Lücken im Datenschutz
Wie PRISM Gartners Security-Tipps schreddert
Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.
1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.
Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.
Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".
Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.
"Es ist gruselig, was Facebook weiß."
Viertens: BYODBYOD wird ein wichtiger Trend bleiben. "Einige Leute haben versucht, nein zu sagen, und es hat nicht funktioniert," so Ray Wagner. Security-Manager hätten ihre Verhinderungsstrategie in der Regel aufgegeben und versuchten statt dessen heute, den Einsatz mitgebrachter Geräte so einfach und komfortabel wie möglich zu gestalten. Der Schlüsser dafür, dass das gelinge, sei ein durchdachtes Identitätsmanagement. Am effizientesten lässt sich das mit Hilfe einer Mobile-Device-Management-Software steuern. Welche Angebote im Markt was können, klärt diese Studie, über die CIO.de jüngst berichtete. Alles zu BYOD auf CIO.de
Fünftens: Identitäts- und Zugangsmanagement, so Gartner, müssen aus einer ganz neuen Perspektive betrachtet werden. Die Tatsache, dass Soziale Netzwerke auch aus unternehmensstrategischer Sicht immer wichtiger werden, führe dazu, dass sich Kunden immer häufiger zum Beispiel mit ihrer Facebook-Identität auf einem Online-Shop anmelden wollen statt mit ihrem eigentlichen Nutzerkonto. Dummerweise nur gleichen Soziale Netzwerke echte und digitale Identitäten nicht miteinander ab. Hier gelte es, so Ray Wagner, entsprechende Sicherheitsstrategien zu entwickeln. "Es ist ein bisschen gruselig, dass FacebookFacebook weiß, was Ihre Kunden tun."
Noch gruseliger ist allerdings, das Geheimdienste wissen (können), was Facebook-Nutzer tun.
Alles zu Facebook auf CIO.de
Nicht alle wissen, was falsch ist
Sechstens: Immerhin findet Gartner: "Die Sicherheitsbedrohungen für Unternehmen nehmen immer weiter zu, und das gilt nicht nur für Energieversorger und andere Infrastrukturfirmen, sondern für alle Firmen, die auf einen reibungslosen Datenverkehr angewiesen sind.
Siebtens: Gartner propagiert den "Security-freien Staat". Dieses als eine Sicherheitslösung für die Zukunft vorgestellte Konzept sieht vor, die Sicherheitskontrollen generell stark herunterzufahren, um bürokratischen Aufwand und Kosten zu senken und zugleich die Arbeitsmoral zu steigern. Praktisch könnte ein Ansatz darin liegen, einen unkontrollierten Zugang zum Mailsystem des Unternehmen zuzulassen und sich im Gegenzug zusichern zu lassen, dass Mitarbeiter keine Unternehmenskritischen Daten auf irgendwelchen mitgebrachten Endgeräten speichern. Regelmäßige Kontrollen gibt es nicht außer einem allgemeinen Monitoring. Die Idee dahinter ist, sagte Ray Wagner, "die Mitarbeiter wie Menschen zu behandeln, die Dinge richtig machen."
Wenn sie denn wissen, was richtig ist und was falsch, was gefährlich ist und was nicht. Erstaunlich an den Empfehlungen von Gartner ist - vor allem mit deutschem Datenschutz- und Security-Verständnis - dass es fast nur darum geht, neue Bedrohungen, Einfallstore und Lecks zu managen, anstatt den Versuch zu machen, sie zu schließen. Ist die Nutzung von Cloud-Services wirklich nötig? Wie kann ich das Eindringen von Unternehmensdaten in Soziale Netzwerke wirkungsvoll verhindern?
Das sind die Fragen, die sich IT-Verantwortliche spätestens seit den PRISM-Enthüllungen stellen sollten. Und eigentlich auch schon vorher.