Lücken im Datenschutz
Wie PRISM Gartners Security-Tipps schreddert
Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.
1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.
Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.
Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".
Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.
Foto: frank peters - Fotolia.com
Unternehmen stünden unter enormen Druck bezüglich ihrer Sicherheitsstrategie, weil sie einer mächtigen Matrix von unterschiedlichen, aber miteinander verwobenen Bedrohungen ausgesetzt seien, so lautete die Kernthese, mit der Gartner den großen "SecuritySecurity & Risc Management Summit" in National Harbour, Maryland, überschrieben hatte. Wichtigste Elemente dieser Gefahrenmatrix seien Big DataBig Data, Soziale NetzwerkeNetzwerke, Mobility und Cloud ComputingCloud Computing.
So weit, so verhersehbar. Nicht vorhergesehen hatte Ray Wagner, Vizepräsident von Gartners Sicherheitsabteilung, dass drei Tage nach der Konferenz eine Bombe Namens Prisma hochgehen würde. Sonst hätte er in seiner Key Note vielleicht einige Schwerpunkte anders gesetzt (siehe: PRISM und der Datenschutz: "Überwachung ist kein exklusives US-Phänomen"). Wagner beschrieb sieben aktuelle Trends beziehungsweise Bedrohungen, verband seine Ausführungen zum Teil mit konkreten Tipps. Hier sind die sieben Trends inklusive ein paar Einordnungen.
Alles zu Big Data auf CIO.de
Alles zu Cloud Computing auf CIO.de
Alles zu Netzwerke auf CIO.de
Alles zu Security auf CIO.de
Cloud-Services sind ein Risiko
Erstens: Spyware und andere Schädlinge sind in Unternehmensnetzwerken sehr schwer zu identifizieren, wenn sie einmal eingedrungen sind. Deshalb ist es heute wichtiger dennn je, den Datenverkehr ständig und systematisch zu überwachen, um potentiellen Eindringlinge schon im Vorfeld abzuwehren. Alle Datenpakete in Netzwerken sollten die Verantwortlichen höchst misstrauisch machen. 2020, so schätzt Gartner, werden 75 Prozent der IT-Budgets darauf verwendet werden, Bedrohungen frühzeitig zu entdecken und sofort darauf zu reagieren. 2012 betrug der Anteil noch weniger als zehn Prozent.
Zweitens: Der extensive Gebrauch von Cloud Services durch Enduser ohne die Zustimmung der IT-Abteilung bedeutet, dass das Anti-Virus-Software und Firewalls immer wirkungsloser werden. IT-Strategien müssen laut Gartner verstärkt darauf eingehen, "statt sich nur um Netzwerke und Gadgets zu kümmern." Die Frage ist, warum Gartner den Gebrauch von Cloud Services nicht grundsätzlich in Frage stellt.
Drittens: Bisher sind Security-Jobs fast immer in der IT-Abteilung angesiedelt, was bedeutet, dass Probleme zunächst unabhängig vom Geschäftszweig beziehungsweise von der Abteilung gesehen werden, die sie betreffen. Aus Sicht von Ray Wagner wäre es sinnvoller, als Security-Chef keinen reinen ITler, sondern einen Business-Manager mit hohem IT-Verständnis zu berufen.
Der Gebrauch von Cloud-Resources, so Wagner weiter, kann dazu beitragen, dass das Unternehmen mit relativ wenig Experten wie Programmierern, Testern und Datenbank-Administratoren auskommt. Und er kann dazu führen, möchte man ergänzen, Geheimdiensten und Wirtschaftsspionen Unternehmensdaten auf dem silbernen Tablet zu servieren. Mancher deutsche CIO rät in Anbetracht der Schnüffel-Attacken durch Geheimdienste dazu, grundsätzlich niemals Cloud-Services zu nutzen. Da solche Angriffe schon vor PRISM bekannt waren, wirkt der Rat von Gartners Security-Experten etwas befremdlich.....
- Mythos 1: "Mir passiert sowas nicht, ich habe alles im Griff!"
Therapie: Einmal richtig auf die Nase fallen. - Mythos 2: "Wir geben 10 Prozent unseres IT-Budgets für Sicherheit aus. Deshalb können wir ruhig schlafen."
Tatsächlich sind es laut Gartner im Schnitt maximal fünf Prozent. Therapie: Einfach mal selbst einen Blick in die Zahlen werfen. - Mythos 3: "Jedes Risiko lässt sich quantifizieren."
Ursache dieses Irrtums ist eine Kultur der Zahlenhörigkeit und der Glaube, dass sich mit einer sorgfältig ausgefüllten Excel-Tabelle jedes Problem lösen lässt. Therapie: Risiken einfach mal beschreiben, ohne eine einzige Zahl zu gebrauchen. Und dafür sorgen, dass jede Abteilung selbst Verantwortung übernimmt für ihre Sicherheitsrisiken. - Mythos 6: "Wenn der Sicherheitschef außerhalb der IT-Abteilung sitzt, sorgt das automatisch für Sicherheit."
Ein Problem der Unternehmenskultur mit organisatorischen Veränderungen lösen zu wollen, klappt selten. Therapie: Eine genaue Analyse der wirklichen Ursachen von Sicherheitsproblemen. - Mythos 7: "Die Lösung von Sicherheitsproblemen ist die Aufgabe des Sicherheitschefs."
Immer jemand anderen für zuständig zu erklären, ist vor allem dann schwierig, wenn sich zugleich von diesem nichts sagen lassen will. Therapie: Eintwickeln einer Sicherheits-Policy mit festen Regeln, an die sich alle halten müssen. - Mythos 8: "Wenn wir endlich die richtige Software gekauft haben, sind alle Probleme gelöst."
Einfache One-fits-all-Lösungen gibt es nicht. Therapie: Methodische Risikoanalyse erstellen inklusive einer klaren Prioritätenliste. - Mythos 9: "Lass uns die Policy schnell verabschieden, dann können wir endlich losfahren."
Eine wirksame Policy kann nur schrittweise entstehen, muss ständig überprüft werden. Therapy: Ein Risiko nach dem anderen abarbeiten und klare Zuständigkeiten benennen. - Mythos 10: "Verschlüsselung ist der beste Weg, um sensible Daten zu sichern."
Das Thema ist komplizierter, als Unbedarfte glauben. Verschlüsselung kann auch eine Menge Probleme bereiten. Therapie: Beschaffen Sie sich entsprechende Expertise, bevor Sie sich dem Thema widmen. - Mythos 4: "Wir sichern unsere Daten physisch, deshalb sind sie sicher."
Therapie: Ein ausführliches Gespräch mit einem echten Sicherheitsexperten über Risiken. - Mythos 5: "Komplexe und häufig wechselnde Passwörter senken die Risiken deutlich."
Passwörter werden heute meist durch entsprechende Programme erschnüffelt und nicht gehackt. Komplexität hilft deshalb nur begrenzt. Therapie: Gegen diesen Irrglauben ist kein Kraut gewachsen, glaubt Gartner.