IT-Security: Home Edition vs. Corporate Edition Marc Ruef | 15.11.2010 Die meisten von uns haben mit IT-Security im privaten Bereich angefangen. Man hat sich vielleicht mal eine Antiviren-Lösung installiert, sich um ein rudimentäres Hardening des Browsers bemüht oder ein bisschen mit Vulnerability Scannern herumgespielt. Das ist auch richtig so, denn Übung macht den Meister und das Erlangen des Verständnisses für Technologien und Mechanismen geht doch bedeutend einfacher, wenn man die Dinge selber ausprobiert. Nicht alle haben die Möglichkeit, ein Hobby dieser Art zum Beruf zu machen. Manche wollen es einfach nicht, weil sie denken, dass es ihnen nicht liegt. Und andere können es nicht, weil ihnen schlichtweg die Zeit fehlt, sich in diesem Belang auf eine professionelle Laufbahn vorzubereiten (z.B. Quereinsteiger). Ich habe schon so manche Diskussion zwischen "Security-Experten" gehört, die mir die Haare zu Berge stehen liessen. Zum Beispiel dann, wenn der eine fragt: "Hey, ich möchte gerne aus Sicherheitsgründen Javascript bei uns im Browser deaktivieren. Aber dann funktionieren die meisten Webseiten nicht mehr richtig..." Und der andere darauf antwortet: "Tja, was musst Du auch auf solchen proprietären und unprofessionellen Seiten surfen? Bist halt selber schuld!" In diesem Dialog (http://ha.ckers.org/blog/20101020/least-common-denominator/) spürt man heraus, dass der Erste die Frage in einem professionellen Kontext gestellt, der zweite sie aber aus einem privaten Blickwinkel beantwortet hat. Vor allem in grösseren Unternehmen gibt es eine komplexe Hierarchie und unterschiedliche Abteilungen, die für die verschiedensten Dinge verantwortlich sind. In solchen Firmen sind es meist dedizierte Abteilungen, die sich mit Risk & Compliancy auseinandersetzen. Diese definieren die Richtlinien und Weisungen, an jene sich die Mitarbeiter zu halten haben. Und ein anderes Team, nämlich die IT-Abteilung, ist sodann für eine technische Umsetzung dieser Definitionen verantwortlich (sie ist ihrerseits auch wieder in unterschiedliche Gruppen wie Windows-/Unix-Hosts, Netzwerke/Routing, Firewalling, etc. unterteilt). Ob und inwiefern Javascript deaktiviert werden will und auf welche Seiten Benutzer nun zugreiffen sollten, das liegt nur sehr selten in den Händen der Administratoren. Diese sind in diesem Fall meist nur Befehlsempfänger, die die ausformulierten Policies mit ihren technischen Lösungen durchsetzen sollen. Selbst diejenigen, die die Richtlinien formulieren, haben teilweise nur begrenzten Einfluss auf diese. Vielleicht ist es nunmal einfach Unternehmensstrategie, dass die Benutzer auf eine Webseite, die Javascript und ActiveX voraussetzt, zugreifen müssen. Vielleicht wird auf dieser unrühmlichen Seite sehr viel Umsatz durch Trading generiert. Das potentielle Risiko ist aufgrund des konkreten Ertrags gewollt vernachlässigt worden. Aufgrund dessen nun der Exekutive Unwissen und Kurzsichtigkeit vorzuwerfen, das ist eigentlich nur dumm. Denn damit gibt man unumwunden zu, dass man die Mechanismen und Strukturen moderner Unternehmen nicht versteht. Man kann nun argumentieren, dass sich die Administratoren durch Gegendruck dafür einsetzen sollten, dass Richtlinien das nächste Mal "besser" definiert werden. Doch nur die wenigsten IT-Abteilungen haben die Zeit, Energie und Macht, um sich gegen potentiell fehlerhafte Entscheide aufzubäumen. Es liegt ja auch gar nicht in ihrer Kompetenz.