Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
KAPITEL 4. POLICY, VORFALLSBEARBEITUNG, SCHWACHSTELLENANALYSE<br />
schlossen. Die Umsetzung e<strong>in</strong>er Policy und die Kontrolle dieser Umsetzung s<strong>in</strong>d e<strong>in</strong> ebenso wichtiger<br />
Teil wie die eigentliche Erstellung.<br />
Am Anfang der Umsetzung steht die Unterrichtung aller Mitarbeiter. Die Policy und ihre e<strong>in</strong>zelnen<br />
Regeln sollten nicht e<strong>in</strong>fach nur e<strong>in</strong>gesetzt werden, sondern alle „Betroffenen“ müssen ausführlich<br />
darüber <strong>in</strong>formiert werden. Dabei ist es wichtig, daß die e<strong>in</strong>zelnen Regelungen erklärt werden und<br />
auch die Gründe genannt werden, warum die jeweiligen Regelungen so getroffen wurden. Zusätzlich<br />
s<strong>in</strong>d Informationen s<strong>in</strong>nvoll, wie die Regelungen am besten umzusetzen s<strong>in</strong>d.<br />
Bei der ersten E<strong>in</strong>setzung der Policy sollte e<strong>in</strong>e Schulung für alle Mitarbeiter durchgeführt werden, <strong>in</strong><br />
der die Policy und das zugrundeliegende <strong>Sicherheit</strong>skonzept vermittelt werden. Diese Schulung muß,<br />
um effektiv zu se<strong>in</strong>, <strong>in</strong> regelmäßigen Abständen wiederholt werden. Auch sollten neue Mitarbeiter<br />
zu Beg<strong>in</strong>n ihrer Tätigkeit über die Policy <strong>in</strong>formiert werden. Zusätzlich zu den Schulungen sollte<br />
auch regelmäßig Feedback von den Mitarbeitern gesammelt werden, wie die Umsetzung <strong>in</strong> der Praxis<br />
funktioniert. So können Fehler und Probleme mit der Policy frühzeitig erkannt und behoben werden.<br />
Es gibt e<strong>in</strong>e ganze Reihe von D<strong>in</strong>gen, die die Umsetzung e<strong>in</strong>er Policy beh<strong>in</strong>dern können oder diese<br />
<strong>in</strong>effektiv machen:<br />
¯ Unverständnis bei Mitarbeitern oder Managern:<br />
Besonders <strong>in</strong> den Anfängen ist es wahrsche<strong>in</strong>lich, daß Mitarbeiter oder Manager nicht mit den<br />
Regelungen e<strong>in</strong>verstanden s<strong>in</strong>d; besonders <strong>in</strong> Bereichen, <strong>in</strong> denen <strong>Sicherheit</strong>smaßnahmen ihre<br />
Möglichkeiten oder Kompetenzen beschränken. Und alle<strong>in</strong> der Widerstand, von e<strong>in</strong>er Vorgehensweise<br />
<strong>in</strong> e<strong>in</strong>e andere zu wechseln, kann beachtlich se<strong>in</strong>. E<strong>in</strong>gefahrene Strukturen <strong>in</strong> Arbeitsabläufen<br />
halten sich oft hartnäckig („das haben wir schon immer so gemacht“).<br />
¯ Mangel an Erfahrung bei der Umsetzung:<br />
Für viele Mitarbeiter wird es neu se<strong>in</strong>, nach e<strong>in</strong>er Policy zu arbeiten. Erfahrungen, wie Regelungen<br />
am besten umzusetzen s<strong>in</strong>d, oder gar Rout<strong>in</strong>e fehlen oft oder s<strong>in</strong>d nur unzureichend. Durch<br />
das Fehlen von Rout<strong>in</strong>e wird die Umsetzung der Policy für die e<strong>in</strong>zelne Mitarbeiter schwieriger<br />
und aufwendiger. Es ist wichtig, daß sowohl die weiterführenden Dokumente wie Richtl<strong>in</strong>ien<br />
ausführlich und verständlich s<strong>in</strong>d, als auch daß Schulung ausreichend durchgeführt wird.<br />
Nur wenn Mitarbeiter e<strong>in</strong> <strong>Sicherheit</strong>sbewußtse<strong>in</strong> haben, nach dem sie <strong>in</strong>tuitiv handeln, kann die<br />
Policy effizient umgesetzt werden. E<strong>in</strong> solches Bewußtse<strong>in</strong> hilft auch bei Bereichen, die nicht<br />
explizit durch die Policy geregelt s<strong>in</strong>d, im S<strong>in</strong>ne der Policy zu handeln.<br />
¯ Mangelnde Durchsetzung von Sanktionen:<br />
E<strong>in</strong> weiterer wichtiger Punkt ist die tatsächliche Durchsetzung von Sanktionen, die <strong>in</strong> der Policy<br />
bei Verstößen def<strong>in</strong>iert werden. Wenn dies nicht passiert, ist die Policy e<strong>in</strong> „Tiger ohne Zähne“.<br />
Fälle, <strong>in</strong> denen e<strong>in</strong> Mitarbeiter verschont wird, weil er <strong>in</strong> e<strong>in</strong>em anderen Projekt gebraucht wird,<br />
untergraben die Autorität der Policy unmittelbar.<br />
In [Garf<strong>in</strong>kel & Spafford 1996, S.39] wird e<strong>in</strong> Fall beschrieben, <strong>in</strong> dem e<strong>in</strong> Programmierer versucht,<br />
<strong>in</strong> das System der Personalbuchhaltung e<strong>in</strong>zudr<strong>in</strong>gen. Auf Drängen des Abteilungsleiters<br />
werden ke<strong>in</strong>e Sanktionen verhängt, da der Programmierer <strong>in</strong> e<strong>in</strong>em Projekt benötigt wird. Drei<br />
Monate später gibt es e<strong>in</strong>en E<strong>in</strong>bruch <strong>in</strong> das Buchhaltungssystem und der Systemverwalter,<br />
der mit dem System betraut war, wird entlassen. Obwohl es sehr wahrsche<strong>in</strong>lich ist, daß der<br />
E<strong>in</strong>brecher derselbe Programmierer ist, bleibt dieser unbehelligt.<br />
66 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>