Man könne sich bei Wikipedia nicht mehr über Kurden informieren, Bademoden seien verboten, die Automarke Peugeot scheint für die türkische Regierung ein rotes Tuch zu sein und natürlich seien auch Vereine für Schwulen und Lesben gesperrt. Ab dem 22. August sollen die bisher nur für Internetcafés vorgeschriebenen Filter auch für Privathaushalte verbindlich werden.

Willkommen in Europa kann man da nur sagen.

Wie bei allen Waffen und Armeen auf dieser Welt: nur zur eigenen Verteidigung!

“Kernelemente der Strategie sind der Schutz der IT-Systeme in Deutschland, insbesondere im Bereich kritischer Infrastrukturen, die Sensibilisierung der Bürgerinnen und Bürger zum Thema IT-Sicherheit, der Aufbau eines Nationalen Cyber-Abwehrzentrums sowie die Einrichtung eines Nationalen Cyber-Sicherheitsrates.”

Hierzu erklärte Bundesinnenminister Dr. Thomas de Maizière:

“Die Gewährleistung von Sicherheit im Cyber-Raum und der Schutz der kritischen Informationsinfrastrukturen sind existenzielle Fragen des 21. Jahrhunderts und erfordern ein hohes Engagement des Staates. Dabei wollen wir die Cyber-Sicherheit auf einem hohen Niveau gewährleisten, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen.”

Im Klartext heißt das zum Beispiel: Wenn die Leute dank ePA kräftig im “Cyber-Raum” einkaufen, dann ist egal, wie sicher oder unsicher das Ganze ist.

Neben dem Nationalen Cyber-Abwehrzentrum und dem Nationalen Cyber-Sicherheitsrat soll es noch eine Task-Force “IT-Sicherheit in der Wirtschaft” geben. Mit dabei sind das BSI, der Verfassungsschutz sowie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Hierzu habe BSI-Präsident Michael Hange erklärt:

“Neue Angriffsmechanismen, wie sie bei Stuxnet zu beobachten waren, orientieren sich nicht an der klassischen Aufgabenteilung deutscher Behörden.”

Da war es dann offensichtlich nötig, die Aufgaben weiter aufzuteilen und ein Zentrum, einen Rat und eine Task-Force aufzubauen.

Das Internet ist inzwischen eine kritische Infrastruktur geworden. Das heißt, es muss wie Strom und Wasser immer verfügbar sein. (…) Etwa vier bis fünf Mal am Tag gibt es Angriffe auf das deutsche Regierungsnetz. Dabei gehen wir, ohne es sicher beweisen zu können, von der Beteiligung von Nachrichtendiensten anderer Länder aus. (…) Wir sind da im internationalen Vergleich nicht schlecht aufgestellt. Schon vor 20 Jahren, und das war eine strategische Meisterleistung von Wolfgang Schäuble mit großer Weitsicht, hat die Bundesrepublik das BSI gegründet, das Bundesamt für Sicherheit in der Informationstechnik. (…) Von dort höre ich: Wir sind gut, aber eben noch nicht gut genug.

Bitte? Der Innenminister h-ö-r-t vom BSI? Das Internet ist also so wichtig wie Wasser und der Minister hat sich mal vom BSI berichten lassen, wie es aufgestellt ist. Das kommt mir bekannt vor. Im Oktober hatte der Innenminister in der “Tagesschau” zum elektronischen Personalausweis festgestellt:

“Irgendwelche Hacker mögen immer irgendwas hacken können, aber die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage.”

Das der ePA sicher ist hatte er auch vom BSI gehört und was die Hacker da so hacken – alles halb so wild.

“Den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs bieten flexible, softwarebasierte Sicherheitssysteme mit zentralem Management und Remote-Update-Funktion.” ← Zitat aus der Pressemitteilung.

Stonesoft ist übrigens auch auf der it-sa zu sehen. Da kann man sich dann gleich mit “flexiblen, softwarebasierten Sicherheitssystemen mit zentralem Management und Remote-Update-Funktion” eindecken. Die Stand-Nummer wird netterweise in der Pressemitteilung mitgeliefert, da muss man als Leser nicht lange suchen, wenn man erst in Panik geraten ist.

Wenigstens hat die Tagespresse (WeltOnline, SpiegelOnline) nicht nur die Panikmache aufgegriffen, sondern auch die Skeptiker zu Wort kommen lassen. Dass Kassandra-Syndrom weitet sich also mittlerweile selbst auf die eigenen Branchenkollegen aus. Es fragt sich langsam, ob es sich noch um ein echtes Kassandra-Syndrom handelt – Kassandra hatte ja korrekte Warnungen auf Lager, denen keiner Gehör schenken wollte. Was ist, wenn die eine Kassandra etwas anderes prophezeit als die zweite? Mit dieser Frage lässt uns die griechische Mythologie leider alleine.

Wie sinnvoll ist das denn? Warum sollte man denn eine freie Software cracken? Das ist so sinnvoll wie Leuten Schlüssel fürs Fußballtor zu verkaufen, falls mal einer gucken will, wie es hinter der Linie aussieht.

Jedenfalls können sich die Leute, die Crazy4Firefox sind, mit dem Download eine ganze Reihe Krankheiten einfangen:

VirTool.Win32.Obfuscator.hg!b
FraudTool.Win32.FakeVimes
Trojan-Downloader.Win32.CodecPack.2GCash.Gen
Trojan.DNSChanger.Gen
Virus.Win32.Parite
TrojanDownloader-Win32/FakeRean

“Google weiß, wo Beate-Uhse-Kunden wohnen”

Aufhänger des FTD-Artikels von Kirstin von Elm ist der Sicherheitsvorfall bei Beate Uhse im September 2008.  Der Journalist und Blogger Daniel Große hatte bei einer Google-Suche nach einer E-Mail-Adresse zufällig eine auffällige Datei auf der Domain lustkatalog.de entdeckt, die zu Beate Uhse gehört: 12.000 Mailadressen – Teilnehmer eines Gewinnspiels wie Beate Uhse versicherte. Für den Imageschaden war es nebensächlich, dass es sich nicht um Bestellkunden handelte. Für die Teilnehmer des Gewinnspiels sicher auch.

Jan Otzen, Direktor Online-Business bei Beate Uhse habe schon damals festgestellt:

“Das hat allen Beteiligten vor Augen geführt, dass in letzter Instanz Menschen für Fehler verantwortlich sind”

Das Beispiel aus dem Jahr 2008 zeigt, dass diese Erkenntnis nicht ganz so neu ist, eigentlich sogar schon kalter Kaffee.

Die Postbank und Ihre freien Handelsvertreter

Bereits im Mai wurde die Postbank zu 120.000€ Bußgeld verdonnert, weil sie freien Handelsvertretern Einblick in die Kontenbewegungen ihrer Kunden gab. Auch nicht ganz so taufrisch. Was neues wäre es, wenn jemand in der Postbank einen Business Case gefunden hätte, der die Wirtschaftlichkeit der Vorfalls nachweist. Festangestellte Handelsvertreter wären womöglich teurer geworden als das Bußgeld.

Der Artikel zählt noch weitere Beispiele auf, die jeder Sicherheitsprofi kennt: Vertrauliche Daten im Müll, freier Zugang zu eigentlich bewachten Bereichen, offene Serverräume, Trivialpassworte, Rechtevergabe auf Zuruf und Chefs, die von den einen auf den anderen Tag alles über den Haufen werfen und somit das größte Sicherheitsrisiko der Firma sind.

Alles einfach nicht unfassbar

Das alles kann für einen Sicherheitsprofi nichts neues sein. Es ist – wie ich bereits vor zwei Tagen getitelt habe – “einfach nicht unfassbar”.

“Hohe Strafen für fahrlässigen Umgang mit Kundendaten”, “Deutscher Mittelstand spart bei Datensicherheit”, “Chef oft das größte Risiko für Datenschutz”

Diese Zwischenüberschriften aus dem FTD-Artikel standen so oder anders bereits in zig Artikeln und über ebenso vielen PowerPoint-Folien von Sicherheitsprofis. Die Security-Branche selbst kommt nämlich auch ganz gerne mit Neuigkeiten, die keine sind und Leser wie Zuhörer sind trotzdem immer wieder von den Socken, was es auf der Welt für schlimme Dinge gibt.

Blick in die Geschichtsbücher

Seit Sicherheit organisiert werden muss, gibt es Sicherheitsbeauftragte. Schon weit vor dem Sicherheitsvorfall bei Beate Uhse, zur Zeit des Pharao Ramses IX (1127/1128 bis 1100 v. Chr.), gab es für das Tal der Könige einen Sicherheitsbeauftragten. Er hieß Pawero und er hatte mit einer wahren Plage von Grabräubern zu kämpfen. Plünderungen der Gräber waren damals sehr beliebt, besonders, weil man sich nach eine Festnahme durch Bestechung mit der Beute frei kaufen konnte. Der Fall des Grabräubers Amenpanufer verlief jedoch anders: Unter Folter offenbarte er das ganze Ausmaß der Korruption. Zahlreiche Wachen, Beamte und Kaufleute wurden so überführt und hingerichtet. Am Ende stellte sich übrigens heraus, dass Pawero – der „Getreue des Pharao“ – an der Spitze der Bande stand. Ramses IX ließ damals seinen Pressesprecher verkünden:

“Das hat allen Beteiligten vor Augen geführt, dass in letzter Instanz Menschen für Fehler verantwortlich sind”

Etwas später, zur Zeit des Kaisers Qin Shiuangdi (Ende des 3. Jahrhunderts v. Chr.) waren General Meng-tian und sein Beraterstab mit der Konzeptionierung der Sicherheit beauftragt. Ihre Hauptaufgabe: Der Bau der Chinesischen Mauer zum Schutz vor Angreifern aus dem Norden. Mehr als 1000 Jahre später wurde den Chinesen der Ausbau der Mauer zu teuer. Nachdem man sich ihrer Sicherheit nicht mehr mit der nötigen Aufmerksamkeit widmete, wurde sie auch recht bald überwunden. Die chinesische Presse titelte damals etwa so:

“Chinesischer Staat spart bei Grenzsicherheit” und “Chef oft das größte Risiko für Schutz der Grenzen”

Die Geschichte hält ungezählte ähnliche Beispiele bereit. Bei all den Vorfällen ist eigentlich nur eine zur Metapher gewordene Überschrift erlaubt:

“Im Westen nichts neues.”

Zwänge, Ziele, Prioritäten, Risiken

Kommen wir zurück zu eingangs erwähnten Hälfte der 490 deutschen Mittelständler, die im vergangenen Jahr kein umfassendes Datensicherheitskonzept umgesetzt hatten und zurück zur Postbank, die 120.000€ Bußgeld bezahlen musste.In meinem Buch “Konfliktmanagement für Sicherheitsprofis” fordere ich, dass Sicherheitsprofis die Zwänge, Ziele, Prioritäten und Risiken ihrer Zuhörer stärker berücksichtigen müssen. Bei Geschäftsführern und oberem Management fasst ein Buchtitel von 1967 diese gut zusammen:

“Gewinnmaximierung und Rentabilitätsmaximierung als Ziel erwerbswirtschaftlich orientierter Unternehmungen und die Erreichung dieses Ziels durch optimalen Einsatz des Eigenkapitals”

Wenn knapp 250 Unternehmer einen Bußgeldfonds eröffneten und jährlich nur 500€ einzahlten, könnte sich jedes Jahr einer erwischen lassen – so einfach geht die Rechnung. Selbst, wenn sich ein Chef dazu überreden ließe, 20.000€ in ein Security Management System zu investieren, wäre er ja immer noch nicht vor einem Datenskandal gefeit, weil “in letzter Instanz Menschen für Fehler verantwortlich sind”. Er müsste also trotzdem 500€ in den Fonds einzahlen und sollte vielleicht besser gleich die gesamten 20.500€ in den Fonds einzahlen. Dann könnten sich jedes Jahr über 40 Unternehmen erwischen lassen und der Fond könnte die Bußgelder abdecken. Oder sollte er lieber eine Maschine von dem Geld kaufen und eine vorhandene Nachfrage decken. Dadurch würde er neue Kunden gewinnen und 120.000€ Umsatz machen. Überlegen Sie sich selbst, was Ihr Chef wohl für eine Rechnung aufmacht hat, nachdem er den Artikel in der FTD gelesen hat – wenn er ihn gelesen hat.

Im Westen nichts neues

So bitter es ist: Nicht nur im Westen gibt es nichts Neues – auch die IT-Sicherheits- und Datenschutzfronten haben sich verhärtet und die Protagonisten haben sich hinter ihren Barrikaden verschanzt. 50% der Unternehmen lassen sich so nicht erreichen. Dafür sind neue Ideen gefragt.

Security follows Business

Vor Allem aber die Berater-Tugend Nummer eins gefragt: Zuhören. Und wenn sich der Chef schon nicht persönlich als Gesprächspartner anbietet, dann reicht es ja vielleicht aus, sich am Buchtitels von 1967 zu orientieren. Sicherheitskonzepte müssen sich an den Geschäftszielen ausrichten und nicht umgekehrt: “Security follows Business™” heißt daher der richtige Beratungsansatz. Wenn diese Ziele nicht beeinträchtigt sind, dann sind Risikoübernahme bzw. Risikoakzeptanz durch die Geschäftsleitung absolut gerechtfertigt. Der Fehler liegt also nicht bei den Unternehmen, die sich gegen ein Datenschutzkonzept entscheiden, weil offensichtlich niemand in diesen Firmen einen ausreichenden Bezug zwischen Sicherheit und den Geschäftszielen herstellen konnte.

Allerdings ist es schon eine komische Vorstellung dass man unter Umständen dafür zahlen muss, dass jemand die eigenen Urlaubsfotos anschaut. Zu Familienfesten müssen das meine Verwandten immer ohne Bezahlung machen. Auch nicht schlecht: Vollständig funktionstüchtige Geräte wurden defekt zurückgeschickt. Die Reaktion der Firmen: Asus, Targa und Fujitsu reagierten mit Bedauern und betonten, dass es den Technikern durch strikte Arbeitsanweisung untersagt sei, auf Kundendaten zuzugreifen. Wenn es verboten war, dann ist das Ergebnis ja gar nicht so schlimm – ich hatte schon Angst.

By the way:
Es ist durch strickte Arbeitsanweisung untersagt eine meiner Websites zu hacken. So!

“Der kann mal seine Science-Fiction-Romane wieder einpacken.”

Was hat er denn gesagt? Nach Angaben von Heise-Online hatte der BDK-Vorsitzende Klaus Jansen in einem Interview der Neuen Osnabrücker Zeitung unter Anderem Verkehrsregeln und einen Notausschalter fürs Internet gefordert. Die Forderungen sind Teil eines 15-Punkte-Sofortprogramms. Er sagte weiter: Wer zukünftig im Internet einkaufe, Geld überweise, Behördengänge erledige oder andere Geschäft abwickele, der solle sich nach dem Willen des Bundes Deutscher Kriminalbeamter zuvor bei einer staatlichen Stelle registrieren lassen. Er kritisierte in diesem Zusammenhang:

“Kompetenzgerangel, Unvermögen und Blauäugigkeit führen zu unfassbarem Politik-Versagen.”

Ach du liebe Güte. Unvermögen und Blauäugigkeit! Ja genau: Wer mit dem ausgestreckten Zeigefinger auf andere zeigt, zeigt mit drei Fingern auf sich selbst! Das Echo im Netz stimmt mit seinen drei Fingern überein. So zum Beispiel in Fefes Blog:

“Hihihi, wenn die immer gleichen Internetausdrucker die immer gleichen sinnlosen Dinge fordern, dann verliert auch CCC-Sprecherin Constanze Kurz irgendwann die Contenance.”

Der Blogger Peter Piksa hat bei der Pressestelle des BDK nachgehakt und z.B. festgestellt, dass das 15-Punkte-Programm nur 14. Punkte hat. Er bemerkt an einer Stelle:

“Grandioser Schenkelklopfer”

Fefes Idee, wie es zu solchen Vorschlägen kommt:

„Wenn man aber nicht löschen kann, muss man wenigstens den Zugang durch Internetsperren erschweren. Dafür plädiert die Union energisch“, sagte Wolfgang Bosbach (CDU) dazu.

Ach Gott. Jetzt geht das von vorne los. Da bekommen die Kriminellen es also hin, sich in abgeschotteten Zirkeln zu organisieren und sich erfolgreich vor der Polizei zu verstecken, sie sollen es aber nicht hinbekommen einen anderen DNS-Server an ihrem PC einzutragen? Was will man da sagen: Herr Bosbach glänzt je gerne mal durch seine Einschätzung von Sicherheitsmaßnahmen (Stichwort: Nacktscanner).

Schön, dass sich die Junge Union gerade jetzt um eine sinnvollere Netzpolitik bemüht. Gestern konnte man auf Heise-online lesen:

“Generell bedauert die JU in dem Beschluss ihres Deutschlandrates vom Wochenende, dass die Union “in der öffentlichen Wahrnehmung momentan nicht mehr für eine moderne Netzpolitik steht”. Zu häufig hätten einzelne Unionspolitiker in der Vergangenheit die Risiken statt der enormen Chancen, die das Netz für die freiheitliche Gesellschaft berge, in den Vordergrund gestellt. Daher sei ein “Paradigmenwechsel” nötig, um CDU und CSU wieder in “deutsche Internetparteien” umzumodeln. Dafür seien netzpolitisch “ganzheitliche” Lösungen” gefragt.