Warum selbst die höchsten Mauern nicht mehr ausreichen...

Jun 12, 2020
Looking at computer and phone
Der Arbeitsplatz und die Softwareprogramme werden sich ändern. - Photo by Tim Gouw / Unsplash

Digitales Vernetzen optimiert Produktion, Verkauf und Führung eines jeden Unternehmens, doch sollte man nicht die Lehren der Vergangenheit vergessen.

Die Sage um das Trojanische Pferd hat vermutlich jeder schon mal gehört. Sie ist nicht nur die Grundlage für so manch eine tatsächliche kriegerische List, sondern auch die Namensherkunft für "Trojaner" - den Schadprogrammen. Sie ist außerdem die mythische Erinnerung dafür, dass selbst die höchsten Mauern und die stärksten Tore nicht ausreichen, wenn nicht gesichert sein kann, dass dahinter alles den Vorschriften nach abläuft.

Auch Firmen wissen, dass sie möglichste hohe Schutzwälle brauchen. Waren das früher Mauern, Zugangsausweise und evtl. Wachpersonal, so müssen mit der voranschreitenden Digitalisierung die Begriffe geändert bzw. erweitert werden. Die Mauern heißen nun Firewalls, die Zugangsausweise sind nun Zugangsdaten (z.B. Passwörter) und das Wachpersonal ist das IT-Sicherheitsdepartment. Sie haben keins? Ok, früher hatte bestimmt auch nicht jede Firma Wachpersonal, aber dafür kannte und sah man sich auf dem Flur und sprach die Fremden direkt an.

Vernetzt und trotzdem anonym

Und hier sind wir bei einem Problem der Digitalisierung angekommen. Es gibt keinen Flur mehr, man sieht sich nicht mehr zwingend. Manchmal kann man sich glücklich schätzen, dass da ein kleiner grünen Punkt ist, der verrät das jemand "online" bzw. ansprechbar ist. Das war es dann aber auch das höchste der Gefühle. Vernetze Welt heißt auch, dass Personen an vielen verschiedenen Orten zusammenarbeiten - oft auch Personen, die man vielleicht gar nicht direkt kennt. Man kann es zumindest nicht ausschließen.

Jaja, früher kannte man sicherlich auch nicht alle Personen, doch musste dort noch direkt von Mensch zu Mensch kommuniziert werden. Keine Aufträge per Email oder Whatsapp, keine Onlinebuchungen oder Skype-Calls. Damals bürgte ein Mensch aus Fleisch und Blut für jemand anderen oder eine Aktion. Heute bürgt der grüne Punkt, das digitale Abbild, dafür.

So kommen wir wieder auf Troja zurück. Die Mauern um das digitale Abbild können noch so hoch sein, sie sind überwindbar. Nicht immer in dem man drüber, drunter oder mitten durch geht, aber oft relativ einfach mit einer List - dem trojanischen Pferd in einer seiner heutigen Formen.

Vernetzung heißt Vertrauen in jeden Mitarbeiter.

Durch die Vernetzung der Anwendungen und Daten bringt die Digitalisierung ein weiteres Problem: Jeder einzelne Mitarbeiter kann das schwächste Glied in der Kette sein. Jeder einzelne Mitarbeiter ist wichtig für die gesamte Sicherheit des Unternehmens. Jede Schwachstelle bei egal welchem Mitarbeiter kann direkte Auswirkungen auf das gesamte Unternehmen haben. So werden nun vermutlich schon die Ersten schreien, dass man Schulungen (oder neudeutsch Coachings) braucht, damit jeder Mitarbeiter weiß, wie er sich verhalten muss.

Aber seien wir ehrlich: Das ist ein Tropfen auf dem heißen Stein. Es wird immer den einen Mitarbeiter geben, der einfallsreicher ist als die Schulung. Der unbewusst einen Weg finden wird, um die Mauern einzureißen und dabei kein "Best Practice" aus der Schulung missachtet. So ist der Mensch eben. Er liebt Bequemlichkeit, versteht die großen Zusammenhänge nicht und wird immer versuchen die Umwelt für ihn persönlich zu optimieren. Da helfen auch keine Schulungen.

Der Einlass und was passiert dahinter?

Eine starke Authentifizierung beim Betreten/Einloggen ist zwingend erforderlich, reicht aber definitiv nicht aus. Zu unsicher sind insbesondere die validen Nutzer. Stellen Sie sich vor, sie kontrollieren einen Gast ihres Unternehmens beim Eingang und lassen ihn dann völlig unbeobachtet das gesamte Unternehmen erkunden. Würden Sie nicht? Warum lassen sie es dann bei ihren IT-Systemen zu?

Man braucht das vertrauenswürdige Sicherheitspersonal, das kontrolliert, ob die Zugänge nicht ausgenutzt werden und ab und zu Kontrollgänge macht. Stellen sie sich vor, ihre Reinigungskraft ist am Abend alleine im Gebäude. Wenn Sie sie kennen, bauen sie ein Vertrauensverhältnis auf, aber wenn sie diese Aufgabe z.B. outgesourced haben und jeden Tag jemand anderes kommt, hätten sie dann nicht auch ein mulmiges Gefühl - auch wenn die Person einen gültigen Ausweis besitzt?

Es ist prinzipell einfach an Stelle einer unbekannten Reinigungskraft zu treten und mindestens genauso einfach ist es an ein digitales Abbild von jemanden zu kommen. Umso wichtiger ist es also, dass eine gesunde Skepsis gegen die Person bzw. dessen Verhalten vorhanden ist.

Sicherheit für die digitale Zukunft!

Man braucht also nicht nur eine starke Authentifizierung, sondern auch eine kontinuierliche Verifizierung. Eine Verifizierung, die sicherstellen kann, dass keine fremde Person - mit dem validen digitalen Abbild einer anderen Person - Schaden anrichtet.

Menschen sind in vielen Dingen gleich - und doch ist jeder einzigartig. Nicht nur kann man Menschen anhand der DNA, dem Fingerabdruck, der Gesichtsform, dem Zahnabdruck eindeutig unterscheiden, auch der Gang, die Stimme, das Tippverhalten und die Mausnutzung sind einzigartig. Selbst das tägliche Verhalten ist sehr gut einem einzelnen Menschen zuzuordnen. Durch Computer ist es nun möglich, immer mehr dieser einzigartigen Merkmale zu finden und auszuwerten.

Die Sicherheit für die digitale Zukunft beruht genau auf diesen Erkenntnissen. Man verifiziert sich mit dem was man ist - mit seinem ganz individuellem Verhalten. Wie wäre es, wenn jeder den Pin Ihrer EC-Karte wissen darf, denn keiner tippt ihn so ein wie Sie? Wenn jeder das Passwort für ihr Online-Banking haben kann, weil es niemand so eintippt wie Sie. Und jeder Zugriff auf die bei Amazon hinterlegten Kreditkarten haben darf, weil die Art und Weise wie Sie ihre Produkte aussuchen einzigartig ist? Eine nicht unrealistische Zukunftsvision für dieses Jahrzehnt.


Über VIPFY:
Wir sind ein junges Startup, dass die zunehmende Komplexität der Verwaltung, Abrechnung und Interaktion von Cloud-Services vereinfacht und zentralisiert. Anstatt für jeden Cloud-Dienst eine eigene Nutzerverwaltung und Abrechnung zu führen, zentralisiert VIPFY dies und jeder Mitarbeiter erhält direkt sicheren Zugriff auf die von ihm benötigten Services.

Teste die VIPFY Business Suite kostenlos.

VIPFY wird durch das CISPA Helmholtz-Zentrum für Informationssicherheit und das Bundesministerium für Bildung und Forschung unterstützt.

Nils Vossebein

CMO VIPFY