Springe zum Hauptinhalt

2011-11: In Troja nichts Neues

Nein, das wird kei­nen po­li­ti­sche Ko­lum­ne. Ver­spro­chen! Als Bür­ger er­schreckt es mich na­tür­lich, wie die Po­li­tik mit dem Pro­blem "Bun­de­s­tro­ja­ner" um­geht. Als CISSP sa­ge ich aber: Das war zu er­war­ten. Denn schon lan­ge ist zu be­ob­ach­ten, dass den Po­li­ti­kern zu al­lem, was In­for­ma­ti­ons­tech­nik an­geht, das Fach­wis­sen fehl­t. Und da­zu der gu­te Wil­le, sich zu in­for­mie­ren: Ein Blick ins IT­-­Grund­schutz­hand­buch, ins­be­son­de­re auf den Bau­stein B1 Über­grei­fen­de Aspek­te. hät­te schon wei­ter­ge­hol­fen. Her­aus­ge­ber ist üb­ri­gens die Bun­des­re­pu­blik Deut­sch­lan­d, ent­wi­ckelt wur­de es ur­sprüng­lich aus­ge­rech­net für Be­hör­den! Die "Ak­tu­el­le Stun­de" im Bun­des­tag zum Bun­de­s­tro­ja­ner be­legt die­se Man­kos ein­drü­ck­lich - lau­nisch pro­to­kol­liert in Fe­fes Blog.

Wie ersparen Sie sich solche Peinlichkeit?

Ganz of­fen­sicht­lich ist et­was ein­ge­tre­ten, das nicht ein­tre­ten soll­te. Dumm ge­lau­fen. Aus der Bre­douil­le hilft den Be­trof­fe­nen (et­wa Ih­nen als Se­cu­ri­ty­-­Be­auf­trag­tem) nur: Sie müs­sen nach­wei­sen kön­nen, das Sie "al­les" ge­tan ha­ben, um die­sen Vor­fall zu ver­mei­den. Blät­tern wir al­so in der ein­schlä­gi­gen Li­te­ra­tur, was „al­les“ ist: Es sind hier kla­re Ver­hal­tens­re­geln, tech­ni­sche Maß­nah­men, or­ga­ni­sa­to­ri­sche Maß­nah­men, Pro­to­kol­le und Kon­troll­me­cha­nis­men auf­ge­lis­tet. In­klu­si­ve den Maß­nah­men, die ei­ne pro­fes­si­o­nel­le Kri­sen­-­PR für den "Worst Ca­se" vor­schreib­t.

Da­mit er­rei­chen Sie Fün­fer­lei:

  • Sie ent­las­ten sich per­sön­­lich von der Un­­ter­s­tel­­lung von Ver­­­feh­­lun­­gen,

  • Sie re­­du­­zie­ren re­ell das Ri­­si­­ko, dass et­­was pas­­sier­t,

  • Sie schre­­cken ab; falls doch et­­was pas­­sier­t,

  • Sie kön­­nen Sie den Scha­­den ein­­gren­­zen,

  • Sie kön­­nen den Ver­­ur­sa­cher in die Ver­­ant­wor­tung neh­­men.

Üb­ri­gens: Auch wenn Sie Ih­ren Mit­a­r­bei­tern grund­sätz­lich ver­tau­en – an­de­res wä­re ganz schlecht für Ih­re Un­ter­neh­men – brau­chen Sie Vor­sor­ge. Denn al­lei­ne das Ge­setz der gro­ßen Zah­len be­leg­t, dass Sie ein schwa­r­zes Schaf in der Fir­ma ha­ben, wenn sie nur groß ge­nug ist.

Unsere Herren Innenminister taten sich mit diesem Nachweis schwer

1. Wo sind die kla­ren Re­geln? BKA Chef Zier­ke zeigt in sei­nem Re­de­ma­nu­skript (letz­te Sei­te), wie man es nicht ma­chen dar­f: „Glau­ben Sie mir, mei­ne Mit­a­r­bei­ter ver­ste­hen das nicht!“ Fra­gen Sie al­so Ih­re Mit­a­r­bei­ter und Kol­le­gen, ob die Re­ge­lun­gen klar sin­d. Ob sie wis­sen, was sie zu tun und was sie zu las­sen ha­ben. Und na­tür­lich müs­sen Sie die Re­geln an ak­tu­el­le Ge­set­zes­la­ge und höchst­rich­ter­li­che Ent­schei­dun­gen an­pas­sen. Zu­ge­ge­ben, nicht ganz ein­fach, aber wich­ti­ge Ent­schei­dun­gen ge­hen so­gar durch die Pres­se.

2.Wo sind die tech­ni­schen Maß­nah­men? „Ge­le­gen­heit macht Die­be“, sagt der Volks­mun­d. Über­tra­gen in die Soft­wa­re­-­Ent­wick­lung be­deu­tet es: Funk­ti­o­na­li­tät, die nicht be­nö­tigt wird, soll es erst gar nicht ge­ben. Wenn al­so mit ei­nem Bun­de­s­tro­ja­ner kein Nach­la­den er­laubt sein soll, dann darf die Soft­ware die­se Funk­ti­on erst gar nicht ent­hal­ten.

3. Wo sind die or­ga­ni­sa­to­ri­schen Maß­nah­men? Die Tech­nik kann das Ein­hal­ten von Re­geln un­ter­stüt­zen, aber nicht al­ler Miß­brauch läßt sich durch Tech­nik ver­hin­dern. Beim Bun­de­s­tro­ja­ner ist mir nicht be­kannt ge­wor­den, wie denn ver­hin­dert wer­den soll­te, dass die Nach­la­de­funk­ti­on ge­nutzt wird. Hat­ten die aus­füh­ren­den Be­am­ten Zu­gang zu den „Plug­ins“? Wa­ren die­je­ni­gen, die die den „Up­da­te“ an­sto­ßen könn­ten, die glei­chen, die das Ab­hö­ren ge­steu­ert ha­ben? Stich­wor­t: Vier­-­Au­gen­-­Prin­zip.

4. Wo sind die Pro­to­kol­le und Do­ku­men­ta­ti­o­n? Die Pro­to­koll­funk­ti­on des Bun­de­s­tro­ja­ners scheint nicht son­der­lich re­vi­si­ons­si­cher zu sein. Kein Wun­der, dass die In­nen­mi­nis­ter hier Är­ger be­ka­men: Konn­ten die schwa­r­ze Scha­fe hier viel­leicht fäl­schen? Oder de­ren Kol­le­gen, Stich­wor­t: Korps­geist. Die An­for­de­run­gen an Buch­hal­tun­gen sind je­den­falls hö­her als bei Ein­grif­fen in Grund­rech­te. Üb­ri­gens könn­te hier Pa­pier­pro­to­kol­le mit Un­ter­schrif­ten schon hel­fen :-)

5. Wo ist die Kon­trol­le? Beim Bun­de­s­tro­ja­ner hat­te ich nicht den Ein­druck, dass die Be­am­ten Kon­trol­len ih­res Tuns und da­mit Kon­se­q­zen­zen be­fürch­ten muss­ten. Kei­ner hat ge­sag­t: „Hier sind un­se­re Re­geln, und wir ha­ben ge­prüft, dass sich al­le dar­an ge­hal­ten ha­be.“ Laut Herrn Zier­ke wur­den sie im­mer­hin auf Plau­si­bi­li­tät kon­trol­liert - was im­mer das hei­ßen mag.

Beim Bun­de­s­tro­ja­ner ist noch ei­ni­ge an­de­res schief ge­lau­fen, doch das wür­de den Rah­men die­ser Ko­lum­ne spren­gen. Er­wäh­nen möch­te ich nur noch kurz die Stich­punk­te "man­geln­de Kon­trol­le vom Out­sour­cing von IT­-­Dienst­leis­tung" (B 1.11 Out­sour­cing) und "man­geln­de Aus­bil­dung und In­ter­es­sen­kon­flik­te" (M 3.50 Aus­wahl von Per­so­nal), die bei­de schon ein gu­tes Stück wei­ter­ge­hol­fen hät­ten.

Und wenn Ihnen das passiert?

Dann ha­ben Sie hof­fent­lich aus den Feh­lern un­se­rer Po­li­ti­ker ge­lernt und sind gut vor­be­rei­tet. Sie ge­ben die do­ku­men­tie­ren Ver­fah­ren und an­de­re Un­ter­la­gen dem Pres­se­spre­cher und leh­nen sich ent­spannt zu­rück. Na ja, ganz so ein­fach wird es nicht wer­den. Aber Sie sind dann zu­min­dest gut ge­wapp­net, um den Sturm zu über­ste­hen. Toi, Toi, Toi!

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de