und Installation einer Firewall.