2011-11: In Troja nichts Neues
Nein, das wird keinen politische Kolumne. Versprochen! Als Bürger erschreckt es mich natürlich, wie die Politik mit dem Problem "Bundestrojaner" umgeht. Als CISSP sage ich aber: Das war zu erwarten. Denn schon lange ist zu beobachten, dass den Politikern zu allem, was Informationstechnik angeht, das Fachwissen fehlt. Und dazu der gute Wille, sich zu informieren: Ein Blick ins IT-Grundschutzhandbuch, insbesondere auf den Baustein B1 Übergreifende Aspekte. hätte schon weitergeholfen. Herausgeber ist übrigens die Bundesrepublik Deutschland, entwickelt wurde es ursprünglich ausgerechnet für Behörden! Die "Aktuelle Stunde" im Bundestag zum Bundestrojaner belegt diese Mankos eindrücklich - launisch protokolliert in Fefes Blog.
Wie ersparen Sie sich solche Peinlichkeit?
Ganz offensichtlich ist etwas eingetreten, das nicht eintreten sollte. Dumm gelaufen. Aus der Bredouille hilft den Betroffenen (etwa Ihnen als Security-Beauftragtem) nur: Sie müssen nachweisen können, das Sie "alles" getan haben, um diesen Vorfall zu vermeiden. Blättern wir also in der einschlägigen Literatur, was „alles“ ist: Es sind hier klare Verhaltensregeln, technische Maßnahmen, organisatorische Maßnahmen, Protokolle und Kontrollmechanismen aufgelistet. Inklusive den Maßnahmen, die eine professionelle Krisen-PR für den "Worst Case" vorschreibt.
Damit erreichen Sie Fünferlei:
Sie entlasten sich persönlich von der Unterstellung von Verfehlungen,
Sie reduzieren reell das Risiko, dass etwas passiert,
Sie schrecken ab; falls doch etwas passiert,
Sie können Sie den Schaden eingrenzen,
Sie können den Verursacher in die Verantwortung nehmen.
Übrigens: Auch wenn Sie Ihren Mitarbeitern grundsätzlich vertauen – anderes wäre ganz schlecht für Ihre Unternehmen – brauchen Sie Vorsorge. Denn alleine das Gesetz der großen Zahlen belegt, dass Sie ein schwarzes Schaf in der Firma haben, wenn sie nur groß genug ist.
Unsere Herren Innenminister taten sich mit diesem Nachweis schwer
1. Wo sind die klaren Regeln? BKA Chef Zierke zeigt in seinem Redemanuskript (letzte Seite), wie man es nicht machen darf: „Glauben Sie mir, meine Mitarbeiter verstehen das nicht!“ Fragen Sie also Ihre Mitarbeiter und Kollegen, ob die Regelungen klar sind. Ob sie wissen, was sie zu tun und was sie zu lassen haben. Und natürlich müssen Sie die Regeln an aktuelle Gesetzeslage und höchstrichterliche Entscheidungen anpassen. Zugegeben, nicht ganz einfach, aber wichtige Entscheidungen gehen sogar durch die Presse.
2.Wo sind die technischen Maßnahmen? „Gelegenheit macht Diebe“, sagt der Volksmund. Übertragen in die Software-Entwicklung bedeutet es: Funktionalität, die nicht benötigt wird, soll es erst gar nicht geben. Wenn also mit einem Bundestrojaner kein Nachladen erlaubt sein soll, dann darf die Software diese Funktion erst gar nicht enthalten.
3. Wo sind die organisatorischen Maßnahmen? Die Technik kann das Einhalten von Regeln unterstützen, aber nicht aller Mißbrauch läßt sich durch Technik verhindern. Beim Bundestrojaner ist mir nicht bekannt geworden, wie denn verhindert werden sollte, dass die Nachladefunktion genutzt wird. Hatten die ausführenden Beamten Zugang zu den „Plugins“? Waren diejenigen, die die den „Update“ anstoßen könnten, die gleichen, die das Abhören gesteuert haben? Stichwort: Vier-Augen-Prinzip.
4. Wo sind die Protokolle und Dokumentation? Die Protokollfunktion des Bundestrojaners scheint nicht sonderlich revisionssicher zu sein. Kein Wunder, dass die Innenminister hier Ärger bekamen: Konnten die schwarze Schafe hier vielleicht fälschen? Oder deren Kollegen, Stichwort: Korpsgeist. Die Anforderungen an Buchhaltungen sind jedenfalls höher als bei Eingriffen in Grundrechte. Übrigens könnte hier Papierprotokolle mit Unterschriften schon helfen :-)
5. Wo ist die Kontrolle? Beim Bundestrojaner hatte ich nicht den Eindruck, dass die Beamten Kontrollen ihres Tuns und damit Konseqzenzen befürchten mussten. Keiner hat gesagt: „Hier sind unsere Regeln, und wir haben geprüft, dass sich alle daran gehalten habe.“ Laut Herrn Zierke wurden sie immerhin „auf Plausibilität kontrolliert“ - was immer das heißen mag.
Beim Bundestrojaner ist noch einige anderes schief gelaufen, doch das würde den Rahmen dieser Kolumne sprengen. Erwähnen möchte ich nur noch kurz die Stichpunkte "mangelnde Kontrolle vom Outsourcing von IT-Dienstleistung" (B 1.11 Outsourcing) und "mangelnde Ausbildung und Interessenkonflikte" (M 3.50 Auswahl von Personal), die beide schon ein gutes Stück weitergeholfen hätten.
Und wenn Ihnen das passiert?
Dann haben Sie hoffentlich aus den Fehlern unserer Politiker gelernt und sind gut vorbereitet. Sie geben die dokumentieren Verfahren und andere Unterlagen dem Pressesprecher und lehnen sich entspannt zurück. Na ja, ganz so einfach wird es nicht werden. Aber Sie sind dann zumindest gut gewappnet, um den Sturm zu überstehen. Toi, Toi, Toi!