IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

Vertrauen unter Freunden ist gut …

Cyberkontrolle ist besser.

In Frankreich ist der Verdacht erhärtet worden, dass kurz vor der Präsidentschaftswahl im Mai diesen Jahres amerikanische Sicherheitsexperten in das Netzwerk des Elyséepalastes eingedrungen sind. Das Magazin L’Express führte in seiner Ausgabe vom 20. November 2012 aus, wie der Einbruch vorbereitet und durchgeführt wurde. Demnach ist es gelungen, einen Mitarbeiter des französischen Präsidenten (damals noch Nicolas Sarkozy) über einen Facebook-Kontakt dazu zu bringen, über einen infizierten Link eine präparierte Internetsite zu öffnen. Von dort wurde eine falsche Intranet-Site gezeigt. Der (oder die ?) MitarbeiterIn meldete sich darüber an – und verriet der Website seine Zugangsdaten. Mit deren Hilfe wurden mehrere Spionageviren vom Typ Flame auf internen Systemen des Elysée installiert.

Ähnlich wie bei der Kompromittierung von RSA-Token bei einem Rüstungsunternehmen im Frühjahr 2011 war hier wieder Manipulation von Personen das Mittel, um einen vordergründig sicheren Peripherieschutz zu durchbrechen. Wie geschickt die Dialoge in Facebook waren werden wir aber wahrscheinlich nicht erfahren. Die Server stehen in den USA und im Zweifel sind speziell diese Texte gelöscht – wegen Datenschutz (privacy).

Was zeigt der kleine Bruch unter Freunden? Vertrauen muss aufgebaut werden, und ist leicht zerdeppert. Außerdem: Der Mensch ist immer noch wichtiger als die Maschine. Dies steckt auch in der falschen, aber populären, Feststellung, dass die Gefahr vorm Bildschirm sitzt. Nein, diese Person nutzt die Maschine, ist Teil einer sozialen Organisation, etwa eines Unternehmens oder einer Verwaltung, und agiert in dieser Organisation. Die Sicherheit von Systemen erhält ihren Wert nur aus der Bewertung durch Menschen. (Siehe hierzu die IT-Grundschutz-Methode oder das Verfahren einer Business Impact Analyse.)

Und die Menschen agieren nicht immer konsistent, fallen auf andere Menschen herein, oder folgen manchmal Interessen, die von denen der Organisation abweichen. Wer komplexe Organisationen schützen helfen will, muss daher zuerst dieses Gefüge anschauen, und dann die Lösung bei den Mitarbeitern suchen. Die Technik wird auch benötigt, aber sie wird umgangen, verliert ihren Wert, wenn die Personen nicht gewonnen werden.

Und die Freunde oder Verbündeten? Sie tun das, was sie schon immer getan haben – sie vergewissern sich manchmal der Loyalität des anderen, und manchmal greifen sie dabei zum falschen Mittel.

L’Express online

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.