Information Security and digitics

Of digital mice and men – for availability, integrity and privacy


Home office – per Anweisung am Küchentisch ?

Eine Empfehlung des BSI mit einer signifikanten Lücke

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 18. März 2020 an die Sicherheit am heimischen Arbeitsplatz erinnert, nachdem zahlreiche Unternehmen zu diesem Zeitpunkt ihre Mitarbeiter ins Home Office gebeten oder geordert hatten. Mit einem Newsletter wurde am 19. März auf diese Publikation noch besonders hingewiesen.

Vier Bausteine des IT-Grundschutzes wurden hervorgehoben:

CON.7 Informationssicherheit auf Auslandsreisen
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz
OPS.1.2.4: Telearbeit

Soweit so gut. Doch ein wichtiger Aspekt wurde in dem panikartigen Aufbruch an den Arbeitsplatz am heimischen Esstisch, Küchentisch, Arbeitsecke vergessen: Welche Bedingungen haben denn Mitarbeiter zuhause, im Kreis der Lieben oder auch störenden Familienmitglieder?

Vor Allem aber: Hat ein Arbeitgeber überhaupt das Recht, Mitarbeiter zur Arbeit nach Hause zu schicken? Ich bin kein Arbeitsrechtler und überhaupt kein Anwalt, aber meine instinktive Vermutung geht dahin: Nein, das kann ein Arbeitgeber nicht verlangen. Er kann freundlich darum bitten, und die meisten Menschen werden der Bitte freundlich nachkommen.

Dazu hatte ich in der Xing-Gruppe IT-Grundschutz, die vom BSI moderiert wird, angeregt, dass zumindest ein Hinweis aufgenommen wird für Arbeitgeber, die rechtliche Grundlage für eine Entsendung nach Hause zu prüfen. Das schließt m.E. die Option ein, dass Mitarbeiter nach Hause geschickt werden – ohne Arbeitsauftrag.

Die Kollegen vom BSI verwiesen in ihrer Antwort auf den Baustein ORP.5 und darin speziell auf den Abschnitt 3.1 mit den Anforderungen ORP.5.A1 Identifikation der rechtlichen Rahmenbedingungen und ORP.5.A2 Beachtung rechtlicher Rahmenbedingungen. Darin wird generell gefordert, dass Führungskräfte für die Konformität zu geltendem Recht verantwortlich sind. Doch wer denkt da schon an die vertragliche Gestaltung für den Fall, dass der Arbeitnehmer, der sonst unbedingt vor Ort sein soll, zur Fortführung des Geschäfts nach Hause geschickt wird und dort entsprechende Arbeitsmittel vorhalten soll.

Es gibt bestimmt einige Unternehmen, die das in ihren BCM-Plänen bedacht haben. Die Regel ist aber, dass Mitarbeiter einen Vorteil darin sehen, von zu Hause aus zu arbeiten, mit Remoteanbindung ans Firmennetz oder auch offline, und das Unternehmen sie darin unterstützt, um ihnen entgegenzukommen. Es werden dann aus dem ISMS heraus Anforderungen an den sicheren Umgang mit Informations-Assets gestellt.

In der akuten Krise ist es nun aber umgekehrt: Die Motivation kommt nicht vom Mitarbeiter, sondern vom Unternehmen. Und viele Unternehmen hatten für eine solche Panikreaktion der Politik und öffentlichen Meinung keinen Notfallplan – und folglich keinen angemessenen rechtlichen Rahmen.

Und viele Mitarbeiter sind nicht darauf vorbereitet und haben gar nicht die Möglichkeit im eigenen Heim einen sicheren Arbeitsplatz einzurichten, weder räumlich noch finanziell. Und es ist i.d.R. auch nicht Gegenstand von Notfallplänen, dass gleichzeitig die Kinder nach Hause geschickt werden, und ihren Müttern oder Vätern bei der Arbeit helfen sollen.

(Die Behörden scheinen in ihrer Panik diese Problematik gar nicht wahrzunehmen. Panik ist keine gute Entscheidungsgrundlage.)

Es gibt übrigens eine schon länger veröffentlichte Empfehlung des BSI für das heimische Büro, die ebenfalls keinen Hinweis auf rechtskonforme Nutzung des Home Office im Interesse des Arbeitgebers enthält. Allerdings verschwimmen hier die Begriffe “Mobiles Arbeiten” und “Home Office”.

BSI Mobiles Arbeiten




Drohnen und Autos – und Sicherheit ?

Audi macht jetzt (in Großbrittanien) Reklame für ein neues Modell, das den Fahrer vor dem Angriff der Paket-Transporter-Drohnen schützt. Sehr schön inszeniert und gefilmt.

Ein starker Audi als Retter vor den Drohnen

Allein, soll das die Message für Sicherheit sein ?

1. Ein Manager, der offenbar angesichts einer sich abzeichnenden Gefährdung die Nerven und Führungsstärke verliert: Das ist m.E. nicht schimpflich, denn dafür gibt es einen Krisenmanager, und der Krisen- oder Notfallmanager muss nicht mit dem Vorstandsvorsitzenden oder Geschäftsführer identisch sein. Es werden einfach in einer Krise andere Fähigkeiten benötigt als im Tagesgeschäft. I.d.R. wird es aber schon eine Führungskraft von der Spitze der Einheit sein.

2. Ein Krisenmanager, der vor Allem sich selbst rettet: Ein sehr guter Hinweis, denn auch in der Krise greifen psychologische Muster, und dazu gehört der Überlebenswille und seine Folgen. Es heißt ja immer im BCM, dass Menschenleben zuerst geschützt werden, dann die Assets. Aber gilt das auch für den Kapitän, siehe das Beispiel von Herrn Schettino (was einen eigenen Beitrag wert ist) ? Ein Notfallplan sollte also beachten, dass keine Aktionen eingeplant werden, die für einzelne Beteiligte schwerwiegende negative Folgen haben. Erfolgreiches Notfallmanagement gedeiht am besten, wenn Probleme ohne Schuldzuweisung gelöst werden.

3. Der Rest löst sich in Panik auf: Das passiert, wenn vorher nicht geübt wurde. Doch wie übt man unvorhergesehende Gefährdungen ? Doch, es geht, denn auch hierfür können Verhaltensmuster gefunden und aktiviert werden. Allerdings erfordert das einen am Menschen orientierten Ansatz für Training und Übung.

Und überhaupt nimmt der Clip nicht nur “Die Vögel” von Hitchcock zum Vorbild, sondern knüpft nahtlos an die Imagewerbung in “iRobot” an. Ein Film, der wiederum die Gefährdung durch zentralisierte Updates als ein Moment verwendet, bei dem es einem leicht gruselt. In kleinerem Maßstab kennt den Grusel die Softwaredistribution und Patchmanagement: Wenn nun doch mal nach einem allgemeinen Patch sämtliche PCs gescratched werden, oder eine fehlerhafte Berechnung in Excel verteilt wird ? Pardon, aber ich habe beides schon in Ansätzen erlebt. Und das bei herumfliegenden Drohnen ? Oder bei automatisch gesteuerten Autos ?

Das Thema Drohnen wird übrigens in Frankreich aktuell mehr diskutiert als in Deutschland, das ist zumindest mein Ferneindruck. Nun aber erst mal gute Unterhaltung.


Hessens Schulen und Soziale Plattformen

Heute kam eine Nachricht im Hessischen Rundfunk, dass das Kultusministerium des Landes (endlich) verkündet habe, dass Schulen keine verbindlichen Nachrichten über Facebook verbreiten sollen. Überhaupt soll diese wie auch andere privat-öffentliche Plattformen nur restriktiv genutzt werden.

Als ich nach der Nachricht recherchiert habe, konnte ich sie selbst auf der Website des HR (hr-online.de) nicht mehr finden, dafür aber ältere Nachrichten mit dem selben Thema. Die Nutzung sozialer Plattformen, und immer wieder insbesondere Facebook, wurde in den letzten Jahren schon mehrfach angesprochen und öffentlich diskutiert.

So etwa

Continue reading


Hillary Clinton’s Email – When the boss doesn’t want to comply

This is the one thing where you wouldn’t like to be the resonsible Information Security Officer, or what else title you’ve been allocated: When the boss doesn’t care about the security policies, and she does just what she believes is the right way.

That is what upset me most on the current Clinton story turning into wild and may end any further political ambition of Ms. Hillary Clinton. The only comforting element in all this mess is the attention focused on the proper ways to deal with e-mail in organizations, and I hope people understand that this is not a problem for the sole State Department, but for any organization, that e-mail is written mail committing the body that is associated to it.

And of course it seems sheer unbelievable to me that never ever has any classified information or data been transmitted via the Clinton server that served the mails. No, please, do not investigate into further details.

Continue reading


Phishing FBI – why ? Jedenfalls professionnell !

Im letzten Beitrag hatte ich mich gewundert, dass das FBI mir 8 Millionen anbietet.

it-governance versuchte gerade eine Antwort. Wichtigstes Fazit: Phishing wird professionnell gemacht, auch die Fehler. Dies sei der Grund, warum manche Fakes so offenkundig fehlerhaft sind, vom inkongruenten Betreff bis zu Orthographie-Fehlern im Text. Damit würden gebildete Empfänger als Antworter ausgeschaltet.

Aus eigener Beobachtung will ich mal wieder die Administratoren und Power-User darauf hinweisen, dass auch sie eine Zielgruppe sind, die Zielgruppen gerecht angesprochen wird. Wir sind alle empfänglich für bestimmte Reizworte, die uns dann den mehr oder weniger versteckten Angriff übersehen lassen. So wird ein Admin kaum auf eine Aufforderung reagieren, ein Kennwort zu übermitteln. Aber einen hilfreichen Link anklicken, der fast so geschrieben ist wie die URL eines namhaften Herstellers, dazu kann man sie oder ihn schon verleiten.

Was hilft dagegen ?

  • Wahrnehmen, was kommt da auf mich zu ?
  • Passt das zu aktuellen Ereignissen in meinem Umfeld ?
  • Angebotene Links erst lesen, dann verbinden – oder auch nicht verbinden !

Was bleibt ?

Tarnen und Täuschen gibt es virtuellen wie im physischen Leben. Und auch im physischen Leben passe ich mal mehr und mal weniger auf.  Die grauen Briefe von erfundenen Bundesämtern sind seltener geworden, aber ich erkenne sie immer noch, und komme den Zahlungsaufforderungen nicht nach.

it-governance


The FBI pretends to donate me 8 million

Yes, eight million dollars.

You do not believe ? Look at this snapshot of an e-mail I recently received.

FBI mail about eight million

FBI mail about eight million

Now, what I am wondering is – who falls to such a simple trick ?

But it seems that people, though not blindly believing the text of such a message, get a feeling that they are addressed in person, and that they should find out, who is cheeting them. So they click here and there or reply to the mail.

No – don’t do that. Do not try to investigate on your own if you are not well prepared and know a lot of the ways the guys behind it act. Just delete it. Do not try to understand. Do not feel personally hurt. Just delete it. And keep on doing what you intended to do before.