#631 Informationssicherheit – Guiding Questions

Bei dem ganzen Hype, der dem Thema Informationssicherheit in den letzten Jahren widerfahren ist, darf man eines nicht vergessen: Informationssicherheit ist kein Selbstzweck, sie dient lediglich zur Sicherstellung des eigentlichen Geschäftszweckes/des eigentlichen Auftrags. Demnach gilt: Business first!

Beim Thema Informationssicherheit darf es nicht um die Befriedigung aus Normen abgeleiteter Anforderungen gehen, sondern es ist stets eine Abwägung aus Business Sicht. Dies gilt insbesondere, da es eine 100%-Sicherheit nicht gibt, insofern ist Informationssicherheit immer auch ein Risikomanagement-Prozess.

Bei einem großen Rollout-Projekt zur Implementierung eines IT-Security-Prozesses im IT Service-Management, mussten wir lernen, dass wir die Kollegen immer wieder überfordert haben. Zum Einen ging die eben erwähnte Business-Perspektive in den Köpfen immer wieder verloren, zum Anderen verloren die Kollegen bei der Vielzahl der Security Requirements schnell den Überblick und haben den Wald vor lauter Bäumen nicht mehr gesehen. Da wurden dann technische Betriebs-Details  formal mit dem Provider geklärt, anstatt sich grundsätzlich mit der Frage auseinander zu setzen, was (im konkreten Fall) eine Cloud-Lösung überhaupt ist und ob man die eigenen Daten wirklich in fremde Hände geben möchte. Natürlich braucht es auch dedizierte Anforderungen, aber ohne ein entsprechendes Mindset wurde die Bearbeitung schnell zum sinnentleerten Papiertiger.

Vor diesem Hintergrund habe ich eine Reihe von Guiding Questions formuliert, um die Kollegen wieder „abzuholen“. Natürlich gilt als oberster Grundsatz die Orientierung am Geschäftszweck (1), dann ist ein generelles Lösungsverständnis erforderlich (2) um überhaupt die klassischen Dimensionen der Informationssicherheit bearbeiten zu können (3-5). Zur Visualisierung habe ich mich des IT Security Canvas bedient:

(1) Business first!

(2) Lösung & Architektur
Um ein allgemeines Verständnis unserer Lösung zu entwickeln:

  • Wie sieht das generelle Design/die Architektur der Lösung aus?
  • Gibt es Schnittstellen zu anderen Systemen?
  • Wo sind diese Systeme räumlich angesiedelt?
  • Wo werden Daten gespeichert, verarbeitet oder transportiert?
  • Welche Parteien sind involviert (Benutzer, Administratoren, Dienstleister,…)?
  • Gibt es ein IT-Service-Management?


 
 
 
 
 

(3) Vertraulichkeit / Confidentiality
Wenn Vertraulichkeit von besonderer Relevanz für unsere Lösung ist:

  • Welche Personengruppen und Systeme sind beteiligt bzw. haben Zugriff?
  • Deckt die Zugriffskontrolle all diese ab?
  • Werden Verschlüsselungstechniken eingesetzt? Bei der Speicherung? Bei der Übertragung?


 
 
 
 
 

(4) Integrität / Integrity
Wenn Integrität von besonderer Relevanz für unsere Lösung ist:

  • Wie kann ein Integrationsverlust bemerkt werden?
  • Gibt es Optionen zur Wiederherstellung?
  • Werden unterstützende Features wie Plausibilisierungen, Verschlüsselung, Backups, etc. genutzt?


 
 
 
 
 

(5) Verfügbarkeit / Availability
Wenn die Verfügbarkeit von besonderer Relevanz für unsere Lösung ist:

  • Ist unsere Lösung in einem IT Disaster Recovery und/oder in einem Business Continuity Management zu berücksichtigen?
  • Decken Disaster Recovery und Business Continuity Pläne alle beteiligten Systeme und Parteien ab?

#613 Gelesen: Der Fall Snowden

Glenn Greenwald, Die globale Überwachung: Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen, München 2014, ISBN-13: 9783426425169 (Amazon Affiliate Link)

Zu Beginn liest sich Greenwalds Dokumentation des Fall Snowden wie ein Spionage-Thriller. Fast schon ein bisschen billig mit Kontaktaufnahme und konspirativen Treffen. Greenwald schreibt sehr ehrlich. Er beschreibt wie Snowdens erste Versuche der Kontaktaufnahme scheitern, weil Greenwald, der Journalist und Aktivist, zunächst zu bequem ist eine verschlüsselte Kommunikation einzurichten. Diese Ehrlichkeit verleiht dem Buch aber auch Glaubwürdigkeit. Es geht eben nicht um die Eitelkeit der Beteiligten.

Bereits in den „Thriller-Passagen“ erklärt Snowden seine Motivation und äußerst die Angst, Kopf und Kragen zu riskieren für eine Sache, der die Öffentlichkeit womöglich nur mit Gleichgültigkeit begegnet:

»Bei alldem habe ich nur vor einem Angst«, sagte er, nämlich »dass die Menschen diese Dokumente sehen und mit einem Achselzucken darüber hinweggehen, dass sie sagen: ›Das haben wir uns schon gedacht, das kümmert uns nicht.‹ Ich habe Sorge, dass ich all das für nichts und wieder nichts tue.«“

Snowden moralische Ansprüche sind hoch:

»Wenn man nicht nach seinen Überzeugungen handelt, ist wahrscheinlich nicht viel dahinter.«

und

»Ich möchte nicht zu den Menschen gehören, die Angst haben, ihre Prinzipien zu verteidigen.«

Wohlüberlegt und exemplarisch veröffentlicht Greenwald Details des NSA-Materials. Dies geschieht aber nicht in Wikileaks Manier („Copy all“), sondern durchaus verantwortungsbewusst. Es hätte sicher noch anderes Material gegeben mit dem durchaus der eine oder andere Informant oder Beteiligte gefährdet worden wäre, aber gerade eine solchen Effekthascherei gehen Snowden, Greenwald und ihre Mitstreiter nicht ein. Es ist durchaus bemerkenswert, wie sensibel und trotz allem kontrolliert die Veröffentlichung erfolgt.

Zu guter letzt ordnet Greenwald noch die NSA-Aktivitäten in den gesellschaftlichen Kontext ein. Greenwald ist eben nicht der Skandalreporter, der einen internationalen Skandal kommerziell ausschlachtet, sondern er war längst vor dem Fall Snowden als Jurist und Aktivist unterwegs. Und gerade diese Einordnung zeigt auch, warum Snowden – völlig zu Recht – Greenwald als Mitstreiter ausgesucht und ins Vertrauen gezogen hat.



bernhardschloss.de