Information Security and digitics

Of digital mice and men – for availability, integrity and privacy


Kein Vertrauen ohne Risiko: vs. Zero Zrust

Die Marketingparole “Zero Trust” hat mich immer irritiert. Eine Welt ohne Vertrauen stelle ich mich schrecklich vor. Jetzt hat mich ein Interview mit dem Vertrauensforscher Prof. Dr. Martin Schweer in der Verbandszeitschrift des Bundesverbandes Deutscher Psychologinnen und Psychologen fachlich und menschlich bestätigt.

“Zero Trust” bedeutet im Umkehrschluss: Totale Kontrolle, keine Unsicherheit, kein Risiko – und folglich keine Chance.

Das Modell “Zero Trust” wird z.B. so definiert: “organizations should not trust any entity inside or outside of their perimeter at any time”. Wie wollen Sie da noch Kreativität und Lösungskompetenz von Mitarbeitern erwarten? Das erfordert ja Vertrauen der Mitarbeiter, dass sie Fehler machen können, dass die Ergebnisse genutzt werden, dass Ergebnisse nicht gegen sie gewendet werden, … Vertrauen entsteht aber nur, wo es für beide Seiten ein Risiko gibt. Vertrauen benötigt Wechselseitigkeit, das ist die erste zentrale Aussage in dem Interview.

Für Notfallmanagement und die angestrebte Resilienz von Organisationen ist die folgende Feststellung zentral: “Vertrauen [ist] ein wichtiger Faktor für Resilienz”. Es leuchtet ein, dass in einem schweren Störfall Dinge außer Kontrolle geraten sind und nun, unter Hilfe von Notfallplänen, außergewöhnliche Maßnahmen und ungewöhnlicher Einsatz von Nöten sind, und innere Stabilität. Ein Mensch, dem man vorher nicht vertraut hat, deshalb in diesem Kontext kein Selbstvertrauen entwickelt hat, wird sehr wahrscheinlich nicht viel zur Lösung beitragen.

Mit Blick auf die Resilienz einer Organisation, also der Fähigkeit, angemessen mit einer schweren Störung umgehen zu können und daraus sogar gestärkt hervorzugehen, übernehme ich auch diese Aussage von Prof. Schweer: “Vorliegende Forschungsergebnisse weisen auf die Notwendigkeit hin, Vertrauenskulturen zu schaffen, Vertrauen aufzubauen und zu schenken.”

Es ist hier nicht von blindem Vertrauen die Rede, sondern von einem kontinuierlichen Prozess der Vertrauensbildung. Dabei hat auch die Kontrolle als Gegengewicht ihren Platz. Übrigens weißt in einem weiteren Beitrag Prof. Guido Möllering darauf hin, dass der Lenin und anderen zugeordnete Spruch “Vertrauen ist gut, Kontrolle ist besser.” auf ein sehr viel freundlicheres Sprichwort im Russischen zurückgehen könnte: “Vertraue, aber prüfe auch.” Das spricht doch mehr für ein angemessenes Gleichgewicht, statt für totale Kontrolle.

Und rein menschlich betrachtet, für Organisationen, die sich noch als organisierte Gruppe von Menschen betrachten, noch dieser Hinweis aus dem Interview:
“Der Soziologe Niklas Luhmann ging davon aus, dass der Mensch ohne Vertrauen nicht überlebensfähig sei, und damit hat er recht gehabt.”

Glauben Sie, dass ein Unternehmen, das grundsätzlich jedem Mitarbeiter misstraut, überlebensfähig ist?
Und wollen Sie in einer Welt ohne Vertrauen – Zero Trust – leben?

Quelle: reportpsychologie, Fachzeitschrift des BDP, April 2020, “Es gibt kein Vertrauen ohne Risiko”, Interview mit Prof. Dr. Martin Schweer

Ein Auszug ist online verfügbar.

Definition von Zero Trust bei wikipedia.


Home office – per Anweisung am Küchentisch ?

Eine Empfehlung des BSI mit einer signifikanten Lücke

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 18. März 2020 an die Sicherheit am heimischen Arbeitsplatz erinnert, nachdem zahlreiche Unternehmen zu diesem Zeitpunkt ihre Mitarbeiter ins Home Office gebeten oder geordert hatten. Mit einem Newsletter wurde am 19. März auf diese Publikation noch besonders hingewiesen.

Vier Bausteine des IT-Grundschutzes wurden hervorgehoben:

CON.7 Informationssicherheit auf Auslandsreisen
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz
OPS.1.2.4: Telearbeit

Soweit so gut. Doch ein wichtiger Aspekt wurde in dem panikartigen Aufbruch an den Arbeitsplatz am heimischen Esstisch, Küchentisch, Arbeitsecke vergessen: Welche Bedingungen haben denn Mitarbeiter zuhause, im Kreis der Lieben oder auch störenden Familienmitglieder?

Vor Allem aber: Hat ein Arbeitgeber überhaupt das Recht, Mitarbeiter zur Arbeit nach Hause zu schicken? Ich bin kein Arbeitsrechtler und überhaupt kein Anwalt, aber meine instinktive Vermutung geht dahin: Nein, das kann ein Arbeitgeber nicht verlangen. Er kann freundlich darum bitten, und die meisten Menschen werden der Bitte freundlich nachkommen.

Dazu hatte ich in der Xing-Gruppe IT-Grundschutz, die vom BSI moderiert wird, angeregt, dass zumindest ein Hinweis aufgenommen wird für Arbeitgeber, die rechtliche Grundlage für eine Entsendung nach Hause zu prüfen. Das schließt m.E. die Option ein, dass Mitarbeiter nach Hause geschickt werden – ohne Arbeitsauftrag.

Die Kollegen vom BSI verwiesen in ihrer Antwort auf den Baustein ORP.5 und darin speziell auf den Abschnitt 3.1 mit den Anforderungen ORP.5.A1 Identifikation der rechtlichen Rahmenbedingungen und ORP.5.A2 Beachtung rechtlicher Rahmenbedingungen. Darin wird generell gefordert, dass Führungskräfte für die Konformität zu geltendem Recht verantwortlich sind. Doch wer denkt da schon an die vertragliche Gestaltung für den Fall, dass der Arbeitnehmer, der sonst unbedingt vor Ort sein soll, zur Fortführung des Geschäfts nach Hause geschickt wird und dort entsprechende Arbeitsmittel vorhalten soll.

Es gibt bestimmt einige Unternehmen, die das in ihren BCM-Plänen bedacht haben. Die Regel ist aber, dass Mitarbeiter einen Vorteil darin sehen, von zu Hause aus zu arbeiten, mit Remoteanbindung ans Firmennetz oder auch offline, und das Unternehmen sie darin unterstützt, um ihnen entgegenzukommen. Es werden dann aus dem ISMS heraus Anforderungen an den sicheren Umgang mit Informations-Assets gestellt.

In der akuten Krise ist es nun aber umgekehrt: Die Motivation kommt nicht vom Mitarbeiter, sondern vom Unternehmen. Und viele Unternehmen hatten für eine solche Panikreaktion der Politik und öffentlichen Meinung keinen Notfallplan – und folglich keinen angemessenen rechtlichen Rahmen.

Und viele Mitarbeiter sind nicht darauf vorbereitet und haben gar nicht die Möglichkeit im eigenen Heim einen sicheren Arbeitsplatz einzurichten, weder räumlich noch finanziell. Und es ist i.d.R. auch nicht Gegenstand von Notfallplänen, dass gleichzeitig die Kinder nach Hause geschickt werden, und ihren Müttern oder Vätern bei der Arbeit helfen sollen.

(Die Behörden scheinen in ihrer Panik diese Problematik gar nicht wahrzunehmen. Panik ist keine gute Entscheidungsgrundlage.)

Es gibt übrigens eine schon länger veröffentlichte Empfehlung des BSI für das heimische Büro, die ebenfalls keinen Hinweis auf rechtskonforme Nutzung des Home Office im Interesse des Arbeitgebers enthält. Allerdings verschwimmen hier die Begriffe “Mobiles Arbeiten” und “Home Office”.

BSI Mobiles Arbeiten




2.000 Kreditkarten-Kunden von illegalen Einzügen betroffen

Wie sicher sind Kreditkarten? oder noch schärfer: Wie sicher sind Konten, die von Kreditkarten belastet werden können ?

Kriminelle haben es auch nicht leicht. Mittlerweile ist dies eines meiner Mantren für Informationssicherheitsfragen, wenn es einzig um die Bereicherung geht. Der NDR meldet, dass die Oldenburgische Landesbank 1,5 Millionen in einem Angriff verloren hat, bei dem die Konten von 2.000 Kunden belastet wurden. Da nichts auf ein Fehlverhalten der Kunden hinweist, hat die Bank in jedem Einzelfall den Fehlbetrag (aus dem Risikopuffer für operationelle Risiken?) ausgeglichen.

Continue reading


Informationssicherheit – Compliance oder Wirksamkeit

Gäbe es heute Airbags in Autos, wenn in den sechziger Jahren nicht die Sicherheitsgurte eingeführt und folglich zur Pflicht gemacht wurden ? Und wurden die vielen Sicherheitselemente, die schon seit über zehn Jahren in einem Kraftfahrzeug Standard sind, eingebaut, um Gesetze zu erfüllen, oder weil Interessenten eher einen Wagen kaufen, in dem sie sich sicher fühlen.

Vielleicht

ist das der Schlüssel für mehr Sicherheit in der IT. Bis jetzt gibt es das nur ex negativo: Wenn ein Unternehmen einen schweren Sicherheitsvorfall beichten muss, wandern Kunden ab. Ein positiver Impuls wäre es, wenn Kunden Anbieter bevorzugen würden, die ihnen nachvollziehbar mehr Sicherheit bieten.  Die Nachvollziehbarkeit aber ist der Haken, denn wer kann schon beurteilen, ob die Verbindung zum Online-Angebot der Bank A effektiv sicherer ist als dem der Bank B.

Dann also doch auf Gesetztestreue setzen, und auf Gesetze im Interesse der Vielen, der Allgemeinheit, und auf die Durchsetzung. Auf Anbieterseite: auf Compliance.

In der Gastronomie hat es ja im Großen und Ganzen funktioniert. Die immer wieder aufgebrachten Skandale um Mäusekot im Brot oder andere Geschmacklosigkeiten bestätigen inzwischen eher den hohen Standard an Hygiene in Herstellung und Verkauf von Lebensmitteln und Speisen.

Bevor Industrie 4.0 und Internet of Things nicht auf einem vergleichbaren Niveau zum Schutz der Endverbraucher sind, sollte kein IoT auf den Markt kommen. Sind erst mal unsichere Systeme installiert, wird es kein sicheres Netz der Dinge geben.

Effektive Sicherheit im Netz wird es nur durch verbindliche Rechtsnormen geben.

(Mal sehen, wie ich das in vierzehn Tagen oder später lese.)


Ein Virus in einem Atomkraftwerk

Pünktlich zum Gedenktag an den GAU von Tschernobyl teilte der Betreiber des Kernkraftwerks Grundremmingen, die RWE, mit, dass in den Steuerungssystemen eine “Büro-Schadsoftware”, also ein Virus oder Tronajer, entdeckt wurde. Der Name wird nicht genannt. Es soll eine Malware sein, die Backdoors öffnet zum Internet. Aus der Umschreibung in der Pressemitteilung könnte man auf den ersten Schritt eines gezielten Angriffs schließen.

Entdeckt wurde die Malware im Rahmen der Vorbereitung auf ein IT-Sicherheits-Audit.

Betroffen war laut Pressemitteilung ein Rechner im Umfeld der Entwicklung, der nicht mit produktiven Systemen (die unmittelbare Steuerung) verbunden war.

Was kann man daraus schließen:

Continue reading


Öffentliche Warnung der Bundesbank: IT-Sicherheit wird geprüft

Die Süddeutsche Zeitung ermöglicht auf Seite 2 regelmäßig Gastbeiträge. Am 31. August 2015 las ich dort eine deutliche Warnung an die Banken, die IT-Sicherheit im öffentlichen Interesse und im Interesse der Kunden sehr ernst zu nehmen, und der Autor war Dr. Andreas Dombret, für die Aufsicht zuständiges Vorstandsmitglied der Deutschen Bundesbank.

Ausgehend von einem Fall einer Advanced Persistent Attack (im Unterschied zum Threat eine tatsächlich gelungener Angriff) schreibt Dr. Dombret: “Als Aufseher der Finanzbranche alarmieren uns solche Fälle zunehmend.” Um dann deutlich zu werden:

In diesem Jahr stellt die IT-Sicherheit deshalb bei bankaufsichtlichen Prüfungen in Deutschland und in europäischen Großbanken auch einen besonderen Schwerpunkt dar.

Und weil er offenbar ahnt, dass das noch nicht deutlich genug ist und damit klar ist, wen er adressiert, heißt es im letzten Absatz:

Zuvorderst gilt aber, dass die Ernsthaftigkeit von Cyberrisiken bis zu den Geschäftsführern aller Banken, zu anderen Finanzdienstleistern und Verbrauchern durchdringt.

Es ist naheliegend, dass mir das auffällt, weil ich als Berater in Business Continuity (BCM) und Informations-Sicherheit von Projekten zur Erhöhung der IT Security Nutzen ziehe. Das sollte aber die Wahrnehmung von Vorständen und CISOs nicht ablenken von dieser deutlichen, und wie ich meine begründeten, Warnung.

Den vollständigen Beitrag kann man immer noch lesen – auf der Website der Bundesbank.

Moderner Banküberfall Gastbeitrag von Dr. Andreas Dombret in der Süddeutschen Zeitung am 31.08.2015