Datensicherheit per KI: Kümmern Sie sich lieber selbst
Zum anstehenden Datenschutztag am 28. Januar, finden sich einige mehr oder weniger sinnvolle Kommentare über Datensicherheit im Netz. Beispielsweise sinniert der Hersteller einer Security-Plattform darüber, dass IT-Abteilungen endlich damit anfangen müssten, »aktiv nach potenziellen Schwachstellen und Sicherheitslücken zu suchen.« Ein wirksamer Schutz sei kein Hexenwerk, man müsse nur »traditionelle überholte IT-Sicherheit durch neue, erfolgsversprechende Techniken ersetzen.« Als Beispiel werden KI-basierte Endpunkt-Services genannt.
Kolumne Doc Storage:
An alle aus der »Außenwelt«, die uns gute Ratschläge über den Alltag im Rechenzentrum gegeben – vielen Dank, aber:
Wenn wir EDV ernsthaft und in größerem Umfang betreiben, haben wir mindestens einen, wenn nicht mehrere einschlägig ausgebildete DV-Sicherheitsmenschen pro Schicht im Hause. Und dies bereits vor Jahren im Rahmen des Bundesdatenschutzgesetzes (gilt nämlich schon seit Ende der siebziger Jahre), spätestens aber im Zuge der Umsetzung der DSGVO (gilt nun auch schon seit fast vier, zwingend seit fast zwei Jahren). Diese Kollegen haben – neben der Umsetzung der gesetzlichen Vorgaben – die Aufgabe, unaufhörlich nach entsprechenden Schwachstellen in der internen und unmittelbar angeschlossenen externen Infrastruktur zu suchen.
Mithilfe einschlägiger Anwendungen, natürlich auch mit Ergänzungen der Microcodes der verwendeten Hardware. Somit sollte man die so despektierlich »traditionelle überholte IT-Sicherheit« genannten Maßnahmen nicht ersetzen, sondern ergänzen. Einen Teil, ich würde fast sagen einen sehr großen Teil der anfallenden Datenschutzverletzungen, Eindring- und Manipulationsversuche können schon mit den »konventionellen« Mitteln abgefangen bzw. verhindert werden. Dazu müssen diese auf den neuesten Bedrohungsstand gehoben werden, und sich die Sicherheitsmenschen selbst, permanent auf dem aktuellen Stand halten. Dafür benötigen diese natürlich entsprechende Zeit, und die muss ihnen der Arbeitgeber gewähren.
KI ersetzt keine fehlerhafte Planung
Zweitens benötigen wir – unter anderem – aus den oben genannten Gründen keine »künstliche Intelligenz« (KI), die uns angeblich dabei hilft, an »Endpunkten« fehlerhaften Umgang mit personenbezogenen Daten zu unterbinden. Ist es doch so vielmehr so, dass durch fehlerhafte Planung der Infrastruktur und Prozesse erst die Lücken aufgerissen werden, durch welche dann die Daten, welcher Art auch immer, ins »Freie« gelangen. Es geht nämlich nicht immer nur um »personenbezogene Daten«, es geht auch um die gute alte Industriespionage, das »Abhandenkommen« durch Diebstahl, um den Transport aus den vorgesehenen Umfeldern und vieles mehr.
Wenn wir unseren Job in den letzten Jahren nicht völlig falsch verstanden und gemacht haben, so sollten bereits entsprechende Vorkehrungen getroffen sein, um all die genannten Möglichkeiten weitestgehend zu verhindern. Es fängt damit an, dass es für keinen Anwender im Hause wirklich nötig ist, seinen Desktop-Hintergrund zu verändern oder irgendwelche Ports an seinem Tischrechner zu benutzen. Jeder, der Daten von extern in das Netzwerk bringen möchte, wird physisch und logisch dazu gezwungen, diese an einem dafür vorgesehenen, logisch abgeschirmten und hinter einem Personenvereinzeler befindlichen System zu übertragen. Hier werden sie geprüft, und erst dann im Falle der Unbedenklichkeit an das System des Benutzers weitergeleitet. Genauso der umgekehrte Weg.
Niemandem wird es ermöglicht, Daten auf logischem oder physikalischem Wege (also zum Beispiel als Anhang in E-Mails oder in Schriftform bzw. auf Datenträgern) aus dem Haus zu bringen. Im Ende helfen hierbei nur Kontrollen am Ausgang, und ob die gewünscht sind, überlasse ich dem Personalrat eines jeden Unternehmens. Kein System der zentralen DV, also kein Server oder andere wichtige Installationen, haben in irgendeiner Form Kontakt zur Außenwelt, also zum Internet. Zwischen ihnen und dem weltweiten Netz stehen entsprechende Proxy-Systeme, welche die Qualität und möglichen Absichten aller zu transferierenden Daten, in welche Richtung auch immer, beurteilen und im Bedarfsfalle schlicht die »Weiterreise«“ der Daten verhindern.
Alle Desktop-Systeme wickeln ihren gesamten Kontakt mit der Außenwelt nicht direkt über einen Router, sondern selbstverständlich ebenso über die gute alte »demilitarisierte Zone« ab (jaja, für ALLES, was hier mit neuen Bezeichnungen verbrämt wird, haben wir seit 25 Jahren entsprechende Begriffe). In dieser werden wie an der Schengen-Grenze, alle Pakete geöffnet und durchsucht, während Scheinsysteme die Aufmerksamkeit von Eindringlingen auf sich ziehen und diese beobachtbar machen. Und obendrauf natürlich, neben der logischen und physischen Kontrolle, die optische. Will sagen, alle Tastaturen werden, neben der obligatorischen Aufzeichnung aller Tasteneingaben, durch Kameras überwacht.
Merken Sie was? 😊 Wir müssen einen Kompromiss finden, und mit allen Maßnahmen auf dem Teppich bleiben. Weil wir sonst im schlimmsten Falle nicht nur gegen sämtliche Arbeitsschutzgesetze, sondern auch gegen das Post- und Fernmeldegeheimnis und den gesunden Menschenverstand verstoßen.
Datensicherheit: Mitarbeiterschulung durch nichts zu ersetzen
Wichtig ist zunächst einmal, dass man die gesamte Belegschaft, die irgendwie mit dem Gebrauch von Rechnersystemen zu tun hat, ausgiebig in IT-Sicherheit schult und mit der Bedrohungslage vertraut machen. Das heißt, nicht nur mit dem Unterschreiben irgendeines Zettels, den sich sowieso niemand durchliest.
Und als letztes, nur so als Erfahrung aus über 30 Jahren DV: Gegen zwei Dinge können Sie sich und Ihre Infrastruktur sowieso nicht hundertprozentig schützen – gegen kriminelle Energie einerseits und die Dummheit der Anwender andererseits. Sie müssen immer den alten Spruch von Darwin im Hinterkopf behalten, und ihn auf die heutige Zeit adaptieren. »Der Anwender findet einen Weg«. Er findet einen Weg, sich mehr Speicher zu holen als Sie ihm diesen zuteilen. Er findet einen Weg, Daten vom System abzuziehen, obwohl Sie dieses mit allen Mitteln zu verhindern suchen. Und er findet einen Weg, Ihre Infrastruktur zu sabotieren, wenn er dieses wirklich will.
Sie können diesem nur auf zwei Arten entgegenwirken: Schaffen Sie Vertrauen in Ihre EDV-Mannschaft im eigenen Hause, so wird man auch den Maßnahmen Ihrer IT-Abteilung vertrauen. Sorgen Sie dafür, dass jedes negative Ereignis nur zweimal passiert, nämlich das erste und das letzte Mal. Gegen kriminelle Energie kommen Sie nicht an, Sie können nur die Latte höher legen und denjenigen beim darüber springen erwischen. Dann müssen Sie allerdings ALLE Maßnahmen treffen, die ich oben beschrieben habe. Da hilft keine künstliche Intelligenz oder sonst welcher neumodischer überteuerter Humunkulus, der Ihnen sowieso nur sagt, dass gerade etwas passiert und Sie in Aktion treten müssen.
So, und jetzt darf gerne die gesamte »IT-Sicherheitsbranche« über mich herfallen...
Gruß
Doc Storage
- Doc Storage: Ransomware: Sind Backups ein ausreichender Schutz?
- Doc Storage: Speichermarkt 2020 – Ein Ausblick
- Doc Storage: Endlich: Hersteller wehren sich gegen Analysten
- Doc Storage: »Jobsuche in der IT über 40 – vergesst es…«