Eines meiner Lieblingsthemen ist definitiv das Thema Security, zumal hier sehr gut philosophisch heran gegangen werden kann. Aus einer kleinen Diskussion heraus entstanden mehrere Kritikpunkte, die ich hiermit gerne loswerden möchte. Diese beschäftigen sich nicht nur mit Spionageangriffe auf Unternehmen, sondern auch mit dem Privatanwender und den Schwierigkeiten, die darauf warten, gelöst zu werden.
Security im Privatbereich
Vielleicht noch nicht so verbreitet, aber immer wieder kommen Fälle von Identitätsklau auf. Durch vermeintlich nicht interessante Informationen können Daten-Entwender recht schnell die Identität einer anderen Person einnehmen und so zu eventuell wichtigeren Informationen gelangen. Geschehen kann dies durch unterschiedlichste Kommunikationsarten. Allen voran sind hier sicherlich Instant Messenger (ICQ, MSN, Skype, etc.) als auch durch das Mitlesen von Emails.
Wie kann dem vorgebeugt werden? PGP-, S/MIME-Erweiterungen sind ein guter Ansatz. Auch andere Mittel und Wege können verwendet werden. Die Lösung klingt einfach, nicht? In der Praxis sieht wieder einmal alles ganz anders aus. Wie erkläre ich einer hübschen Dame am anderen Ende der Leitung, dass wir ab sofort nur mehr sicher kommunizieren und sie nun Plugin A installieren und so und so konfigurieren muss. Eventuell noch machbar. Möchte sie das ihren Freundinnen erklären, dann gestaltet sich dieser Weg schon wesentlich schwieriger.
Zudem fehlt einfach das notwendige Verständnis für diese Thematik. Es wird angenommen, dass bestimmte Informationen für andere einfach unwichtig sind. Klar, für die meisten sicher. Für einen möglichen Angreifer eventuell aber nicht. Und dieser hat es einfach: Kaum jemand verwendet entsprechende Hilfsmittel. Schließlich ist es schon Aufwand genug, alle Freunde und Bekannte auf ein und denselben Messenger zu bekommen. Da möchte man sie nicht noch mit Security-Dingen überfordern (und selbst dann eventuell stundenlange Konfigurationsarbeit leisten).
Thematiken wie Schlüsselstärke, Algorithmus und die entsprechenden Gesetze und Verordnungen, die pro Land verschieden sind, lasse ich mal lieber außen vor, da dies alles noch um ein gutes Stück erschweren würde.
Security im Geschäftsbereich
Auch hier sieht es nicht viel besser aus. Dass große Unternehmen Ziele von Spionage werden ist mehr oder weniger bekannt. Wie sieht es aber mit der kleinen Softwareschmiede um die Ecke aus?
Ich denke, dass ein sehr großer Anteil bezüglich Innovation aus den sogenannten KMUs (Klein- und Mittelunternehmen) stammt. Gerade in diesem Bereich würde sich also Spionage lohnen - neue innovative Ideen wollen natürlich bekannt sein, schließlich möchte man mit eigenen Geldmitteln wesentlich schneller zu einem derartigen Produkt kommen oder schon im Vorfeld wissen, welches Unternehmen aufgekauft werden will.
Security bedeutet Aufwand. Aufwand setzt sich aus Zeit und Geld zusammen. Beides ist möglicherweise in kleineren Unternehmen nicht ausreichend vorhanden. Daher findet sich Security eher in der Schublade der zu vernachlässigbaren TODOs wieder. Da hat es aber eindeutig noch mehr:
Um sichere Kommunikation zu gewährleisten muss der Kommunikationspartner mitziehen. Dies gestaltet sich gerade bei kleineren Unternehmen als schwierig, da der Kommunikationspartner in vielen Fällen größer ist und sich somit nicht so einfach zu dieser Maßnahme bewegen läßt. Der Größere sitzt einfach am Hebel.
Produkte, die sichere Kommunikation gewährleisten, sind großteils für Unternehmen mit hunderten Beschäftigten ausgerichtet und für Kleinunternehmen oft nicht erschwinglich.
Die Gesetzeslage muss bekannt sein, ist es aber meist nicht. Hier würde definitiv Aufwand entstehen, der von vielen Unternehmen nicht geleistet werden möchte.
Kleine Unternehmen müssen schnell Ergebnisse liefern, d.h. Marktanteile gewinnen, Gewinne erzielen usw. Durch fehlende Ressourcen kann es hier schon mal für das eigentliche Produkt knapp werden. An andere Umsetzungen zu denken ist da oft nicht drinnen.
Wie man sieht, sind hier einige Punkte nicht einfach umzusetzen. Die richtige Lösung fehlt und wird wohl auch so schnell nicht zu finden sein.
Fazit
Wer sicher kommunizieren möchte, der hat natürlich einige Möglichkeiten, muss mit diesen jedoch auch vertraut sein. Es gehört eine gute Portion Verständnis dazu. Etwas, was von einem Nicht-IT-Fachmann nur schwer erübrigt wird/werden kann. Für Unternehmen stehen andere Punkte im Vordergrund, schließlich muss man erst einmal am Markt überleben.
Und solange es nicht per Knopfdruck, oder besser nicht mal das, funktioniert, wird es schwierig, zumal da andere Institutionen noch ihre Hand drauf halten (siehe Gesetze etc. in Frankreich usw.).
Previous Topic
