Als ich das erste mal "Cyberabwehrzentrum" gehört habe, war mir schon
klar, dass das das nichts wird.
Sicherheit in der IT, gerade wenn es um die _bundesweite_ Sicherheit
geht, kann solch ein Zentrum niemals leisten.
Hier wurden Methoden aus dem Militär und Politik auf die IT
Sicherheit übertragen, die nutzlos sind. Ein paar Hansel, die die
aktuelle Bedrohungslage bewerten und diskutieren! Herzlichen
Glückwunsch, die Bedrohungslage ist immer hoch.
Das Zentrum kann lange auf seinen Einsatz warten, da die Annahmen
falsch sind:
Es wird sehr wahrscheinlich nie einen "Großangriff" auf die IT der
Behörden und des Bundes geben, sondern sie finden jede Minute, Stunde
und zu jeder Tages- und Nachtzeit statt; ganz klein und leise an
vielen Fronten...
Daher fängt IT Sicherheit auch nicht an, wenn der Angriff schon schon
vorbei ist und ein Angriff kann dann auch nicht mehr wirklich
abgewehrt werden. Sie muss kontinuierlich aufrechterhalten
werden.
Mal davon abgesehen, dass Behörden teilweise weniger als schlechte
Sicherheitsmaßnahmen haben (eigene Erfahrung: Ich habe kurzzeitig in
einer Meldebehörde Akten archiviert, die Passwörter sind der Lacher.
Alle paar Tage hatte ich Zwangsurlaub wegen Conficker (im Jahr
2012!)), können viele Behörden einen Hackerangriff gar nicht
erkennen. Ergo kommt in dem "Kompetenzzentrum" überhaupt nichts an!
Aber es muss ja immer etwas "Vorzeigbares" sein, statt dem BSI, das
an sich einen guten Job macht und genug gute Richtlinen aufgestellt
hat, mehr Kompetenzen zukommen zu lassen und regelmäßige und
verpflichtende Sicherheitsaudits der Behörden und deren
Dienstleistern einzuführen. Gleichzeitig muss das Personal, im
speziellen IT,
aber auch der normale Anwender, entsprechend geschult und deren
Wissen regelmäßig überprüft und aufgefrischt werden.
Sicherheit in der IT erreicht man nicht durch Reaktion, sondern durch
einen kontinuierlichen und strukturierten Prozess bis hinunter zum
Anwender.
Wie es läuft zeigt doch Merkel am besten: Sie hatte zwar alle Mittel
sicher zu kommunizieren, aber nutze dennoch ihr privates Handy.
Wie hätte denn nun das Cyber-"Abwehr"-Zentrum die Gefahr abwehren
sollen, wenn niemand einen Audit durchführt?
klar, dass das das nichts wird.
Sicherheit in der IT, gerade wenn es um die _bundesweite_ Sicherheit
geht, kann solch ein Zentrum niemals leisten.
Hier wurden Methoden aus dem Militär und Politik auf die IT
Sicherheit übertragen, die nutzlos sind. Ein paar Hansel, die die
aktuelle Bedrohungslage bewerten und diskutieren! Herzlichen
Glückwunsch, die Bedrohungslage ist immer hoch.
Das Zentrum kann lange auf seinen Einsatz warten, da die Annahmen
falsch sind:
Es wird sehr wahrscheinlich nie einen "Großangriff" auf die IT der
Behörden und des Bundes geben, sondern sie finden jede Minute, Stunde
und zu jeder Tages- und Nachtzeit statt; ganz klein und leise an
vielen Fronten...
Daher fängt IT Sicherheit auch nicht an, wenn der Angriff schon schon
vorbei ist und ein Angriff kann dann auch nicht mehr wirklich
abgewehrt werden. Sie muss kontinuierlich aufrechterhalten
werden.
Mal davon abgesehen, dass Behörden teilweise weniger als schlechte
Sicherheitsmaßnahmen haben (eigene Erfahrung: Ich habe kurzzeitig in
einer Meldebehörde Akten archiviert, die Passwörter sind der Lacher.
Alle paar Tage hatte ich Zwangsurlaub wegen Conficker (im Jahr
2012!)), können viele Behörden einen Hackerangriff gar nicht
erkennen. Ergo kommt in dem "Kompetenzzentrum" überhaupt nichts an!
Aber es muss ja immer etwas "Vorzeigbares" sein, statt dem BSI, das
an sich einen guten Job macht und genug gute Richtlinen aufgestellt
hat, mehr Kompetenzen zukommen zu lassen und regelmäßige und
verpflichtende Sicherheitsaudits der Behörden und deren
Dienstleistern einzuführen. Gleichzeitig muss das Personal, im
speziellen IT,
aber auch der normale Anwender, entsprechend geschult und deren
Wissen regelmäßig überprüft und aufgefrischt werden.
Sicherheit in der IT erreicht man nicht durch Reaktion, sondern durch
einen kontinuierlichen und strukturierten Prozess bis hinunter zum
Anwender.
Wie es läuft zeigt doch Merkel am besten: Sie hatte zwar alle Mittel
sicher zu kommunizieren, aber nutze dennoch ihr privates Handy.
Wie hätte denn nun das Cyber-"Abwehr"-Zentrum die Gefahr abwehren
sollen, wenn niemand einen Audit durchführt?