Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

That‘s not my job?! : Wo liegen die Grenzen der Security? Wie kann man der Flut von ausufernden Aufgaben begegnen?

Ein arabisches Zitat aus dem siebten Jahrhundert besagt: „Der Mensch ist Feind dessen, was er nicht versteht.“ Das passt auch sehr gut auf die IT-Security: Themenvielfalt und Aufgabenbreite von Security-Verantwortlichen nehmen stetig zu – Governanceaufgaben, wie Awareness und Richtlinien, treffen dabei auf Herausforderungen aus allen Technikgebieten, von Virenschutz bis zu Kubernetes-Containern. Die hohe damit verbundene Komplexität führt leicht dazu, Themen zu selektieren, die man mag, und andere, die man nicht mehr als seinen „Job“ ansieht. Doch wo ist die Grenze? Wie sollte man mit diesen Herausforderungen umgehen?

Lesezeit 16 Min.

Vor vielen Jahren, noch in der Frühzeit der Security, erlebte der Autor folgende Geschichte bei einem früheren Arbeitgeber: Aufgrund eines Problems in der Kühlkette war eine fischhaltige Mittagsmahlzeit in der Firmenkantine kontaminiert, was zu vielen Fällen von Fischvergiftung und einem großen Rettungseinsatz führte. Da eine Fischvergiftung nicht zu den „geplanten Krisenszenarien“ gehörte, wurde als Hutträger und Entscheidungsfinder des Incidents der damalige CISO bestimmt. Der Autor kann sich noch gut daran erinnern, dass dieser damals flüchte: „Was hat denn ein CISO mit Fischvergiftung zu tun?“ Auch wenn dieser Vorfall vielleicht extrem erscheint, müssen sich Security-Experten in der Praxis doch sehr häufig fragen, ob neue oder unerwartete Herausforderungen noch ihre Aufgabe sind oder nicht.

Kurz vor der Jahrtausendwende war die Security-Welt noch recht übersichtlich: Awareness, Virenschutz, „Hacking“, Datenschutz (im Sinne von Schutz gegen „Hacker“) und das Entwerfen von Richtlinien waren die noch sehr überschaubaren Kernthemen. Heute ist die Zahl der Themen, mit denen sich Security-Experten beschäftigen müssen, weit größer: Von Security-Architektur (Vereinheitlichung von Systemen) über BSI-Vorgaben und darüber hinausgehende rechtliche Anforderungen an kritische Infrastrukturen, sichere Programmierung, Sicherheitsanalysen, SOC-Themen, über den Konzern hinausgehende Gremienarbeit bis hin zur Einbindung von IoT-Geräten, Lagerlogistik, der Überwachung von Fremdfirmenmitarbeitern oder dem physischen Perimeterschutz reichen nun die Aufgaben, die an unsereins herangetragen werden.

Zwar kann man durch Rollentrennung eine gewisse Abhilfe schaffen, doch manchmal verschwimmen die Grenzen: So wurde im September 2021 eine Sicherheitslücke in der NAS-Lösung eines Videoüberwachungssystems gefunden, die das Ausführen von Remotebefehlen ermöglichte. Selbst wenn in einer betroffenen Firma eine klare Rollentrennung zwischen physischer und Cyber-Sicherheit existiert: Muss der Werkschutzexperte die IT-Security-Nachrichten verfolgen? Oder weiß der CISO, der sie liest, überhaupt, ob eine solche Kameralösung in der Firma im Einsatz ist? Da hilft nur, miteinander zu reden …

Beispiel Awareness

Vor 20 Jahren verbreitete sich der „Loveletter“-Computervirus sehr stark: Die Betreffzeile „I love you“ erzeugte beim Empfänger offenbar schier unbändige Neugier, den Anhang zu öffnen – wer würde auch nicht neugierig werden, wenn ein Kollege oder Chef einem so was schreibt? Anfangs war die Aufklärung (heute: Awareness) noch einfach: Man sagte den Mitarbeitern schlicht, dass sie keine Anhänge öffnen sollten, die an einer E-Mail mit der bewussten Betreffzeile kleben. Bald darauf kam dann die Fortsetzung, deren Betreffzeile „Mittel gegen den I love You Virus“ lautete. Also erzählte man den Mitarbeitern, dass sie alle E-Mails, die irgendwie mit Liebe zu tun haben, ignorieren sollen.

Wieder einige Monate später – inzwischen waren die Mitarbeiter vieler Firmen „aware“ gegenüber Liebesmails – gab es ein sehr erfolgreiches Virus, das ein Nacktbild einer damals populären amerikanischen Tennisspielerin versprach. Wieder klickten leider viele Empfänger auf die heikle „Payload“ – schließlich hatte das ja nicht direkt mit Liebe, sondern eher mit physischem Interesse zu tun?! Spätestens hier war der Aufschlag zu einem noch heute laufenden Katz-und-Maus-Spiel erfolgt.

Also änderte man wieder die Awareness-Kampagnen und machte die Warnung etwas breiter – doch die andere Seite schlief nicht und die Viren-Mails wurden auch immer besser. Die früher oft versehentlich durch schlechte Programmierung zu findenden ausländischen Schriftzeichen im Nachrichtentext, sind nun vorsätzlich in den Links enthalten (z. B. XYZ Bank mit URL, bei der das „a“ im Bankzertifikat ein ähnlich aussehendes russisches Zeichen ist), die Betreffzeilen immer raffinierter (z. B. Arbeitssicherheit: Corona-News) und die Absender immer plausibler (support@ihre-firma.com). Als wäre das nicht genug, sind die Angreifer inzwischen so schlau, Absender und erbeutete E-Mail-Fragmente aus der Kommunikation ihrer Opfer mit Dritten zu nutzen (vgl. www.verbraucherzentrale.de/wissen/digitale-welt/apps-und-software/emotet-trojaner-beantwortet-empfangene-E-Mails-und-klaut-anhänge-35502).

An der Grenze des Erlernbaren

Derartig „giftige“ E-Mails haben heute eine Qualität, dass ein Awareness-Beauftragter eigentlich schon kein anderes Thema für seine Schulungen braucht, die er zudem noch tagesaktuell um neue Tricks ergänzen muss. Gerade in Zeiten von Videokonferenzen im coronabedingten Homeoffice können Mitarbeiter kaum noch unterscheiden, ob ein Link zu einer Videokonferenz von einem Kollegen oder einem Angreifer stammt.

Konnte Awareness früher vielleicht noch als „Nebenjob“ eines CISO gelten, wird heute allein der E-Mail-Schutz zu einer „Vollzeitaufgabe“. Die Folge ist, dass das Thema entweder an eine Fremdfirma ausgelagert wird oder es viele Ressourcen im Security-Team bindet – oder man deckt es nur noch oberflächlich ab. Wo ist da denn auch die Grenze zu ziehen? Reicht es, einem Mitarbeiter zu sagen, er solle vorsichtig mit „komischen“ E-Mails umgehen, oder warnt man tagesaktuell im Intranet vor jeder neuesten Masche?

Und selbst wenn man an eine Fremdfirma auslagert, bleiben Fragen: Soll der Security-Experte täglich oder halbjährlich darum bitten, aktuelle Angriffe in die Schulungen einzubauen? Oder ist es Aufgabe der Fremdfirma, Trends von selbst aufzunehmen? Ist es Aufgabe des CISO, die externe Firma zu finden, zu beauftragen und das Pflichtenheft zu schreiben? Oder soll das der Einkauf machen, der sicherlich nur das grobe Thema (Awareness), aber keine Details kennt?

Beispiel Policies und Paperwork

Seien Sie ehrlich: Wie viele Richtlinien gibt es in Ihrer Firma, wie viele zur IT-Security? Wie viele Seiten existieren dazu insgesamt und kennt die jeder? Wozu dienen die eigentlich? Vor mehr als einem Jahrzehnt hielt der Autor in einer Schulung seines damaligen Arbeitgebers einen Vortrag vor Azubis, der mit den Worten begann: „Was hat der erste Band von Harry Potter mit unseren Firmenrichtlinien zu tun?“ Dabei zeigte er das 700-seitige Werk dem Publikum – und verblüffte die Azubis mit der Auflösung, dass sich die ungefähre Seitenzahl aller Firmenrichtlinien in der Größenordnung des Buchs von Joanne K. Rowling bewegte.

Auch heute noch denken viele Security-Experten, die wichtigste Aufgabe ihrer Abteilung sei das Schreiben von Richtlinien. Die Existenz von Policies, Richtlinien und ähnlichen Dokumenten wird natürlich durch Compliance-Vorgaben teilweise gefordert. Doch wie viel Prozent der Arbeitszeit sollte ein Security-Team hierfür verwenden? Es gibt Sicherheitsbeauftragte, die solche Werke gerne und begeistert – gleichsam wie ein Bestsellerautor – schreiben und durch alle Gremien anerkennen lassen. Und es gibt andere, die das eher als notwendiges Übel ansehen, das sie unnötigerweise von den eigentlich wichtigen Dingen abhält.

Manche Richtlinien werden als Folge eines Vorfalls geschrieben, weil etwas noch nicht definiert war und so geschehen konnte – andere prophylaktisch, weil ein Thema gerade aufkommt oder en vogue ist. Einige Regelwerke entstehen, weil ein Auditor oder Wirtschaftsprüfer konkret danach gefragt hat. Doch letztendlich ist die ausschlaggebende Frage, ob jeder einzelne Mitarbeiter einschlägige Richtlinien kennt, versteht und auch befolgt.

Viel Arbeit – wofür?

Die Erstellung einer Richtlinie hat viele Aspekte: Von der Themenfindung (z. B. getriggert durch ein Ereignis) über die Festlegung der Inhalte (Was soll geregelt werden?), ihre Grenzen (Gilt das für eine Abteilung oder den ganzen Konzern?) über das Schreiben, das mehr oder weniger bürokratische Publizieren im Unternehmen (Wer muss zustimmen?) bis hin zur Kommunikation der Inhalte (Reicht eine Veröffentlichung im Intranet oder müssen die Mitarbeiter explizit geschult werden?).

Am Ende geht es um Akzeptanz, die durch verschiedene Faktoren beeinflusst wird: von der Beeinträchtigung der täglichen Arbeit betroffener Mitarbeiter („Anlegen des digitalen Schutzanzugs“), dem Verständnis für die Inhalte (Warum darf ich nicht „123456“ als Passwort nehmen?), über die gelebte Kultur („In dieser Niederlassung beachten wir diese Vorgabe nicht.“) bis hin zur Erwartungshaltung bei der Kontrolle („Es ist bei uns unüblich, einen Verstoß zu melden.“) und natürlich auch der Zahl vorhandener Richtlinien.

Weitere interessante Fragen lauten: Ist der Schreiber einer Richtlinie (z. B. der CISO) auch für die Klärung der Akzeptanz (z. B. in Form einer Umfrage) zuständig, für die Vermittlung der Inhalte (Schulungen) und die Einhaltung (normalerweise Sache der Revision)? Schreibt der Fachexperte die Grundlagen der Richtlinie (was z. B. bei Themen wie Kryptografie sehr publikumsfern sein kann) oder macht das vielleicht gar, wie der Autor schon von Freunden aus anderen Firmen hörte, eine Praktikantin auf der Basis einer Recherche im Internet?

Eine Richtlinie bindet Ressourcen lang und intensiv – von der anfänglichen Diskussion mit Fachexperten bis zur Abstimmung und Veröffentlichung im Firmenportal. Doch auch damit ist es nicht getan, denn die Technologie dahinter entwickelt sich ja weiter – und vielleicht findet eine Policy auch nur wenig Akzeptanz bei den betroffenen Mitarbeitern, sodass womöglich Awareness-Schulungen nötig werden.

Natürlich braucht ein Unternehmen Richtlinien – allein schon aus Compliancegründen und weil viele Mitarbeiter gerne fragen: „Wo steht denn das?“ Doch es kann schnell passieren, dass die Security-Abteilung als Paperware-Abteilung verschrien wird, wenn sie eine Richtlinie und fachliche Anweisung nach der anderen produziert und dabei bisweilen fernab von den Bedürfnissen der Nutzer fabuliert.

Beispiel Technik

Neue „Technologien“ sind an der Tagesordnung. Wird etwas neu eingeführt, sollte das in Absprache mit der Security-Abteilung geschehen – oder ist die IT-Architektur der Firma allein dafür zuständig? Oder macht das die IT-Abteilung, die diese Technologie einführen will? Wie technikaffin muss ein CISO eigentlich sein?

Im Herbst 2021 hat das BSI den Entwurf des Grundschutz-Bausteins SYS 1.6 Containerisierung vorgestellt. Dieses konkrete Beispiel wirft die Frage auf, wer denn im Unternehmen für die sichere Programmierung und Software-Entwicklung zuständig ist: Die IT-Abteilung, die IT-Architektur, der Programmierer selbst oder sein Vorgesetzter? Laut BSI ist es der IT-Betrieb! Aber was passiert, wenn dieser empfohlene Standards ignoriert? Ist es dann Aufgabe des CISO? Muss man die Standard-Anforderungen des IT-Grundschutzes überhaupt einhalten – oder die Vorgaben der Open Containers Initiative (OCI)? Was umfassen diese Werke überhaupt? Und wer muss sich um akut auftretende Gefährdungen, wie die Kryptojacking-Container-Malware Hildegard, kümmern?

Maß der Dinge: Birdview oder Details?

Die Geschwindigkeit, mit der neue Technologien eingeführt werden, steigt exponentiell. Hinter vielen Schlagworten verbergen sich sehr viele komplexe Anforderungen – etwa beim Internet der Dinge (IoT) oder dem Thema „Cloud“. So kann eine neugebaute Werkhalle über IoT-Geräte mit der Cloud verbunden sein. Da es sich dabei aber um ein Logistik-Netzwerk handelt, wird oft ein anderer Standard angelegt als in der Produktion oder im Bürokommunikationsnetz einer Firma. Normalerweise ist der „Betreiber“ eines Systems in einer Firma der Verantwortliche. Doch haben möglicherweise die Experten im Einkauf oder in der Lagerlogistik die IT-Security nicht so im Fokus wie das Cybersecurity-Team – hier ist also Letzteres der Know-how-Träger.

Aber es kann auch anders sein: Angenommen Ihre Firma hat ein Security-Operations-Center (SOC) mit hochmotivierten, fachlich sehr gut ausgebildeten Analytikern. Möglicherweise liegen einige sehr komplexe Angriffsversuche, die diese beobachten, weit über dem Verständnis des IT-Security-Beauftragten – erst recht, wenn dieser vielleicht, wie bei manchen Unternehmen üblich, einen eher juristischen oder volkswirtschaftlichen Hintergrund hat. Wie viel Technik-Know-how braucht ein Security-Entscheider? Und wo fängt das an, wo hört das auf? Vor einigen Jahren hat der Autor eine Prüfung zum „Certified Information Systems Security Professional“ (CISSP) abgelegt – dafür hatte er eine Schulung besucht, hunderte Fragen geübt und das 1400 Seiten dicke Exam-Guide-Buch durchgearbeitet. Dennoch traf der Autor dann eher unverhofft in der Prüfung auf Fragen zur Faxverschlüsselung – ein Thema, das er nicht wirklich „auf dem Schirm“ gehabt hatte und das ihn doch stark überraschte. Zwar blieb die Prüfung erfolgreich, aber „Faxverschlüsselung“ ist seitdem ein wundervolles Beispiel für einen Security-Begriff, der im Alltag eher selten auftaucht.

Beispiel „Scope der Abwehr“

Was liegt im Fokus eines IT-Sicherheitsbeauftragten? Das BSI verfolgt hier den sogenannten Allgefahrenansatz (vgl. [1]): Die Gefahren für ein IT-System können aus menschlichen, technischen und organisatorischen Versagen entstehen, durch höhere Gewalt oder vorsätzliches Handeln. Viele Unternehmen sehen jedoch die Aufgabe der IT-Security-Abteilung ausschließlich im Schutz vor Angriffen. Überspitzt heißt das, dass man sich vor dem „bösen Hacker“ fürchtet, nicht aber vor einem Starkregenbedingten Wassereinbruch im Serverraum – dabei gibt es hierzu sehr besorgniserregende Studien [2].

Dabei kann auch ein Akt höherer Gewalt nicht nur in Simulationen, sondern ebenfalls in der Realität äußerst verheerend wirken und weit ausstrahlen, wie 2021 der Brand eines Rechenzentrums gezeigt hat, durch den Medienberichten zufolge weit über drei Millionen Websites ausgefallen waren – darunter „Niche Government Platforms“ in Frankreich, Großbritannien, Polen und der Elfenbeinküste (www.reuters.com/article/us-france-ovhfire-idUSKBN2B20NU). Ob ein Brand wirklich auf höhere Gewalt zurückgeht oder vielleicht sogar vorsätzlich gelegt wurde, zeigt sich zudem manchmal erst nach langer Ermittlungsarbeit. Daher lässt sich zwischen Angriffssicherheit und anderen Ursachen oft nicht so einfach unterscheiden.

Ganzheitlichkeit oder Angriffsabwehr?

Auch wird oft das Thema Innentäter unterschätzt oder vernachlässigt – nach dem Motto „Unsere Angestellten sind alle loyal!“, wobei die Wirklichkeit oft zeigt, dass das nicht so ist. Die Gründe können dabei vielfältig sein: von Wut auf den Arbeitgeber (z.B. wegen einer nicht erhaltenen Beförderung), monetären Gründen (Erpressung), einer fehlenden Identifikation mit der Firma, in der man arbeitet, oder gar völlig unerwarteter Natur, wie im Fall eines britischen Soldaten, der geheime Dokumente veröffentlichte, weil das digitale Modell eines Panzers in einem Computerspiel nicht richtig gewesen sei (www.heise.de/news/Kritik-an-Panzermodell-in-Videospiel-Nutzer-leaktgeheime-Plaene-6141933.html).

Ebenfalls zum Bereich der Innentäter gehört das zwar nicht vorsätzlich böswillige, aber dennoch schädliche Verhalten mancher Mitarbeiter, Firmeninterna in sozialen Netzwerken herauszuposaunen. Dabei kann es sich um Kollegen handeln, die unbedacht oder leichtfertig Interna erzählen, um einen Manager, der stolz über die Details von Schutzmaßnahmen, Prozessen oder Hardware berichtet, oder aber auch um die Folgen der vorsätzlichen Kontaktaufnahme eines „Evildoers“, der gezielt interessante Personen anspricht, um Geheimnisse auszuforschen. So wurde 2010 der Fall der verführerischen Robin Sage bekannt, die es – als vollkommen erfundene Frau – geschafft hat, bei hunderten Menschen, teilweise aus dem militärischen Bereich, vertrauliche Informationen per Facebook zu erschleichen (siehe etwa www.sueddeutsche.de/digital/trickreicher-hackerangriff-einkurzes-heisses-leben-1.982586).

Beispiel „Das auch noch?!“

Wie bereits erwähnt, war die IT-Security als Themengebiet zu Beginn des Jahrtausends noch sehr übersichtlich. Viren, Patches und „normale“, verstehbare Schwachstellen sowie eine noch recht simple Form der Awarenessmaßnahmen waren die Kernthemen – doch heute ist die Welt weit komplexer geworden. Als Beleg mögen folgende einfache Beispiele dienen: Nach der Gründung von Facebook 2004 dauerte es noch eine ganze Weile, bis etwa vor einem Jahrzehnt viele Firmen anfingen, dort ein Profil einzustellen. Das brachte vor allem Datenschutzprobleme (z. B. die Einbindung des anklickbaren Facebook-Symbols), aber wenig Sicherheitsfragen mit sich. Dennoch waren viele Sicherheitsexperten gefordert, die Risiken zu analysieren und zu bewerten: So kann ein für eine politische oder terroristische Agenda missbrauchter Firmen-Facebookaccount einen gewaltigen Reputationsverlust bedeuten. Das bedeutet zusätzliche Arbeit für den CISO, der etwa dafür sorgen muss, dass die meist IT-Security-ferne Abteilung, die diesen Facebookaccount betreut (z. B. Marketing oder Personalgewinnung), ausreichende Schutz- und Rollenkonzepte entwirft und Awarenessmaßnahmen durchführt.

Aber das ist erst der Anfang: Heutzutage gibt es Dutzende soziale Netzwerke, darunter jedermann bekannte wie Instagram, aber auch weniger geläufige, wie Jodel, Vero oder Gab (vgl. https://socialmedialist.org/soziale-netzwerke-liste.html). Diese können für die Personalgewinnung (Stichwort „Young Talents“) eine enorme Bedeutung haben, ohne dass der Sicherheitsverantwortliche überhaupt weiß, dass die HR-Abteilung dieses Tool bereits dienstlich einsetzt. Zwar mag es im Unternehmen durchaus eine Cloud-Nutzungsrichtlinie geben, doch wird die HR-Abteilung vielleicht Instagram, Facebook oder Jodel nicht als „Cloud“ ansehen, sondern nur als ein Tool zur Nachwuchsgewinnung. Vielleicht erfährt der Sicherheitsverantwortliche sogar nur durch Zufall von solchen Netzwerken oder den Aktivitäten bestimmter firmeninterner Gruppen (z. B. Azubis).

Beginnt er dann Richtlinien für soziale Netzwerke zu entwerfen, trifft er sehr schnell auf juristische und arbeitsrechtliche Grenzen: Ist ein Posting auf der Facebookfirmenseite, das während der Arbeitszeit (oder in der Pause) von einem Dienstrechner aus gemacht wird, beispielsweise anders zu sehen, als eine private Meinungsäußerung eines Mitarbeiters nach Feierabend von seinem Privatrechner, aber ebenfalls auf der Facebookseite der Firma? Was ist, wenn der Mitarbeiter in seiner Freizeit solche Äußerungen auf seinen privaten Seiten macht? So bekamen 2011 etwa mehrere Mitarbeiter eines großen deutschen Autobauers Probleme mit der Personalabteilung, da sie auf Facebook Kritik am Projekt „Stuttgart 21“ geäußert hatten.

Das Durchsickern von Informationen kann aber durchaus auch unbeabsichtigt erfolgen: So wurde bekannt, dass TikTok zeitweise in bestimmten iOS-Versionen den Inhalt des Clipboards an Server in China übertrug. Somit ergab sich ganz ohne aktives Zutun der Mitarbeiter ein echtes Sicherheitsrisiko, wenn die Firma TikTok benutzte. Ein anderes aktuelles Problem der Security-Abteilungen sind die modernen Homeoffice-Videokonferenz-Lösungen, wie Zoom und viele andere: Abgesehen von den Datenschutzproblemen (die aber mehr den Datenschutzbeauftragten betreffen als die Securityabteilung) gibt es auch wichtige Security-Issues. Angefangen bei relativ harmlosen Dingen wie Zoombombing (das Hereinplatzen Dritter in eine Konferenz) gab es auch zahlreiche hochpriorisierte Schwachstellen in vielen dieser Systeme. Somit gelangten Videokonferenzen plötzlich auch in den Fokus der Security-Verantwortlichen.

Grenzenlose Sicherheit?

Anhand der genannten Alltagsbeispiele lässt sich leicht erkennen, dass sich das einstmals klar abgegrenzte Binnengewässer „Security“ zu einem wahren Meer mit etlichen Untiefen entwickelt hat – bisweilen könnte man meinen, Land ist nur noch selten zu sehen, der dort kreuzende Security-Experte scheint eher hilflos zu treiben. Doch so aussichtslos ist die Lage nicht: Sicherheitsverantwortliche verfügen noch immer über einige taugliche nautische Instrumente, die ihnen die Navigation und das Abstecken der Grenzen ihres Reiches erleichtern:

  • Klare Rollenverteilung: Definieren Sie proaktiv, oder spätestens beim Aufkommen eines neuen Themas, wer dafür verantwortlich ist (z. B. für die physische Sicherheit).
  • Delegieren Sie! Wenn die Security-Abteilung aus mehr als einer Person besteht, geben Sie Themen an Kollegen ab. Auch ein „Allgemeinmediziner“ kommt mal an seine Grenzen und muss dann einen Fall an den jeweiligen „Facharzt“ überweisen!
  • Ist es Teil des TAHOI-Prinzips, ist es Ihr Problem! Zu den Aufgaben des Security-Teams gehören folgende Themengebiete, ob sie Spaß machen oder nicht: Technical Failures, Acts of God (Naturgewalten), Human Error (Fehlbedienung), Organisational Failure (z. B. abgelaufene Root-Zertifikate) und Intentional Acts (vorsätzliche Handlungen).
  • Kein Thema ist zu bizarr: Egal ob Ihnen unbekannte Social Networks oder Kubernetes-Container-Security – ein Angreifer kann und wird einen Weg finden, eine neue Technik oder einen unbekannten Dienst zum Nachteil ihrer Organisation auszunutzen, wenn Sie sich nicht rechtzeitig darum kümmern!
  • Informieren Sie sich: Das Wissen rund um Security-Themen wächst kontinuierlich. Fachzeitschriften, Onlinebeiträge und Konferenzen, Networking oder jegliche andere Art, sich über aktuelle Sicherheits-Trends zu informieren, sind daher dringend zu nutzen.
  • Nehmen Sie sich Zeit: Viele Themen wirken unwichtig, seltsam oder uninteressant. Doch ein guter Sicherheitsverantwortlicher sollte sich auch einmal Zeit nehmen, den Dingen, die ihm „unbestimmt im Magen liegen“ nachzuspüren – das macht einen guten Experten aus!

Mit diesen Tipps gelingt es Ihnen vielleicht, unbestimmte Themen in der Security konkret zu ihrem Thema zu machen – oder anderen zuzuweisen. Nicht umsonst schreibt der Sci-Fi-Autor Douglas Adams in „Per Anhalter durch die Galaxis“ von der Bedeutung des „PAL-Felds“: „Das ‚Problem-anderer-Leute‘-Feld kann Dinge aus der Wahrnehmung der Menschen ausblenden. Es beruht auf der angeborenen Neigung der Leute, nichts zu sehen, was sie nicht sehen wollen, nicht erwartet haben oder nicht erklären können. Sie erklären es einfach zum Problem anderer Leute und nehmen es daher einfach nicht wahr …“ – dem eigenen Seelenfrieden hilft das, besser aber klärt man Zuständigkeiten explizit.

Dr. Sebastian Broecker ist Senior Security Expert bei der Deutschen Flugsicherung und nebenberuflich als freier Autor/ Journalist tätig.

Literatur

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Risiken identifizieren, in: Online-Kurs Notfallmanagement auf Basis von BSI-Standard 100-4, Kapitel 4.2, www.bsi.bund.de/DE/Themen/Unternehmenund-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-Notfallmanagement/4_RisikenAnalysieren/1_Risiken%20identifizieren/RisikenIdentifizieren_node.html
[2] Klimawandel: Eine neue Studie sieht Bremen und Hamburg in 80 Jahren unter Wasser, Focus online, November 2019, www.focus.de/wissen/klima/staedteunter-wasser-schlimmer-als-gedacht-anstieg-des-meeresspiegels-koennte-250-millionen-menschen-bedrohen_id_11291334.html

Diesen Beitrag teilen: