Menü
IT Sicherheit ist ein Weg, kein Ziel!
04.03.2019

Fünf Dinge braucht der Security-Mitarbeiter (Teil 1)

Teil 1: Security-Mitarbeiter haben es oft schwer – dieser erste Teil einer losen Reihe gibt Empfehlungen, was man für sich selbst haben und nutzen sollte.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Vor vielen Jahren, als im deutschen TV noch Werbung für Tabakwaren erlaubt waren, gabes eine bekannte Reklame, deren Slogan lautetet: Drei Dinge braucht der Mann!

Seinerzeit bekannte Schauspieler (https://www.youtube.com/watch?v=i5fqyoCugnk) informierten dann den Zuseher, welche diese sind.

Heute reichen drei Dinge nicht mehr aus, es werden einige mehr sein, vor allem wenn man als Security-Administrator bzw. -Experte unterwegs ist.
Wobei diese Vorstellung nur eine private Liste ist, die sich am täglichen Umfeld orientiert, bei dem man als Berater, Tröster, Ermittler, Erklärer, Experte, Bastler und Koordinator unterwegs ist.

Passwörter
Das meistdiskutierte und meistgehasste Ding der IT. Denn durch unüberlegte Vorgaben eher hinderlich, als nützlich. Denn kann man durch Zahlen im Passwort wirklich die Sicherheit verbessern, wo doch eine Zahl nur 10 Varianten zulässt (von 0 bis 9), während ein Buchstabe von a bis z und A bis Z geht und damit mehr Varianten ermöglicht?

Aber sei es drum – was man haben sollte ist ein klassisches Papier-Passwortbuch, denn dies liegt nicht in den Wolken und basiert nicht auf der unüberprüfbaren Zuverlässigkeit (Keine möglichen Backdoors, Programmierfehler etc.), die man einem Hersteller entgegenbringen muß. Ob man ein solches Passwortbuch zusätzlich zu einem Passwort-Programm nutzt oder ausschließlich, sei jedem selbst überlassen – aber ein Backup hat noch nie geschadet!

 

 

 

Dezente Hinweise
Standard-Software ist weitestgehend selbsterklärend oder kommt mit einem Minimum an Beschreibungen aus. Durch ein Try-and-Error-Verfahren kann der Anwender auch oft Funktionen einfach erlernen, indem er die Software nutzt.
Spezial-Software, die für komplexe Anwendungen gedacht ist (CAD, Maschinensteuerung, KI etc.) wird dagegen meistens ein Basiswissen erfordern, welches man sich durch Schulungen oder Studium des Handbuches aneignet.

Teilweise gilt dies auch für Security-Software (IAM, Firewalls etc.) das Expertenwissen erfordert. Verwöhnt durch Standard-Software versuchen aber viele User, sich dieser Spezial-Software ebenso zu nähern, wie sie es gewohnt sind. Das dies nicht klappt oder nur mit einemerhöhtem Aufwand ist naheliegend. Daher sollte man bei Einführung derartiger Software IMMER den Hinweis geben, das man für eine effiziente Nutzung dieser Software ein entsprechendes Wissen benötigt – und man auch das Handbuch lesen sollte/muß.
Sweatshirts mit einem entsprechenden Aufdruck unterstützen diese Mitteilung in humoristischer Weise (RTFM: Read The Fucking Manual!)

Anderer Blickwinkel
Dem Deutschen sagt man allgemein nach, dass er sehr pflichtbewusst ist, genau, auf das Detail achtet und immer „Klassenbester“ ein will. Wobei dies aufgrund der Konkurrenz aus den Asiatischen Regionen immer schwieriger wird.

Der Deutsche ist auch der ungeliebte „Handtuch-auf-Strandliege-leger“ und der „Nietenzähler“, der aus einer vergnüglichen Angelegenheit oder einem Hobby eine Wissenschaft macht. Kurzum ein Perfektionist, der alles zu 100% korrekt machen will.
Mitunter artet dieser Perfektionismus aber auch in einer Besessenheit aus, die Folgen für das Privatleben, Beziehungen und die eigen geistige Stabilität hat.
Mein Ratschlag hier ein Buch, welches absolut NICHTS mit Security zu tun hat und man auch nicht ganz ernst nehmen sollte. Aber es ist hervorregend geeignet, einmal etablierte Verhaltensmuster und Arbeitssweisen zu überdenken – sich neu zu „Erden“. Lesematerial für Security-Leute, die mehr als 10 Stunden tagtäglich arbeiten und Ihre Arbeit auch noch mit nach Hause nehmen!
Nebenbei ist es auch recht unterhaltsam zu lesen …

 

Kleine Geschenke
Heutzutage, es geht nicht anders, gibt es Vorschriften, Prozesse, Anweisungen, Abläufe Abstimmungsrunden und Verfahren. Das hat alles seine Richtigkeit und sichert auch den normgerechten Ablauf in einem Unternehmen ab und trägt so zur Qualität und Standardisierung bei.

Das ist alles OK – jedenfalls so lange, bis man einmal etwas schneller braucht. Denn ein Hacker wird nicht warten bis das Formblatt ausgefüllt ist, um Admin-Rechte auf einem speziellen Server zu erhalten und Ransomware verschlüsselt munter weiter Datendateien, weil niemand den Stecker ziehen kann.
Meistens gelingt es ja im Notfall, mit Hilfe der Zuständigen zeitnah das Problem zu lösen. Ich habe gelernt, dass ein „DANKE“ das mindeste ist, was man im Nachgang sagen sollte – besser kommt aber immer ein „DANKE  - Hier für Dich!“.

Wobei dieses „Hier für Dich“ nicht großartiges sein muss – es genügt etwas zu naschen, eine Einladung zu einem Kaffee oder einem Gebäckstück, ein Kugelschreiber oder oder oder – was zählt ist das man die Unterstützung wertschätzt.
Und seien wir ehrlich, Security braucht jede Unterstützung, die sie kriegen kann. Also sagen Sie stets DANKE für die Unterstützung, die sie bekommen und legen Sie noch was drauf – es lohnt sich.

Koffein-Abhängigkeit
Während manche Leute Ihr Frühstück in 0,5l Glasflaschen zu sich nehmen sagt man den Security-Leuten nach, dass Sie eine starke Affinität zu Koffein haben. Wobei es einerlei ist, ob man auf Caffè latte, Espresso oder Cappuccino steht, Hauptsache Kaffeebohnen bilden die Basis.

Eine Überlegung ist es aber allemal, nicht die Ressourcenverschwendenden Papp- oder Plastikbecher zu nutzen, sondern stattdessen auf eine klassische Porzellan- oder Emaile-Tasse zu wechseln. Das gute dabei ist, dass man über diese auch noch seine Botschaft verbieten kann – denn der Gestaltung der Tassen sind wenig Grenzen gesetzt.
Weshalb nicht einem mit dem Slogan „Security is all you neeed“, „IT-Sicherheit – Sprechen Sie mich an!“ oder „56 65 72 74 72 61 75 65 6e 20 53 69 65 20 6d 69 72 2c 20 69 63 68 20 62 69 6e 20 76 6f 6e 20 64 65 72 20 53 65 63 75 72 69 74 79 21“  (Ascii: Vertrauen Sie mir, ich bin von der Security) auf einer Besprechung oder bei einem zwanglosen Meeting erscheinen.

Man sollte jede Chance nützen, um mit den Leuten ins Gespräch zu kommen – weshalb nicht auch über eine Tasse Kaffee 😊

Teil 2 dieser Reihe beschäftigt sich mit Security-Fachinformationen, die man abonnieren oder im WWW-Zugriff haben sollte.