Archiv der Kategorie ‘IT-Security‘

 
 

Alles AI oder was?

Auch wenn künstliche Intelligenz und insbesondere ChatGPT als Hype-Thema gerade überstrapaziert sind, werden wir alle nicht umhin kommen, uns damit zu beschäftigen.

(1) Anwendungsfälle

Von der UNSECO gibt es einen Quick Start Guide „ChatGPT and Artificial Intelligence in higher education„.

Besonders ins Auge gestochen ist mir dabei eine Rollenübersicht von Mike Sharples:

Auch wenn die dort definierten Rollen wohl für den Hochschulkontext entwickelt wurden, finde ich sie auch darüber hinaus wichtig und inspirierend.

(2) Gefahren

Mit dem Nutzen von AI gehen auch neue Gefahren einher und ich meine damit nicht die „böse AI“. Beim BSI (Bundesamt für Sicherheit in der Informatiosntechnik) findet sich bereits einiges hierzu auf der BSI-Homepage oder zusammgefasst in dem Artikel „AI security concerns in a nutshell„.

(3) AI im Projektmanagement

Nachdem es ja hier im Blog häufig um Projektmanagement-Themen geht, hier noch ein ganz spezieller Hinweis: Nicht nur über sondern auch mit ChatGPT hat Torsten Koerting sein Buch geschrieben: „Die KI Revolution – Auswirkungen auf das Projektmanagement und wie sie sich neu erfinden“ (Amazon Affiliate Link).

Qualitativ vs. quantitaiv

Zahlen haben fast schon eine „magische“ Wirkung auf uns. Wir schenken ihnen Vertrauen und sie liefern uns exakte Aussagen.

Schön wäre es, denn im Detail liegen ein paar Tücken: Messen bzw. zeigen die Zahlen tatsächlich das, was sie vermeintlich vorgeben zu zeigen? Und mit welcher Zuverlässigkeit und Genauigkeit tun sie es?

Die Krux mathematischer Modelle und Berechnungen liegt darin, dass sie uns Ergebnisse mit Nachkommastellen liefern. Das aber ist lediglich eine Scheingenauigkeit, denn das Ergebnis kann nicht besser sein als das zugrundeliegende Modell. Wie sehr uns das überfordert, zeigt der aktuelle Umgang mit den Covid Statistiken. Von uns Laien werden Zahlen vogelwild interpretiert ohne das wir wirklich wissen, was sie aussagen, ohne das wir statistische Effekte aus Erfassung und Verarbeitung, wie z.B. durch die Änderung der Teststrategie oder das Meldeverhalten, berücksichtigen.

Wir sind in guter Gesellschaft. Seit langem bemängelt  Gerd Gigerenzer (Amazon Affiliate Link), dass die meisten Mediziner, medizinische Wahrscheinlichkeitsaussagen nicht interpretieren können. Wie soll das dann bei Covid anders sein?

Oder im Risikomanagement?

Die bekannteste Quantifizierung eines Risikos ergibt sich aus der versicherungmathematischen Formel als Produkt von Eintritswahrscheinlichkeit und potentiellem Schaden, dem sogenannten Erwartungwert.

Aber welche Aussagekraft hat der Erwartungswert?

Nun statistisch gesehen, ist das der durchschnittlich zu erwartende Schaden. Aber nutzt uns das was? Das ist in etwas wie die durchschnittliche Fiebertemperatur aller Krankenhauspatienten. Nehmen wir einmal an, ein Unternehmen würde aufgrund eines solchen Modells finanzielle Rückstellungen in Höhe des Erwartungswerts treffen. Bei Risiken die digital eintreten, d.h. sie treten entweder ein oder sie treten nicht ein, stecken wir in dem Dilemma, dass wir im einen Fall zu niedrige und im anderen Fall zu hohe Rückstellungen getroffen haben. Worst case ist beides existenzbedrohend, z.B. im Falles des Eintretens eines „schwarzen Schwans“ (Amazon Affilitate Link), also eines äußerst unwahrscheinlichen Ereignisses – z.B. einer Covid-Pandemie….


Den ganzen Beitrag lesen…

Security im agilen Kontext

Diese Tage kam ich in der Diskussion mit einem Kunden auf die Berücksichtigung von Security Requirements in einem agilen Kontext.

Hintergrund war, dass bislang Security vor allem für den Betrieb und für die Produktsicherheit thematisiert wird, aber Sicherheitsaspekte in der Entwicklung und in einer Projektphase noch eher stiefmütterlich behandelt werden. Auf der anderen Seite finden agile Vorgehensweisen immer weiter Einzug in die Unternehmen und die Ausgangsfrage des Kunden war, wie man Sicherheitsbelange im agilen Kontext berücksichtigen kann.

Für die Projektsicht gibt es vor allem zwei Themenstränge (und dabei müssen wir noch nicht mal zwischen agil und klassisch unterscheiden):

  • Die Sicherheit im Projekt
  • Die Entwicklung der Sicherheit für Produkt und Betrieb

Bei letzterem Punkt könnte ich mir unterschiedliche Strategien vorstellen:

  • Ein stufenweiser Hochlauf, bei dem systematisch das Sicherheitsniveau angehoben wird. (Anfangs mit einer Sandbox, dann Aufbau einer Entwicklungsumgebung, erst noch ohne Daten, dann nur mit einem Teilset der Daten, bis hin zur vollumfänglichen Produktion)
  • Vorgabe von Leitplanken (im Qualitätsmanagement gibt es dafür das Control Chart als Werkzeug).

Grundsätzlich würde ich Security-Anforderungen im Normalfall den nicht-funktionalen Anforderungen zuordnen.

Agile SW-Entwicklung fokussiert tendenziell auf funktionalen Anforderungen. Werden dabei wichtige nicht-funktionale Anforderungen vergessen, so kann dies eine Schwäche agilen Vorgehens sein.

Im Wesentlichen finden sich drei Ansätze zur Berücksichtigung von Security Requirements im agilen Kontext:

  • Eigene nicht-funktionale Einträge ins Backlog (beispielsweise eigene User Stories. Ein Kollege hat mir berichtete mir, dass er ein eigenes Backlog für Security Anforderungen aufgebaut hat.)
  • Berücksichtigung nicht-funktionaler Anforderungen als Constraints
  • Berücksichtigung als Kriterien im Definition of Done

Wenn die Vorgaben für Security oder nicht-funktionale Anforderungen allerdings zu sehr formalisiert werden, dann birgt das bereits einen kulturellen Konflikt: Ein formaler Prozess entspricht jetzt nicht ganz den agilen Vorstellungen von eigenverantwortlichem Handeln, d.h. auch da bräuchte es klar definierten Handlungsspielraum für das Team.

Maturity Ansätze fand ich zur Berücksichtigung von Security Anforderungen nicht hilfreich. Da finden sich  CMMI-Adaptionen auf agile Vorgehensweisen. Thematisiert wird aber das Vorgehensmodell an sich und nicht die Berücksichtigung nicht-funktionaler oder sicherheitsrelevanter Anforderungen.

Beitrag #723 auf schlossBlog

#683 Gesehen: Snowden

Nachdem hier mitunter auch Themen wie IT-Sicherheit und Datenschutz angesprochen werden und auch schon Glenn Greenwalds Buch über den Fall Snowden rezensiert wurde, schreit natürlich auch der neue Film von Oliver Stone (Amazon Affiliate Link) nach einer Würdigung.

Also am Sonntag Nachmittag mit der ganzen Familie ab ins Kino. Gut, Hannah (9) fand es streckenweise laaaaangweilig und auch Jonas (12) hatte bei manchen Sprüngen so seine Probleme, aber wenn sie Medienkompetenz lernen sollen, dann müssen sie da durch. FSK 6 ist ok, auch wenn der Film da inhaltlich überfordert. Es ist auch kein Film der, in die Details der Überwachungsthematik einsteigt, sondern eher ein Bio-Pic über die Person Snowden. Die Zerrissenheit und Widersprüchlichkeit der Person, die jahrelang vor der Transformation zum Whistleblower ja auch aktiv an der Überwachung beigetragen hat, könnte vielleicht noch deutlicher werden, obwohl sie sicherlich dargestellt wird.

Snowden – der Whistleblower – ist auch ein Stück Selbstinszenierung, die Snowden natürlich auch aus Selbstschutz braucht, aber für den Betrachter erschwert es die Differenzierung. Einzelne Details sind der Dramaturgie in der filmischen Umsetzung geschuldet:  Die Zuspitzung von Drohnenabsturz und epileptischen Anfall, oder das konkrete Procedere beim „Datendiebstahl“. Dass jemand, der eine hochspezifische Backup-Software schreibt, ganz banal in einer ad hoc-Aktion ein paar Dateien kopiert, die dann zufällig den ganzen Komplex so umfassend wiedergeben, scheint nicht gerade realistisch. Snowden ist sicherlich ein smartes Kerlchen, aber ob er tatsächlich Genie und Klassenprimus ist, gehört möglicherweise wieder in das Kapitel Inszenierung.

Alles in allem gebührt dem Film aber das Attribut sehenswert. Oliver Stone ist mal wieder derjenige, der als Zeitzeuge die Finger in die Wunden Amerikas legt, nach dem Vietnamkrieg (Platoon), der Kennedy-Ermordung nun der Fall Snowden. Snowden in dieser Reihe zu sehen ist mutig und sollte zum Nachdenken anregen.

Verstörend war aber weniger die hochprofessionelle Umsetzung Oliver Stones, als die dilletantische Platzierung im Kino: In der Werbung vor dem Film liefen Trailer für Agenten Thriller von Illuminati, über den neuen Tom Cruise bis hin zu einer Crime-Serie auf RTL. Wer in einem solchen Umfeld diese Werbung platziert hat wenig verstanden – am wenigsten den eigenen Job, geschweige denn diesen Film, aber letztlich bleibt dies ein kleiner Schönheitsfehler. Gott sei dank!

#643 Visuals zur Informationssicherheit

Sonst ist auf diesem Blog ja der visualPM unterwegs, aber Visualisierung und Bildsprache kann auch für andere Themen einsetzen und nutzen.


Und so gibt es jetzt auch hier Icons/Symbole zur Informationssicherheit.

Ausgangspunkt ist ein Symbol für Information, das gezielt mit anderen Symbolen kombiniert und erweitert wird.

 

Informationssicherheit setzt sich zusammen aus Sicherheit (hier dargestellt durch einen Tresor als sicheren Ort in dem die Information aufbewahrt wird und der zu schützenden Information.

 

Weiter sind so Symbole für die Schutzziele der Informationssicherheit entstanden:

 

(1) Vertraulichkeit

Ein Auge, das auf die Information „geworfen“ wird, symbolisiert Vertraulichkeit (Confidentiality). Eine Information soll nicht in „falsche“ Hände geraten, was auch immer dies im Einzelfall heißen mag, sei es dass die Information in die Öffentlichkeit gerät, dass ein Kunde, ein Wettbewerber oder ein Lieferant ungewollt die Information erhält.

 

(2) Integrität

Integrität (Integrity) bezieht sich darauf, dass die Information nicht ungewollt/unbemerkt verfälscht oder geändert wird. Dies kann nicht nur durch einen Hacker oder Saboteur erfolgen, sondern auch durch einen Bearbeitungsfehler oder einen technischen Defekt.

 

(3) Verfügbarkeit

Verfügbarkeit (Availability) spiegelt die Anforderung auf den Zugriff/die Zugriffsmöglichkeit auf die Information (wortwörtlich: Die Hand, die zugreift). Ist eine Information zum erforderlichen Zeitpunkt verfügbar, bzw. wie schnell steht sie nach einem Verfügabrektisverlust wieder zur Verfügung, beispielsweise durch ein Disaster Recovery?

Entwickelt wurden diese Symbole übrigens mit der Symbol Safari aus Martin Hausmanns Buch UZMO. Eine Beschreibung gibt es auch auf openPM.

#639 Gelesen: Das Neue Spiel

Michael Seemann, Das neue Spiel: Strategien für die Welt nach dem digitalen Kontrollverlust, Berlin, Freiburg 2014, ISBN 978-3936086799 (Amazon Affiliate Link)

Michael Seemann bloggt nicht nur über den Kontrollverlust unserer Daten, den wir längst erlitten haben, er hat seine Gedanken auch in einem lesenswerten Buch zusammengefasst. Vielleicht geht der Autor in dem einen oder anderem Punkt zu weit (braucht es wirklich eine eigene, neue digitale Lizenz für das Buch, wird die Query-Metapher nicht etwas überstrapaziert,…), aber gemessen an der medientheoretisch fundierten Auseinandersetzung mit dem Thema, sind das belanglose Details.

Zunächst belegt Seemann den Kontrollverlust:

„Wir haben die Kontrolle über die Daten […] auf dreifache Weise verloren: Wir wissen nicht mehr, welche Daten zu welcher Zeit erhoben werden können, weil die ganze Welt durch die allgegenwärtige Verbreitung von Sensoren digitalisiert wird. Wir bestimmen nicht selbst, was mit diesen Daten geschieht, wo sie gespeichert werden, wo sie hinkopiert werden, wer darauf Zugriff hat. Und wir können nicht ermessen, welche Dinge diese Daten potenziell aussagen. Kurz: Daten, von denen wir nicht wussten, dass es sie gibt, finden Wege, die nicht vorgesehen waren, und offenbaren Dinge, auf die wir nie gekommen wären.“

Im zweiten Teil versucht er Strategien zu entwickeln mit denen wir uns dem faktisch bereits eingetretenen Kontrollverlust stellen können, denn ein Lamentieren nützt uns nichts und auch das Hoffen auf den Staat oder andere Institutionen ist so naiv wie hoffnungslos in unserer globalisierten digitalen Welt.

Als Strategien für den Umgang mit dem Kontrollverlust stellt er 10 Regeln auf:

  • Es gilt das Neue – Wir müssen Lernen, das Alte zu Verlernen und die neuen Spielregeln annehmen.
  • Du kannst das Spiel nicht gegen den Kontrollverlust spielen – Eine Kontrolle von Datenströmen ist faktisch längst nicht mehr möglich, also dürfen wir uns auch nicht dieser Illusion hingeben.
  • Die Überwachung ist Teil des Spiels – Überwachung wird noch mehr zunehmen. Wir können das nicht verhindern, sondern lediglich versuchen, die Wirkung von Überwachung zu schwächen.
  • Wissen ist, die richtige Frage zu stellen – Die Wissensspeicherung verliert an Bedeutung, der Abruf von Wissen wird hingegen zur neuen Königsdisziplin.
  • Organisation und Streit für alle! – Die „positive“ Seite des Kontrollverlustes ist es, dass Transparenz und Vernetzung für alle offen stehen.
  • Du bist die Freiheit des Anderen – Die gesellschaftlichen Kommunikationsstrukturen haben sich geändert – hin zu einer End-to-End-Beziehung der einzelnen Teilnehmer. Die Daten gehören schließlich beiden Enden der Kommunikation.
  • Macht hat, wer die Plattform kontrolliert – Plattformen sind neue, machtvolle Akteure.
  • Staaten sind Teil des Problems, nicht der Lösung – Denn auch die Staaten sind „Opfer“ des Kontrollverlustes, haben z.B. beim Datenschutz längst den Bankrott erreicht.
  • Datenkontrolle schafft Herrschaft – Etwas paradox, denn Datenkontrolle ist ja faktisch nicht wirklich möglich, aber dort, wo man es versucht steigt die Macht der Plattformen. „Datenkontrolle zwingt zur zentralisierten Kontrolle und schwächt somit die Zivilgesellschaft.“
  • Der Endgegner sind wir selbst – Noch bevor die Geheimdienste etwas über uns herausgefunden haben, haben wir es längst selbst (oder jemand anderes für uns) auf Facebook & Co eingestellt oder es mit einer Videoüberwachung gefilmt. Wir müssen uns unserer Verantwortung annehmen.

Michael Seemann ist kein wirrer Verschwörungstheoretiker, er ist auch kein Snowden/NSA-Trittbrettfahrer. Er hat lediglich versucht ein intelligentes Fazit aus dem Thema seines Blogs und seiner Auseinandersetzung mit dem Thema Kontrollverlust zu ziehen. Natürlich kann man über Details streiten, aber eins macht die Lektüre allemal klar: Wir müssen uns dem Thema stellen, denn dieser gesellschaftliche Veränderungsprozess ist bereits weiter fortgeschritten als wir uns vorstellen können und es gibt kein zurück. Wir müssen lernen, uns in diesem veränderten Umfeld einer digitalen Welt zu bewegen und uns den neuen Herausforderungen widmen. In diesem Sinne: Eine klare Leseempfehlung!

#631 Informationssicherheit – Guiding Questions

Bei dem ganzen Hype, der dem Thema Informationssicherheit in den letzten Jahren widerfahren ist, darf man eines nicht vergessen: Informationssicherheit ist kein Selbstzweck, sie dient lediglich zur Sicherstellung des eigentlichen Geschäftszweckes/des eigentlichen Auftrags. Demnach gilt: Business first!

Beim Thema Informationssicherheit darf es nicht um die Befriedigung aus Normen abgeleiteter Anforderungen gehen, sondern es ist stets eine Abwägung aus Business Sicht. Dies gilt insbesondere, da es eine 100%-Sicherheit nicht gibt, insofern ist Informationssicherheit immer auch ein Risikomanagement-Prozess.

Bei einem großen Rollout-Projekt zur Implementierung eines IT-Security-Prozesses im IT Service-Management, mussten wir lernen, dass wir die Kollegen immer wieder überfordert haben. Zum Einen ging die eben erwähnte Business-Perspektive in den Köpfen immer wieder verloren, zum Anderen verloren die Kollegen bei der Vielzahl der Security Requirements schnell den Überblick und haben den Wald vor lauter Bäumen nicht mehr gesehen. Da wurden dann technische Betriebs-Details  formal mit dem Provider geklärt, anstatt sich grundsätzlich mit der Frage auseinander zu setzen, was (im konkreten Fall) eine Cloud-Lösung überhaupt ist und ob man die eigenen Daten wirklich in fremde Hände geben möchte. Natürlich braucht es auch dedizierte Anforderungen, aber ohne ein entsprechendes Mindset wurde die Bearbeitung schnell zum sinnentleerten Papiertiger.

Vor diesem Hintergrund habe ich eine Reihe von Guiding Questions formuliert, um die Kollegen wieder „abzuholen“. Natürlich gilt als oberster Grundsatz die Orientierung am Geschäftszweck (1), dann ist ein generelles Lösungsverständnis erforderlich (2) um überhaupt die klassischen Dimensionen der Informationssicherheit bearbeiten zu können (3-5). Zur Visualisierung habe ich mich des IT Security Canvas bedient:

(1) Business first!

(2) Lösung & Architektur
Um ein allgemeines Verständnis unserer Lösung zu entwickeln:

  • Wie sieht das generelle Design/die Architektur der Lösung aus?
  • Gibt es Schnittstellen zu anderen Systemen?
  • Wo sind diese Systeme räumlich angesiedelt?
  • Wo werden Daten gespeichert, verarbeitet oder transportiert?
  • Welche Parteien sind involviert (Benutzer, Administratoren, Dienstleister,…)?
  • Gibt es ein IT-Service-Management?


 
 
 
 
 

(3) Vertraulichkeit / Confidentiality
Wenn Vertraulichkeit von besonderer Relevanz für unsere Lösung ist:

  • Welche Personengruppen und Systeme sind beteiligt bzw. haben Zugriff?
  • Deckt die Zugriffskontrolle all diese ab?
  • Werden Verschlüsselungstechniken eingesetzt? Bei der Speicherung? Bei der Übertragung?


 
 
 
 
 

(4) Integrität / Integrity
Wenn Integrität von besonderer Relevanz für unsere Lösung ist:

  • Wie kann ein Integrationsverlust bemerkt werden?
  • Gibt es Optionen zur Wiederherstellung?
  • Werden unterstützende Features wie Plausibilisierungen, Verschlüsselung, Backups, etc. genutzt?


 
 
 
 
 

(5) Verfügbarkeit / Availability
Wenn die Verfügbarkeit von besonderer Relevanz für unsere Lösung ist:

  • Ist unsere Lösung in einem IT Disaster Recovery und/oder in einem Business Continuity Management zu berücksichtigen?
  • Decken Disaster Recovery und Business Continuity Pläne alle beteiligten Systeme und Parteien ab?

#613 Gelesen: Der Fall Snowden

Glenn Greenwald, Die globale Überwachung: Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen, München 2014, ISBN-13: 9783426425169 (Amazon Affiliate Link)

Zu Beginn liest sich Greenwalds Dokumentation des Fall Snowden wie ein Spionage-Thriller. Fast schon ein bisschen billig mit Kontaktaufnahme und konspirativen Treffen. Greenwald schreibt sehr ehrlich. Er beschreibt wie Snowdens erste Versuche der Kontaktaufnahme scheitern, weil Greenwald, der Journalist und Aktivist, zunächst zu bequem ist eine verschlüsselte Kommunikation einzurichten. Diese Ehrlichkeit verleiht dem Buch aber auch Glaubwürdigkeit. Es geht eben nicht um die Eitelkeit der Beteiligten.

Bereits in den „Thriller-Passagen“ erklärt Snowden seine Motivation und äußerst die Angst, Kopf und Kragen zu riskieren für eine Sache, der die Öffentlichkeit womöglich nur mit Gleichgültigkeit begegnet:

»Bei alldem habe ich nur vor einem Angst«, sagte er, nämlich »dass die Menschen diese Dokumente sehen und mit einem Achselzucken darüber hinweggehen, dass sie sagen: ›Das haben wir uns schon gedacht, das kümmert uns nicht.‹ Ich habe Sorge, dass ich all das für nichts und wieder nichts tue.«“

Snowden moralische Ansprüche sind hoch:

»Wenn man nicht nach seinen Überzeugungen handelt, ist wahrscheinlich nicht viel dahinter.«

und

»Ich möchte nicht zu den Menschen gehören, die Angst haben, ihre Prinzipien zu verteidigen.«

Wohlüberlegt und exemplarisch veröffentlicht Greenwald Details des NSA-Materials. Dies geschieht aber nicht in Wikileaks Manier („Copy all“), sondern durchaus verantwortungsbewusst. Es hätte sicher noch anderes Material gegeben mit dem durchaus der eine oder andere Informant oder Beteiligte gefährdet worden wäre, aber gerade eine solchen Effekthascherei gehen Snowden, Greenwald und ihre Mitstreiter nicht ein. Es ist durchaus bemerkenswert, wie sensibel und trotz allem kontrolliert die Veröffentlichung erfolgt.

Zu guter letzt ordnet Greenwald noch die NSA-Aktivitäten in den gesellschaftlichen Kontext ein. Greenwald ist eben nicht der Skandalreporter, der einen internationalen Skandal kommerziell ausschlachtet, sondern er war längst vor dem Fall Snowden als Jurist und Aktivist unterwegs. Und gerade diese Einordnung zeigt auch, warum Snowden – völlig zu Recht – Greenwald als Mitstreiter ausgesucht und ins Vertrauen gezogen hat.

#587 it security canvas

Und noch ein Canvas… Nachdem der visualPM schon beim openPM-Canvas seiner Leidenschaft für die Visualisierung komplexer Themen nachgegangen ist, experimentiert er gerade wieder mit einer neuem Canvas: Einem it-security-canvas.

Dieser Canvas ordnet die Rubriken der ISO 27001:2013 (Wikipedia)  um ein stilisiertes System-Use-Case-Diagramm und erlaubt so auch eine visuelle Darstellung und Verknüpfung von IT-Security-Themen. Storytelling wird so auch für abstrakte Themen, wie IT-Sicherheit möglich. In einem ersten Anwendungsfall, habe ich versucht Defizite und Handlungsbedarfe im Vertrag mit einem IT-Service-Provider transparent herauszuarbeiten. Ich kann mir auch vorstellen den Canvas in verschiedenen Versionen als Poster weiter zu entwickeln, um Risks, Threats und Controls der relevanten Gebiete darzustellen.

Wer auch mit der it security canvas experimentieren will, ist hierzu herzlich eingeladen. Vorlagen gibt es in A0, A3 und A4 als pdf-download:

Kommentare als Feeback sind herzlich willkommen!

#578 Best of… Compliance

Compliance war schon das eine oder andere mal Thema auf schlossBlog, insbesondere Compliance-Themen vor dem Hintergrund von IT-Offshoring und Outsourcing:



bernhardschloss.de