Es könnte so schön sein, wenn er nicht wäre: der Mensch!
Denn der ist bekanntlich immer Schuld, wenn etwas schief geht.
Die Arbeitswelt verändert sich gerade fundamental durch Techniken wie 3D-Druck, Industrie 4.0 und generell die Digitalisierung. Und durch vollständige Überwachung und Datenmanipulation, mal wieder. Oder immer noch. Eigentlich ja ununterbrochen. Wir nehmen es schon nicht mehr wahr, weil das Tempo deutlich zugelegt hat und wir vergessen haben, wann und welche technischen Errungenschaften unser Leben so nachhaltig und gründlich bereichert haben, dass wir schon vergessen haben, dass es das vor 10 Jahren noch gar nicht gab. Gab es aber doch: So tauchen die angeblich noch nie dagewesenen Geheimdienstskandale etwa alle 5 Jahre wieder auf. Wie verändert die Arbeitswelt nun die IT-Sicherheit?
Nehmen wir den Papst. Ein ungewöhnliches Beispiel zum oben genannten Thema. Als Benedikt XVI nach seiner Wahl den Massen vom Balkon aus zuwinkte, sah er in ein Meer von Gesichtern. Jubelnde, lachende Menschen. Klatschende Menschen… Sein Nachfolger wurde weniger stürmisch begrüßt. Er war mit Sicherheit sogar populärer bei den Menschen auf dem Petersplatz, dennoch sah er weniger Gesichter und es wurde weniger geklatscht. Warum?
Es gibt Smartphones, Tablets!
Es kann keiner klatschen, wenn er sein Handy vor dem Gesicht hat, um den neuen Papst zu fotografieren. Und der kann dann auch keine (lachenden) Gesichter sehen, sondern nur ein Meer von hochgereckten Handys.
Und das alles wirkt auf uns NORMAL! !
Es ist auch normal, dass das Handynetz rund um den Petersplatz von jetzt auf gleich zusammenbrach. Denn zu dieser Normalität gehörte auch, dass ein Großteil der dort versammelten Menschen SMS und MMS verschickten. Oder telefoniert. Weltweit! Wie sie es eigentlich immer taten. Und immer noch tun. Nur, dass sie auch genauso – via Smartphone – noch viel mehr tun können, als mit Apps ihre Heizung vor der Ankunft zuhause hochfahren, schnell noch ein Dokument bearbeiten, kommentieren und an einen Verteiler senden. Oder sich mal kurz in der Firma einloggen, um zu sehen, was dort als Mail aufgelaufen ist oder ob der Kollege schon die Powerpoints bearbeitet oder den Termin bestätigt hat.
Mal ehrlich: Bei der ganzen Aufzählung, haben Sie jetzt an IT-Sicherheit gedacht??
Sehr wahrscheinlich nicht. Denn wir sehen IT-Sicherheit als gegeben an – generell Sicherheit. Aber leider ist das Gegenteil richtig: Handys, Apps – ja das ganze System mit Servern, Computern bis hin zum Internet ist völlig unsicher. Es wird nämlich nur angenommen, dass alles sicher ist, weil der Umgang mit mobilen IT-Technologien so selbstverständlich ist, wie sauberes Trinkwasser, kontinuierliche Stromversorgung etc. Keiner macht sich Gedanken darüber, warum das Trinkwasser sauber ist und was alles dazu gehört, dass immer Strom da ist. Immer wenn etwas schief geht, geht ein Aufschrei durch die Gesellschaft. Und es wird immer häufiger geschrien, in immer kürzeren Abständen. “70 Millionen E-Mail-Adressen mit Passwort gestohlen”. Es sind “Ausnahmen”, es war ein “einmaliges” Ereignis – angeblich. Plötzlich hat der globale Freundesverteiler intimere Fotos von einem. Soll ja vorkommen…
Eine Internet-Bestellung, die man nie getätigt hat, läuft zwar nicht zuhause auf, aber dafür die Rechnung, Mahnung. Und dann plötzlich die freundliche Erinnerungen, dass das Passwort “1234? wohl doch nicht ausreichend sicher war (Länge, Ziffern, Buchstaben, Sonderzeichen).
Und der mobile Online-Handel nimmt deutlich zu. Früher mal eine Auktion bei eBay verpasst oder nicht am Rechner gewesen? Passiert nicht mehr. Apps machen es möglich. Inklusive Erinnerungsfunktion. Wer es nicht glaubt, möge sich einmal bewusst in Wartehallen, öffentlichen Verkehrsmitteln oder in Kantinen umschauen. Das mobile Internet macht vieles möglich. Und es wird intensiv genutzt.
Leider auch zum Datenklau und zur Manipulation, denn Kriminelle sind überall – wo Geld zu holen ist, wo Routine, Freizügigkeit und eine gewisse Laxheit – um nicht zu sagen Gleichgültigkeit – herrscht. Gleichgültigkeit geboren aus der (falschen) Überzeugung, dass das Andere schon für einen machen, dass diese App doch sicher sein MUSS. Insgesamt werden die Geheimdienste völlig überschätzt und die Aktivitäten der Kriminellen völlig unterschätzt!
Neue Updates, die Sicherheitslücken schließen, Kriminelle, die ständig nach neuen Lücken suchen und natürlich das Web an sich, dass einen via Endlosverteilern und Social Media rechtzeitig warnt, jetzt doch mal tätig zu werden: “Lieber Nutzer! Bitte ändern Sie ihr Passwort…” Das kommt dann für viele viel zu spät.
Was hat das mit Future Work zu tun?
Wenn der Anteil mobiler Internetaktivitäten, hiermit mögliche Steuerungsfunktionen und Kommunikationstrends, schon innerhalb der letzten 2 Jahre so massiv zugenommen hat, was wird dann erst in 5 Jahren auf uns zukommen? Und auch das will zunehmend abgefedert und abgesichert sein. Natürlich kommt jetzt der Einwand, dass auch dafür wieder Serviceprovider zur Verfügung stehen werden, aber das sind in aller Regel nicht die Sicherheitslücken, die ausgenutzt werden. Die größte Sicherheitslücke in der IT sitzt gerade vor dem Rechner und liest das…
Der Mensch! – Schon mal überlegt, wie viele Accounts Sie so haben? Die Sie alle mit unterschiedlichen Passwörter sichern sollen? Diese natürlich auch ständig aktualisieren? Also ehrlich: Wir haben nicht ganz so viele Passwörter wie Accounts… (hüstel). Eigentlich haben wir das alle nicht. Groß- und Kleinschreibung, Ziffern und Sonderzeichen in minimal zwölfstelliger Länge. Auch noch komplett verschiedene Passwörter? – Eher nicht. Und diese Tendenz hält sich. Für Privat-Accounts wie auch für Firmen-Accounts.
Warum soll das nun zukünftig erfolgskritisch sein? Es ist ja bekannt, dass die Bundesrepublik ein Tummelplatz für Wirtschaftsspionage ist. Die Vielzahl der erfolgreichen Spionagefälle ist bekannt: Das Siemens-Angebot an Korea zu Hochgeschwindigkeitszügen wurde vom französischen Dienst schon vor mehr als 20 Jahren abgefangen. In Korea fährt seitdem der TGV. Windräder – ganz allgemein Patente, Banken-Kommunikation etc. etc.
Und mit Diensten sind hier nicht Serviceprovider gemeint. Das war der staatliche französische Geheimdienst. Unsere sogenannten Freunde in Europa. Auch wenn dieser Begriff in jüngerer Zeit etwas Abnutzung erfahren hat. Die NSA hört ja nicht allein ab sondern auch England, Italien, Belgien, Luxemburg, Schweden, Finnland, Dänemark… um nur einige der EU-Partner zu nennen. Und nicht nur alle Mails und Faxe, sondern alle Gespräche, Facebook, Twitter, alle SMS, MMS, WhatsApp… also jede (!) digitale Kommunikation.
Seien wir ehrlich. Die gekaufte Putzfrau, die durch ein Konstruktionsbüro tigert und den Papierkorb nicht entsorgt und durch digitale Fotografien aufpoppt, ist Geschichte. Das geht heute technisch viel einfacher: Eindringen per Software aus dem Internet. Man klaut keine Zeichnungen mehr oder die ganze Platte aus dem Rechner. Und es wird auch schon seit Jahren gar nicht mehr physischer Diebstahl begangen. Geheimdienste und insbesondere Kriminelle dringen aus dem Internet in durch Firewalls und Verschlüsselung angeblich geschützte Rechner ein und lesen alle Daten völlig unbemerkt – und unbemerkbar – aus. Online! Weltweit alle Rechner. Und daher ist der Schaden auch wesentlich größer als früher mit der Putzfrau. Exponentiell größer.
Und jetzt kommen zwei Dinge zusammen: Einmal die Sorglosigkeit und Routine auf Basis von einfachem Handling, Servicegläubigkeit und insbesondere Sicherheitsgläubigkeit und zum Zweiten der zunehmende Arbeitsdruck bei immer schnelleren Veränderungen. Dann die sich schnell wandelnden Betriebssysteme, die häufigen Softwareänderungen und weiterentwicklungen bei der IT-Ausstattung, die Gewohntes, aus welchen Gründen auch immer, schneller ad absurdum führen, als man bereit ist zu glauben. Windows 7, 8, 8.1 und 10 haben es vorgemacht. Alles, was man kannte und glaubte zu wissen, war obsolet. Dann aber auch in anderen Bereichen des Unternehmens. Sprachsteuerung, Multitasking und Stress vertragen sich nicht gut.
Auch die Generation Y ist da kein Lichtblick. Sie wird die technischen Veränderungsphänomene wesentlich besser bewältigen, als jeder von uns heute. Sie ist mit dem ständigen technischen Wandel groß geworden. Vom Kindergarten an. Es sind die ersten wirklichen digital natives. Die Fähigkeit der Steuerung komplexer IT-Systeme und Programme wurde “noch vor dem Laufen lernen” spielerisch via Xbox und Playstation erlernt, im Laufe der Jahre gefestigt und ist nun abrufbar für weiterführende – beruflich nützlichere – Anwendungen.
Das sind denkbar schlechte Voraussetzungen, um sich mit IT-Sicherheitsgedanken anzufreunden. Denn die stören. Und Störungen solcher Art sind in aller Regel unsexy, nicht trendy und schlicht abturnend. Sie stören angeblich die Entfaltung von Kreativität, Spontaneität und gelebter Individualität. Und sie werden abgewehrt: “Das habe ich noch nie gehört. Sie übertreiben gern. Das geht doch gar nicht. Das kann doch nicht sein. Meine XY-App ist aber sicher!” Der Glaube an die Sicherheit von Handys, Tablets, Notebooks, Desktops und Servern – ja dem gesamten Internet – ist unendlich stark. Denn die Generation Y hat auch nur das Umfeld kennengelernt, in dem sie jetzt lebt. Das IT-Universum ist selbstinstallierend, per Mausklick da und über das Internet WWW-weit vernetzt und selbstverständlich wie die Luft zum Atmen.
Die ständig wachsende Komplexität, Innovationen und das Wissen, dass einen die IT-Entwicklung verstands- und wissenstechnisch schon jetzt abgehängt hat, schaffen Raum für eine immer größer werdende Gleichgültigkeit, gepaart mit dem (völlig falschen) Vertrauen, dass andere Fachleute schon für Funktionalität und Sicherheit sorgen. Der Schwerpunkt liegt dabei aber – wenn überhaupt – auf der Funktionalität.
IT-Sicherheit fängt zwischen den Ohren an.
IT-Sicherheit ist kein Kompromiss aus Pragmatismus, Funktionalität, Arbeitsorganisation und gewünschtem Sicherheitsniveau – vielmehr muss der Sicherheitsaufwand am Wert der verarbeiteten Daten ausgerichtet werden.
Wenn Sie auf Ihrem Tablet die von Ihnen favorisierten italienischen Spagetti-Rezepte speichern, ist Ihr Sicherheitsrisiko naturgemäß gering – ein Angreifer liest die Rezepte aus, kocht sie nach oder löscht sie im schlimmsten Fall. Kein großes Risiko – Sie müssen auf das Rezept verzichten, es ggf. im Internet erneut suchen – hoffentlich aber nur aus Ihrem Backup zurückladen.
Wenn Sie Windräder mit optimierten Algorithmen für die Steuerung bauen und verkaufen, haben Sie ein sehr hohes Risiko. Die entwickelten – aber noch nicht erteilten – Patente werden von Kriminellen in kürzester Zeit und von Ihnen völlig unbemerkt ausgelesen und verwertet. Daher sollten Sie nicht nur verschlüsseln und Firewalls, Intrusion Detection und Protection Systems etc. einsetzen, sondern auch die Sicherheitsqualität dieser Sicherheitsprodukte überprüfen (lassen): Sicherheitsprodukte sind tatsächlich selbst unsicher und gewähren häufig genug gar keinen Schutz! Security Tests sind unverzichtbar und das bedeutet weit mehr als Penetration Testing.
In der Arbeitswelt der Zukunft werden die Sicherheitsrisiken mobiler Arbeitsflexibilisierung berücksichtigt. Gerade auch unter dem Gesichtspunkt der ständig wachsenden – eher fast ausufernden – Internetkriminalität, nicht nur durch Regierungsinstitutionen mit klarem staatlichen Auftrag der Wirtschaftsspionage und Wirtschaftssabotage, sondern noch viel mehr durch einfache und organisierte Kriminelle!
Gezielte Hackerangriffe und selbst das Einspielen von Trojanern und Viren in Datenbanken und Steuerprogramme (z.B. StuxNet in die Uranzentrifugen des Iran) und/oder das regelmäßige Abhören der Kommunikation von Entscheidungsträgern, ist eben nicht nur ein Phänomen staatlicher Tätigkeit, sondern vielmehr von Kriminellen.
Gerade Deutschland muss endlich verstehen, dass der Verzicht der eigenen Regierung auf Wirtschaftsspionage und aggressive Gegenmaßnahmen eben kein Garant für Sicherheit ist, sondern vielmehr eine Einladung an internationale Freunde, Partner und Gegner, unsere Innovation, unsere Kreativität und unser Wissen, unsere Patente billig abzugreifen. Daraus resultieren nach offiziellen Angaben milliardenschwere Schäden für unsere gesamte Volkswirtschaft, für die Gewinne deutscher Unternehmen und das Steueraufkommen (!) – und auch für den kreativen Mittelstands-Kopf, der schnell um seine individuelle Existenz gebracht wird.
FAZIT
Deutschland, derzeit ein Paradies für kriminelle Wirtschaftsspione, muss sich lieber heut‘ als morgen in der Arbeitswelt der Zukunft grundlegend und umfassend gegen IT-Spionage und IT-Sabotage schützen.
Daher sind Future Workforce-Konzepte, betriebliche Organisationsanpassungen an den Wandel und alle Bestrebungen, die Produktivität für Belegschaften zu erhalten, auch unter dem gern vernachlässigten Aspekt der IT-Sicherheit zu sehen. Einer IT-Sicherheit, die einerseits technisch gegeben sein und andererseits aber vor allem den User erreichen muss.
Jede Art von sog. digital gestützter Arbeitsflexibilisierung, Future Workforce Mobility und anderen Lösungsmöglichkeiten der Future Work, beinhalten gerade auch eine exponentielle Steigerung der von Angriffen ausnutzbaren Sicherheitslücken und beinhalten das Risiko immensen wirtschaftlichen Schadens für Unternehmen.
Weiterführende Literatur
- Mehr Sicherheit durch Security-Testing: Ein Prozessleitfaden zur ISO 27034 „Application-Security“. Bötner, T. und Pohl, H. in SQ Magazin 34, März 2015
- Ausgespäht überwacht: Industrie 4.0. Sicherheit 0.1, Pohl, H. in digitale welt, Februar 2014
- Aufpassen, wenn… – Eine kleine Einführung in die Informationssicherheit für Private und kleine Unternehmen. Pohl, H. Sankt Augustin 2011
- Future Work und Megatrends – Herausforderungen und Lösungsansätze für die Arbeitswelt der Zukunft: Ein Kompendium zum demographischen Wandel; Sascha Rauschenberger, Hamburg 2014.