04.05.2018 | Bochum, Autor: Tim Berghoff

Warum das Imperium an Datensicherheit scheiterte

May the 4th be with you: Erklärungsversuche und Tipps für einen besseren Umgang mit galaktischen Datenpannen

Die Star-Wars-Saga (zumindest Episode IV-VI) ist ein Lehrbuchbeispiel dafür, wie ein Datenleck nicht gehandhabt werden sollte. Das Imperium weiß, gelinde gesagt, nicht, wie Datensicherheit funktioniert. Das Ergebnis: Die Reaktionen auf das Leck sind nicht ideal.

Tatsächlich hat die Sicherheit in so vielen Punkten versagt, dass es schwierig ist einen dedizierten hiervon auszuwählen, ohne andere Bereiche zu berühren. Daher haben wir nur ein paar Dinge ausgewählt, die sie aus sicherheitstechnischer Sicht anders hätten behandeln sollen.

Den Boten zu erschießen ist schlechter Stil und bringt Tonnen von Papierkram sowie unangenehme Gespräche mit sich, wenn man es zu wörtlich nimmt (außerhalb des Leinwanduniversums).

Auch Sie können sich in der Situation des Boten wiederfinden, der dem CEO mitteilen muss, dass der Webshop außer Betrieb gesetzt wurde, weil die Website durch einen DDoS-Angriff in die nächste Woche gebombt wurde.

Oder Sie wissen, dass es jemand geschafft hat, die geheimen Baupläne für Ihr neues Hauptquartier zu stehlen. Sie wissen, dass es nicht Ihre Schuld ist. Die Mittel für die notwendigen Sicherheitsmaßnahmen wurden schlichtweg nicht genehmigt. Somit konnten Sie die drei potenziell neuen Mitarbeiter nicht anstellen, die Ihnen versprochen wurden, um die Shop-Plattform aufzupolieren. Auch die Freigabe zur Erneuerung der Antiviren-Lizenz wurde Ihnen nicht erteilt, obwohl sie seit vier Wochen veraltet war. Nun stehen Sie vor Ihrem Chef und werden wegen "Ihrer" Unfähigkeit beschuldigt.

Hören Sie sich an, was die Leute Ihnen sagen, und nehmen Sie nicht automatisch an, dass Sie schuld sind. Außerdem: Gute Boten sind nicht leicht zu finden, also schießen Sie nicht aus einer Laune heraus - auch wenn Ihnen die Nachrichten, die sie Ihnen bringen, nicht gefallen.

In dieser Hinsicht muss Kylo Ren Respekt erwiesen werden - zumindest hat er nur die Büromöbel zerstört, anstatt den Offizier zu eliminieren, der ihn über seinen entflohenen Gefangenen informierte. Die Offiziere, die unter seinem Idol dienten, erging es deutlich schlechter – überbringe schlechte Nachrichten und du wirst unweigerlich sterben, selbst per Skype. Und der Kerl neben Ihnen, der schon jetzt ausgesprochen unruhig aussieht, bekommt Ihren Job, während Sie - oder besser gesagt Ihre Leiche - herausgezerrt wird.

Stellen Sie sicher, dass Ihre Truppen Vertrauen haben und keine Angst haben müssen, beim ersten Anzeichen des Scheiterns erschossen zu werden. Aller Wahrscheinlichkeit nach ist die Person, die Sie über einen Vorfall informiert, nicht diejenige, die dafür verantwortlich ist. Sie sollten auch wissen, dass Sie ihnen vertrauen.

 

Wenn etwas nicht funktioniert, funktioniert es nicht und sollte entfernt werden. Es hat keinen Platz in Ihren Plänen, es sei denn, Sie suchen etwas, worüber Sie sich Sorgen machen müssen. Um in unserem Bild zu bleiben: Der Bösewicht hat die Prinzessin entführt, weil er eine Sklavin/Frau will. Zu seinem Entsetzen scheint sie die Idee, in diese Beziehung hineingepresst zu werden, nicht allzu sehr zu mögen und kämpft mit Händen und Füßen, um davonzukommen. Versuche einen Kaktus zu umarmen und du bekommst eine Vorstellung davon. Es wird nie bequem sein, niemals. Die kluge Wahl wäre, sie gehen zu lassen. Die nicht so kluge Wahl für den Bösewicht ist es, seinen Preis über eine eiserne Kette festzuhalten und zu versuchen, sie zu zwingen, seinem Werben nachzukommen. Ein Wort an die Weisen: Diese Kette könnte sich um Ihren Hals winden, wenn Sie nicht aufpassen. Das wollte ich nur am Rande erwähnt haben.

Hier sind acht Tipps, wie Sie ein besserer böser Oberherr werden:

1. Nicht prahlen, nicht schadenfroh sein.
Wir alle wissen, dass Ihre Verteidigung und Ihre Maßnahmenpläne perfekt sind. Das bedeutet aber nicht, dass jeder (vor allem Ihre Gegner) von ihnen hören sollte.

2. Binden Sie andere Personen in Ihre Planung ein.
Wenn Sie alles alleine planen, werden Sie etwas vergessen. Nach anderen Meinungen zu fragen ist kein Zeichen von Schwäche oder Inkompetenz, im Gegenteil.

3. Testen und überprüfen Sie Ihre Sicherheit regelmäßig. Wenn nötig, verbessern Sie sie.
Es kann einer Flutwelle, einem Hurrikan und einem Erdbeben der Stärke 9 standhalten, aber wenn ein unangefochtener Eindringling Ihre Stromquelle durch das Betätigen von zwei Schutzschaltern deaktivieren kann, haben Sie ein Problem.

4. Schießen Sie nicht auf den Boten.
Wenn jeder Angst hat, Ihnen zu sagen, dass etwas nicht stimmt, dann besteht die hohe Wahrscheinlichkeit, dass die Informationen, die Sie erhalten, "gefiltert" und unvollständig sind. Bis Sie das komplette Bild erhalten, können Sie einem unheilbaren Chaos gegenüberstehen, bei dem bereits fünf verschiedene Personen ihre Hände im Spiel haben.

5. Bringen Sie keine Messer zu Schießereien mit.
Wenn Sie über Tools verfügen, die garantiert die Bedrohung für Ihre Pläne entschärfen, verwenden Sie diese. Wenn es um Verteidigung geht, ist es besser, groß anzufangen, als durch ein Arsenal kleinerer Werkzeuge zu laufen und dabei viel Zeit und Geld zu verschwenden. Wenn Indiana Jones uns etwas beigebracht hat, dann ist es das hier: Wenn ein Gegner ein Schwert vor deinem Gesicht schwingt, während du eine Waffe hast, sei kein Sportler. Mach es stattdessen schnell.

6. Wenn etwas nicht wie beabsichtigt oder erwartet funktioniert, entfernen Sie es.
Eine Anwendung oder ein Gerät, die beziehungsweise das nicht wie erwartet funktionieren, sollten zunächst gründlich überprüft werden. So können Probleme behoben werden, ohne die Mission zu gefährden. Das Festhalten an einer Infrastruktur aus sentimentalen Gründen, aus Selbstgefälligkeit oder aus politischen Ursachen, wird sie früher oder später zu einer Verpflichtung statt zu einer Bereicherung machen. Wenn sich herausstellt, dass etwas unzuverlässig ist, machen Sie einen Cut und sorgen Sie für Ersatz. Aber seien Sie bereit für einen schweren Kampf.

7. Physische Sicherheit ist mindestens genauso wichtig wie die Schutz Ihrer Daten.
Alle originellen Geräte und Anwendungen zählen nichts, wenn jemand einfach in Ihr Archiv gehen und anfangen könnte, Laufwerke mit den Dateien zu ziehen, die Ihre geheimen Pläne enthalten. Oder wenn irgendein Droide sich einfach einrollen kann, an einen zufälligen, öffentlich zugänglichen Datenport anschließen und alle Daten von jedem System, das er will, abschöpfen kann. Und wir haben noch nicht einmal über Verschlüsselung gesprochen.

8. Technologie ist keine Wunderwaffe.
Egal wie stolz Sie auf den technologischen Terror sind, den Sie konstruiert haben: Technologie ist potenziell ein zweischneidiges Schwert. Sie können ein Problem lösen, aber versehentlich ein anderes einführen. Technologie kann für die Sicherheit von großem Wert sein, aber sie sollte und kann nicht alles ersetzen. Ob es Ihnen gefällt oder nicht: Sie müssen Vader das hier geben.

Seien Sie sich immer bewusst: Die Annahme, dass ein größeres finanzielles Budget ein höheres Sicherheitsniveau mit sich bringt, hat in der Realität keine Grundlage. Das Werfen von Geld auf ein Problem löst es selten - die meiste Zeit verlagert es das Problem einfach, bis es zurückkommt, um Sie aus einer Richtung zu verfolgen, die niemand erwartet hat.

Am Ende des Tages sind immer noch Menschen beteiligt. Wenn der Benutzer entscheidet, dass es sicher ist, ein bestimmtes Sicherheitsmerkmal zu überschreiben, weil er sich einer Gefahr nicht bewusst ist und beim Öffnen dieser Luke mit einem wütenden Wookie dahinter zu kämpfen hat, dann ist Training die einzige Möglichkeit, das zu bekommen, was man will.


Share this article

G DATA | Trust in German Sicherheit