Umbruch

Geschrieben von Beat Rubischon (Link) am Montag, 6. November 2006, 19:53 aus dem *nachdenklich* dept. Wir stecken mitten in einem grossen Umbruch der Informatik - nach langen Jahren des Hypes und der Stagnation geht nun das Steuer über von den Techies zu den Managern und Juristen. Ganz besonders fällt mir diese Entwicklung im Bereich Security auf. Jahrelang betreute ich eine grössere Menge Computer direkt im Internet. Noch jetzt habe ich alle meine privaten Systeme mit einer public IP draussen im Netz, zusammen mit ein paar anderen Servern, die ich betreue. Ich sah dutzende von gehackten Kisten, tausende von Spam-, Phishing und Virenmails. Als jahrelanger Abonnent von BUGTRAQ und Mitglied in der Swinog bin ich mir die aktuellsten Probleme permanent bewusst. Dann sehe ich die gängige Computerliteratur. Wie sie von Compliance spricht. Nachvollziehbarkeit der Aktionen eines Benutzers, Schutz vor Lecks von Daten. Lese die Texte in SOX und Basel II. Ich sehe Smart Card Reader für Telebanking, lese von flächendeckendem Einsatz von solchen Devices für den Zugriff auf personenbezogenen Daten. Sehe, dass "sichere" Software mit Kosten im $100'000 Bereich durch ein paar simple Zeilen C-Code ausgetrickst werden kann. Jede Phishingwelle von Erfolg gekrönt ist. Wieviel weiss niemand, aber die Reaktionen der Leute lassen vermuten, dass namhafte Beträge dahinterstecken. Als Consultant arbeite ich in Betrieben, die es mit der Sicherheit besonders genau nehmen. Ich arbeite in Serverräumen, in die man nur nach mehrmaligem Sicherheitscheck kommt und ausschliesslich unter Aufsicht arbeiten darf. Zu deren Computer ich Remote einen Zugang besitze, der ausschliesslich aus einem Standardpasswort besteht. Ich arbeite remote in Netzen, zu deren Zugang ich mich im Voraus anmelden muss. Wo ich vor Ort einfach ein Kabel bekomme, das mein Notebook in ein weltweites Firmennetz bringt. Die drei Komponenten Recht, Technik und Benutzer driften je länger je mehr auseinander. Die Informatik damit vom Hilfsmittel zum Kostenfaktor verkommt, der Mitarbeiter vom wichtigsten Kapital zum Sicherheitsrisiko wird. Das Einzige was ich tatsächlich erkennen kann, ist ein massiver Mehraufwand an Manpower und Geld, ohne dass wirklich Nutzen daraus gezogen wird. Die Systeme werden nach wie vor laufend komplexer, umfangreicher und dementsprechend unstabiler und schwieriger zu verstehen. Dabei gilt doch gerade in der Security die Devise, dass die Systeme möglichst einfach sein sollten, um verstanden zu werden. Nur ein System, das von vielen Leuten verstanden und für sicher beschrieben wird, hat überhaupt eine Chance, sicher zu funktionieren. Ich bin froh darüber, in einem Familienbetrieb zu arbeiten. Wir verkaufen zwar Computer, aber die, die wir selbst benutzen, dienen primär dazu, arbeiten zu können. Sicherheit ist ein Thema, aber es wird nicht zum Exzess getrieben. Und der Mitarbeiter wird geschätzt - nicht als Problem betrachtet. Ob ich mich jemals wieder in einen Grossbetrieb eingliedern kann, wie ich vor zehn Jahren arbeitete? Ich weiss es nicht. Vielleicht werde ich irgendwann einfach alles hinschmeissen und Rüebli pflanzen :-) Permalink

Das Kleingedruckte: Der Besitzer der folgenden Kommentare ist wer immer sie eingeschickt hat. Wir sind in keiner Weise für sie verantwortlich.