Im Blindflug Marc Ruef | 26.05.2014 Das Kernelement von Informationssicherheit ist Transparenz. Nur dann, wenn diese gewährleistet werden kann, können Risiken erkannt, bewertet und adressiert werden. Ohne Transparenz ist es unmöglich, ein sicheres System zu betreiben und um die Sicherheit dessen zu wissen. Transparenz bedeutet unter anderem auch, dass man sich den einzelnen Aspekten seines Systems bewusst ist. Bei einer Software bedeutet dies, dass man Einsicht in den Code erhalten und diesen Prüfen kann. Sämtliche Ein- und Ausgaben sowie die Datenverarbeitung können nachvollzogen werden. Zoomt man unter diesem Blickwinkel zurück, ist es für ein Unternehmen wichtig zu verstehen, welche Produkte sie überhaupt im Einsatz hat. In einem Inventar werden Plattformen, Betriebssysteme, Software, Addons und Patches festgehalten. Dass ein solches Software-Inventar von emminenter Wichtigkeit ist, war mir von Beginn weg klar. Doch schnell musste ich realisieren, dass nur die wenigsten Unternehmen den Aufwand auf sich nehmen, eine solche Liste zu führen und aktuell zu halten. Damals dachte ich noch, dass dies halt der aktuelle Stand einer evolutionären Entwicklung ist und sich das irgendwann schon etablieren wird. Doch selbst jetzt - 15 Jahre später - vermisse ich noch immer bei den meisten Firmen ein Software-Inventar. Für mich als Auditor ist ein solches Inventar von grossem Nutzen, da damit von vornherein die Landschaft verstanden und sich darauf eingestellt werden kann. Benutzt ein Unternehmen nur Windows 8, das momentan Windows 7 ablöst, hilft mir das sehr, die aktuellen Risiken verstehen zu können. Oder ob nun Microsoft Office oder OpenOffice bevorzugt wird, kann im Rahmen eines Social Engineering-Zugriffs entscheidend sein. Doch auch für die Unternehmen selbst täten sich eine Vielzahl an latenten Vorteilen auf. Zum einen könnte man strategische Entscheidungen viel besser untermauern. Will man wirklich weg von Windows XP, oder setzen alte CNC-Maschinen halt einfach unweigerlich darauf auf? Doch es ist wie vielerorts: Die Menschen scheuen grosse und immerwährende Aufwände, die keinen unmittelbaren Gewinn versprechen. Ich frage mich nur: Wie kann ich meinen Kunden verständlich machen, dass ein Software-Inventar enorme Vorteile mitbringen wird? Ich hoffe, dass ich nicht nocheinmal 15 Jahre verstreichen lassen muss, um bezüglich dieser Frage zu einer befriedigenden Antwort zu kommen.