IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy


Windows XP lebt

Da hat der Berliner Datenschutzbeauftragte ja ein Lüftchen entfacht, und der Blätterwald versucht damit Wind zu erzeugen: Herr Dix verlangt, dass die Arbeitsplätze in Berliner Behörden, die noch mit Windows XP arbeiten, sofort abgeschaltet werden. Offenbar hat die Stadtverwaltung den Wartungsvertrag mit Microsoft nicht mehr verlängert, und so können die Arbeitsplätze nicht mehr mit der Unterstützung von Microsoft gegen neue Bedrohungen geschützt werden.

In der Tat nicht schön. Andererseits:

Continue reading


Sicherheitsschranken – einhalten oder gewinnen ?

Auflagen, die auf Anforderungen der Sicherheit oder Compliance hervorgehen, können stören oder gar die Erreichung eines Ziels verhindern. Dies ist nicht neu, und daraus entstehen im IT-Sicherheitsmanagement regelmäßig Konflikte im Tagesgeschäft. Ein Vorfall, zum Glück ohne Personenschaden, im Radrennen Lille-Roubaix am 12. April 2015 kann als Parabel zum Verständnis dieses Konflikts dienen.

Das Rennen, einer der großen Klassiker des Radsports mit teils historisch bedingt abenteuerlichen Herausforderungen, führt unter anderem über einen beschrankten Bahnübergang. Die Schranken sperren in der jeweiligen Fahrtrichtung der Landstraße nur die rechte Spur. Und hier wurde es am Sonntag richtig brenzlig, als ein Verfolgerpeloton den Übergang zugleich mit einem Zug erreichte. Das war dann auch gleich ein TGV, also der französische ICE.

Das Geschehen:

Ein Feld von Rennradlern erreicht den Bahnübergang, als sich die Schranken senken. In dem Moment müssen die Ampeln des Übergangs bereits sei zehn Sekunden auf Rot gestanden sein. Trotzdem wird weitergefahren. Ein Polizist auf Motorrad versucht durch Handzeichen die Fahrer zu stoppen. Die herabsinkenden Schranken streifen einige Radler von oben, aber es kommt zu keinem Sturz. Noch als die Schranken ganz unten sind umfahren etliche von ihnen die Schranken in gekonnten S-Kurven über die freie linke Spur. Der Polizist verengt die Spur mit seinem Motorrad, hält mit seinem rechten Arm einen auf, fährt dafür selbst gefährdet nah an das Gleis, da fährt ein besonders zielstrebiger Sportler noch links an ihm vorbei über die Gleise, bis endlich die Übrigen alle stehen und warten. Knapp sechs Sekunden später rauscht der TGV vorbei.

Was ist daran so exemplarisch bildhaft für ein IT-Sicherheitsmanagement ?

Zuerst: Wer die Regeln ignoriert gewinnt gegenüber dem Wettbewerb. Wer bremst, verliert.

Sodann: Das Risiko wird ignoriert. Ich glaube nicht, dass die Sportler gar nicht wussten was sie tun, oder dass sie mit etwas Abstand im Rückblick feststellen, dass sie für eine bessere Platzierung im Rennen ihr Leben aufs Spiel gesetzt haben. Aber das wird in der Hitze der Aktion ausgeblendet.

Es war knapp: Unter der sich absenkenden Schranke durchzufahren, kann noch einer vernünftigen Risikoabwägung zuzuschreiben sein. Aber bei geschlossen ruhender Schranke zu fahren erschiene mir einfach als zu riskant, die Gefährdung ist schließlich existenziell. (In der Konsequenz auch für die Veranstalter – hätten sich doch vier oder fünf Sportler vor den Zug geworfen, wäre das vielleicht das Ende dieser Veranstaltung gewesen.) Sechs Sekunden sind kein großer Abstand, und die konnten ja nicht kalkuliert werden.

Compliance – nur wenn es sein muss: Die Staatsgewalt, analog die Aufsichtsbehörde, hat klar zum Halten aufgefordert. Dies war eindeutig, und dies war eine Anweisung, die ebenso eindeutig übergangen oder ignoriert wurde. Der eine Polizist hätte auch kaum mehr erreichen können, und ganz sicher ist es ihm zu verdanken, dass es nicht zu einen Unglück kam. Gleichwohl werden sich die, die durchgekommen sind, bestätigt fühlen, dass es richtig war, Regeln und Anweisungen zu übergehen.

Kein Sicherheitsmanagement des Veranstalters: Der Veranstalter des Rennens musste die Gefahrenstelle und die konkrete Gefährdung gekannt haben. Trotzdem war er nicht darauf vorbereitet, bei einer Konkretisierung der Gefährdung angemessen einzuschreiten und die Fahrer selbst wirksam zu stoppen. Für den Veranstalter allerdings gilt nicht, was für die Fahrer gilt, er hat durch das Verhalten nichts gewonnen, steht aber m.E. als unverantwortlich da. Es wäre interessant zu erfahren, ob die Behörden nach dem Vorfall mit dem Veranstalter über Konsequenzen reden. Wären Personen zu Schaden gekommen, hätte dies die gesamte Veranstaltung aus dem Rennen werfen können.

Und jetzt die Frage an die Verantwortlichen: Ist ein IT-Sicherheitsmanagement nur eine Bremse ? Soll es im Alltag besser ignoriert werden ? Oder gewährleistet es den dauerhaften Bestand, auch wenn manche Vorteile dann nicht erzielt werden können ?

Nachzusehen bei Youtube

Quelle FAZ, Le Monde


Sonnenfinsternis – ein Notfall ?

Am 20. März 2015 konnte in Deutschland und weiten Teilen Nordeuropas eine partielle Sonnenfinsternis beobachtet werden. Es war schon eindrucksvoll, wie am Vormittag das Licht draußen seltsam neblig verschattet wirkte, und dass das Licht nicht wärmte.

Diese drastische Minderung der Energie war ja zu erwarten und die Zeitungen überboten sich darin, aus nüchternen Hinweisen auf daraus folgende Risiken der Energieversorung aus Solaranlagen eine gewisse Dramatik abzuleiten.

Dabei ist eine Sonnenfinsternis fast bis auf die Minute planbar, auch ihre Auswirkung auf die Energielieferung ist einschätzbar. Dies wird sehr schön deutlich in einer Darstellung der Hochschule für Technik und Wirtschaft in Berlin in ihrer Präsentation

Bei Wikipedia gibt es dazu einen Artikel, der die Sonnenfinsternis als solche beschreibt, aber auch die Auswirkungen auf die Energieversorgung und den tatsächlichen Impact auf die Stromversorgung belegt.

Sicher war das ein guter Test, aber kein Notfall. (Was im Nachhinein natürlich immer gut zu sagen ist, wenn nix passiert ist.)


Aufbewahrung – neue GoBD seit Anfang 2015 in Kraft

Mit Datum vom 14. November 2014 veröffentlichte das Bundesministerium für Finanzen (BMF) die neuen

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)

Die GoBD haben die Form eines Schreibens des BMF an die Finanzverwaltungen. Sie sind also kein Gesetz. Ihre praktischen Auswirkungen sind allerdings sowohl im Bereich IT Sicherheit relevant, als auch für den Datenschutz und für das Notfallmanagement. So muss auch in Folge einer schweren Störung, Notfalls oder Krise sichergestellt werden, dass die hier genannten oder erkennbar ableitbaren Forderungen an die Integrität und an unveränderbare Archivierung erfüllt werden.

Das wird, nach eigener Erfahrung, auch bei Transitions nicht immer bedacht. Dabei ist es sowohl bei einer betriebsinternen Servicetransition zwingend, und ebenso bei einer Transition von Services von einem Provider zu einem anderen. Der Übergang ist eine gute Gelegenheit, die Verantwortung so zu ignorieren, dass am Ende selbst der Auftraggeber sich sicher fühlt, ohne zu merken, dass gerade ein Loch in seine Compliance gerissen wird.

GoBD – Schreiben des BMF vom 14.11.2014 auf der Website des BMF


ISO 27001 – Lead Auditor Schulung

Eben kam die Teilnahmebescheinigung für den Kurs ISO 27001 Lead Auditor.

Letzte Woche habe ich mir das gegönnt. Nachdem ich im Mai 2014 in Paris, genauer, in Levallois-Perret, bei Hervé Schauer den Lead Implementer ISO 27001 absolviert habe, war ich jetzt auch noch bei Firebrand auf dem Auditor-Kurs. Der Lead Implementer ging auf Französisch (hat echt Spaß gemacht), der Lead Auditor war mehr Englisch, auch gut.

Bleiben noch spannende Wochen bis zur Nachricht über das Bestehen der Prüfung. Kann nach meinem Gefühl nur gut gegangen sein, aber Risiken lauern überall, und wenn sie eintreten, dass ist es aus mit der Eintrittswahrscheinlichkeit.

Jedenfalls bin ich inhaltlich voll aufgefrischt im ISMS.


Mittagspause gefährdet Informationssicherheit – schmeckt’s noch ?

Bangemachen gehört zum Geschäft des Sicherheitsverkäufers. IT governance hat nun auf eine bis dato ungenügend wahrgenommene Schwachstelle aufmerksam gemacht: Die Mittagspause, the lunch break.

Why lunch breaks are dangerous

Die festgestellte Schwachstelle (vulnerability) sind die Gespräche von Mitarbeitern außerhalb der Büroräume. Die Leute unterhalten sich nämlich oft über Firmeninterna und damit gelegentlich auch über schützenswerte (schutzbedürftige) Informationen. Und das könnte ja jemand mithören. Eavesdropping wird als altbekannte aber heute vernachlässigte Gefährdung genannt.

Das ist schon Anlass zum Lächeln. Eavesdropping und Shoulder serving, also über die Schulter gucken und Informationen abgucken hatte ich auch schon mal als konkrete Gefährdung in einem Projekt genannt bekommen, und sind ja allgemein bekannt.

Deshalb habe ich auch schon mal versucht, im Speisewagen der Deutschen Bahn gezielt Gesprächen zu lauschen. Einmal hat es mich sogar interessiert, weil andere Berater über Akquisitionsgespräche bei einem meiner Kunden sprachen. Ein anderes Mal habe ich probiert, mit der Handykamera über die Schulter eines Mitreisenden ein Foto von einer Zeitschrift zu machen. Beide Male konnte ich nichts zustande bringen, was irgendwie verwertbar gewesen wäre.

Man müsste mal einen Profi fragen, so einen richtigen Spion. Das muss ein harter Job sein, wenn man auf das Mithören von Gesprächen in einer Kantine angewiesen ist. Man braucht einen Platz in der Nähe der Zielperson, man darf selbst nicht kauen, wenn gerade relevante Sachen gesagt werden, und die Zielperson muss dann auch mal was Relevantes sagen. Sofern es der nicht sogar schmeckt – und sie übers Essen redet.

Das Leben kann so hart sein. Guten Appetit.


The Sony breach – and the usual suspect

This whole story of the Sony breach and the insinuation on North Korea makes me feel uneasy. I got the impression that evidence is missing and replaced by dubious statements, which stem from the same source and cannot be verified nor falsified.

The position of Sony is certainly most uncomfortable, being hacked first, suffering loss of data with huge economic impact, then being pressed to show their film, all this without exactly knowing (or showing ?) the real source behind this. Not enough, the official response of the state institutions is of no help to recover to daily business, as it keeps up confrontation.

Eventually BCM and PR of Sony are really in a challenge not to say anything in public that might offend any of those others players they probably had not in mind as stakeholders.

Maybe that is a flaw of big organizations, that states become their stakeholders. To understand this special kind of stakeholder a special kind of knowledge is required, taking into account the changes of interest this stakeholder is subject to.