Interessante These! Im Usenet wird immer noch ein Artikel von Dave Aitel diskutiert. Er ist eine von den Personen, denen man gerne zuhört, wenn es um IT-Risk Management geht. Er hat bereits im Juli eine Debatte losgetreten, bei der folgende Aussage getroffen wurde:
– „Why you shouldn’t train employees for security awareness“ –
It’s wasting money. Das bedeutet in etwa soviel: Anwendern den „Sicherheitsgedanken“ beizubringen ist herausgeschmissenes Geld. Diese Aussage ist für viele (mich eingeschlossen) erst einmal unverständlich. Aitel verlagert die Verantwortung für den Sicherheitsgedanken komplett auf den Administrator. Er begründet mit seiner Erfahrung. IT-Verantwortliche sind denn seiner Meinung nach – im Schadensfall – vielleicht nicht nur teilweise „überfordert“ bei der sachgemäßen Abarbeitung seines Pflichtenheftes:
Audit Your Periphery — Websites, back-end databases, servers and networks should be thoroughly audited on a regular basis for vulnerabilities&msdash;both by internal security personnel and external pen-testers. They should be rigorously tested against current and most likely attacks. Had Citigroup’s website been tested for basic web application flaws, it could have avoided the June 2011 attack that compromised 200,000 customer accounts. This is both cheap and easy to take off the table.
Perimeter Defense/Monitoring — Robust perimeter defenses should be in place, and regularly tested. These should be protecting the network from both intrusions and data exfiltration. Data exfiltration monitoring should also be ongoing.
Isolate & Protect Critical Data — What valuable information does your business store in online databases? Classifying business data should be near the top of the CSO/CISO’s to-do list. He or she should thoroughly examine the information stored online and locate critical data offline or behind strict network segmentation.
Segment the Network — Segment your networks and information so that a successful cyber attack cannot spread laterally across the entire network. Had RSA done this, it might have prevented the theft of its SecurID tokens. If one employee’s PC is infected it shouldn’t be able to spread laterally through the entire system.
Access Creep —What level of access does each employee have to the network and critical data? How well is this monitored? Limiting unnecessary access is another key element of an effective security posture.
Incident Response — Proactively examine important boxes for rootkits. You’ll be amazed at what you find. And finding is the first step to actually building a defense against „Advanced Persistent Threats.“
Strong Security Leadership — For a company to have a CSO/CISO isn’t enough. The chief security executive should have meaningful authority too. He or she should have „kill switch“ authority over projects that fail to properly account for security, and real say over security’s percentage of the budget. A strong security program should have at least the same budget as the marketing department.
Seine 7 o.g. Thesen ^^ kann ich sicher alle sofort unterschreiben, diskussionslos. Der Rest seines Artikels liest sich dann aber in etwa so: Es ist absolut rausgeschmissenes Geld, sich um die Anwender zu kümmern. Es hilft nicht. Er ist der Meinung, dass selbst geschultes Personal immer wieder in die Falle tritt: „The clients we typically consult with are large enterprises in financial services or manufacturing. All of them have sophisticated employee awareness and security training programs in place—and yet even with these programs, they still have an average click-through rate on client-side attacks of at least 5 to 10 percent.“ Er unterstellt den Anwendern hiermit simple, irreparable Unfähigkeit, Malware zu erkennen. Ich unterlasse es hier, weitere Ableitungen oder Synonyme seiner Meinung über Anwender zu äußern. Bei manchen Anwendern mag es durchaus auch zutreffen. Ich kann aber nicht alle über einen Kamm scheren!
Ich bin der Meinung, dass es wohl Sinn hat, Anwender über Fehlverhalten und Gefahrenabwehr aufzuklären. Und ich bin der Meinung, dass es wohl auch Pflicht der Anwender ist, das Unternehmen mit zu schützen und bewusst mit Daten umzugehen und sich Wissen anzueignen. Die Intensität der Schulungsmaßnahmen sollte sogar steigen analog zur Position der jeweiligen Benutzer innerhalb des Unternehmen. Denn je höher der Benutzer in der Karriereleiter gestiegen ist, desto geschäftskritischer und schützenswerter sind die Daten, mit denen er arbeitet. (Einschub nebenbei:) Mit Verlaub, es ist ein absolutes No-Go, Geschäftsführer mit administrativen Rechten auszustatten. Wie wär’s denn einfach mal mit einer Schulung für den Geschäftsführer, anstatt Malware die Tür zu öffnen?
Ist es doch m.E. das Haupteinfallstor für Malware: Human Behavior. Aitel’s Meinung ist, das Ding so sicher zu machen, dass kein Unfall geschehen kann. Meine Meinung ist, dass kein Automobilhersteller (Administrator) auf der Welt derzeit in der Lage ist, ein Auto (System) zu bauen, welches den Fahrer (Anwender) mit solch „Aktiver Sicherheit“ versorgt, dass ein Unfall ausgeschlossen ist. Es ist ein ständiges Geben und Nehmen, analog gegenseitigem Respekt. Alle müssen sich die Erhaltung der Firmensicherheit einsetzen und nicht fahrlässig handeln – Das schließt beide Gruppen mit ein: Administratoren und Anwender.
Es gibt ihn zwar noch, den „BOFH“ und auch den „DAU“ – Beide sollten allerdings in der Lage sein, voneinander zu lernen. Vogel-Strauß-Taktik ist nicht angesagt, oder doch? Ist Hopen und Malz bei Anwendern verloren, wie man so sagt?
Was ist Deine Meinung? Ich habe meine Hoffnung und meinen Idealismus noch nicht aufgegeben! Vielleicht wird ja auch vor Deinem Unternehmen mal ein Sack USB-Sticks ausgekippt?
Den gesamten Artikel könnt Ihr hier nachlesen: Link