BIG BROTHER ist nicht mehr alleine – Digitalisierung frisst unser Leben

Publizierter Artikel in KMU-Rundschau

kmuRUNDSCHAU_01_2017_PrivacySecurity

 

Advertisements

ISACA 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management

cloud-big-data-mega-stream-security

>> Publizierter Artikel im Swiss IT Magazine / Swiss IT Reseller von ISACA ITM2014_09_ISACA_03

Der Titel dieses Artikels will aussagen, dass es die 100% Sicherheit nicht gibt – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Empfehlungen / Methoden / Compliance Anforderungen / Regulatoren / Zertifizierungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, CISA, CISM, ISO 22301/BCMS, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001 ISMS, IEC17799, SOX, IT GSHB, DSG, VDSG können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken.
Jedoch sind diese eben “nur generisch” und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele (z.B. mittels ICT-Governance) der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet und verwaltet werden müssen – und dies auf Ebene der Führung oder Verwaltungsrat.
Innerhalb des Risk-Management-System / ICT-Governance geht es um einen laufenden Loop von “Erkennung”, “Bewertung und Klassifizierung”, “Managen” und “Ueberwachung und Kommunikation”
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: “Es ist vieles abdeckbar mit den Akteuren Menschen, Prozessen, ICT-Technologien und vorallem Baseline / Tests / Monitoring. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich etwas mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System”

DatenSCHUTZ in der DatenFLUT ?
Ein kleines Rinnsal und dessen bescheidener Wasserfluss mit Sicht auf den Grund zu überwachen, ist einfacher als ein grosser Fluss mit einem reissenden und mitunter auch wellenden und zunehmend jährlich anwachsenden Wasserstrom ohne Sicht auf den Grund …
Diese einfache Analogie zeigt das zunehmende Problem auf, in diesem Datenschutz- und Sicherheits-Bereich im Zeitalter der hochdynamischen Entwicklung in Bereichen wie z.B. Cloud, Big Data, Internet der Dinge und letztlich der fortschreitenden digitalen Transformationsprozessen.

Die digitale Transformation und Wandlungsdruck der Informationsgesellschaft hat interdisziplinäre Auswirkungen – auch im Sicherheits-Bereich
Die heutigen und vorallem die künftige Bedürfnisse und dessen Auswirkungen der Informationsgesellschaft betrifft mittlerweilen globale Prozesse, Technologien und lassen sich nicht mehr isoliert betrachten und abdecken. Es braucht zunehmend interdisziplinäre Zusammenarbeiten von Akteuren von z.B. Gesellschaft, Politik, Technologie, Wissenschaft, Ausbildung (z.B. nur schon Sensibilisierung zu Sicherheitsthemen) und auch Spezialthemen wie auch Psychologie oder Management-Ansätze damit dieses entstehende Next Generation Informationsuniversum an Mensch und Maschine mehr Nutzen als Schaden mit sich bringt und so gut es (hoffentlich noch) geht auch beherrschbar bleibt – auch eben in datenschutz- und sicherheits-technischen Aspekten  und auch Auswirkungen auf die jeweilige ICT-Firmenstrategie und Firmen-Compliance- und Governance-Anforderungen.
Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT (und auch die ICT-Sicherheit) wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

The new Economy versprach und vernichtete vieles… Wertschöpfung durch „sichere“ ICT
Vor zirka 15 Jahren versprachen viele Berater, Strategien, Firmen, Leadership-Methoden, Führung ein ungeahntes Potential in den Bereichen Internet, E-Business etc. und viele Firmen, Organisationen, Technologien wuchsen ins Unermessliche an ohne auch z.B. die Prozesse, Sicherheit, Risiken und nötigen Organisationsanpassungen zu prüfen und anzupassen.
Die DOT.COM-Blase platzte entsprechend und auch die ICT-Industrie litt stark darunter als damals als reiner Kostenfaktor und Wertvernichter deklariertes notwendiges Uebel.
Damit die ICT zunehmend entscheidend unterstützen kann zur Wertschöpfung und Effizienzsteigerung / Business-Support braucht es immer noch entsprechende überzeugende „Missionarsarbeit“ und zunehmende abgesicherte / überwachte Prozesse aufgrund der zunehmend business-kritischen ICT.

Ein Teil des Internet – Internet ein Teil von uns – Big Brother is watching us in our „smart“ homes
Vor nicht allzu langer Zeit war das unsichere Internet isoliert begrenzt auf einen Firmen- oder Heim-Computer. Mit der fortschreitenden Entwicklung von Internet- / Cloud-Lösungen und wachsender Mobilität mittels z.B. Smartphones, Notebooks, HomeOffice-Arbeit schwindete die Grenze zwischen Privat und Business zunehmend – und letztlich auch die Gesamt-Sicherheit.
Weitere Entwicklungen im Bereich der Heimvernetzung und letztlich „Internet der Dinge“ wird dazu beitragen, dass wir nicht mehr nur ein Teil des Internets sind sondern das Internet ein Teil von uns wird. Dass dann hierbei Unmengen von (hoffentlich) erwünschten und auch unerwünschten Informationen in alle Richtungen fliessen werden im gesamten Haushalt / Haustechnik / HomeOffice-Firmen-EDV / Privat-EDV und speziell auch Kinder-EDV wird weitere Fragen und Herausforderungen der beherrschbaren Sicherheit aufwerfen.
Nur noch dies: globale Internet-Industriegiganten wie z.B. CISCO, Google, Microsoft, Amazon, Siemens sind aufgrund Ihrer Landesherkunft und deren dominanten Verbreitung im Internet und wachsenden totalen Vernetzung, auf Internet-Core-Infrastruktur-Bereichen und dem künftigen „Internet der Dinge“ letztlich überall „allzu sehr heimisch“ in unseren Haushalten, Firmen und Netzwerken – und immer wieder mit dem irgendwo hinterlegten „Master-Passepartout-Datenschlüssel“ ausgestattet genau zu beobachten … oder werden diese gar mal genötigt, regulatorisch vorgegebene Staats-Trojaner zu „akzeptieren“ oder „mit zu implementieren“ (?)
Hoffen wir doch, dass künftig die Hacker nicht via Kühlschrank zu uns kommen oder deren eigene Leibspeisen zu uns nach hause bestellen … oder uns ein- oder raus-sperren via Türen-Management-System.
Unsere „connected smart homes“ mögen zwar irgendwann smart sein… aber auch wirklich sicher ??

Der Schutz der digitalen Identität im 21. Jahrhundert – ein „multifaktoreller“ Widerspruch ?!
Ein Megatrend des plattformübergreifenden „Single Sign On (SSO) / Anmeldung mit nur einer Anmeldung“ im Zuge der standort- und geräte-unabhängigen Zugangsmöglichkeiten auf z.B. Cloud, Social Media, Apps, Firma, Kreditkarte via allen Geräten wie Smartphones, Tablets, Notebooks, PC, Heimgeräte eröffnet völlig neue Konform-Stufen bei auch unschwer zu erkennenden, erhöhten Sicherheits-Gefahren.
Eine sehr grosse Herausforderung wird der künftige Schutz genau dieses zunehmend, konsolidiert zentralen Einstiegspunktes sein, der ja auch irgendwann mal nebst z.B. dem reinen Datenzugang auch weitergehende sehr personensensitive Informationen wie z.B. Bankzugänge, Gesundheitsinformationen, Familie, Kinder schützen wird (hoffentlich).
Dass hier vorallem in den Bereichen wie Social Media (Facebook, Twitter etc.) und Email dermassen unnötig und gefährlich viele personensensitive Daten bereits jetzt schon fahrlässig öffentlich (und teilweise unaufgefordert…) verteilt werden erschwert auch hier der Spagat zwischen Fahrlässigkeit und Sicherheitsanforderung. Leider ist der „gläserne“ Mensch im Internet nicht schwer sichtbar, nur weil er aus Glas ist… im Gegenteil: er macht sich meist selbstverschuldet selber „extrem gläsern“ und sichtbar…
Auch muss zur Kenntnis genommen werden, dass die eigene Identität nicht mehr genügend geschützt ist mir „nur“ Benutzername und Kennwort und es wenigstens jetzt schon z.B. Einmal-Anmelde-Verfahren (OneTimeToken, OTP) gibt.
Den Bedrohungen des 21. Jahrhunderts ist die Authentifizierung per einfacher oder auch zweifacher Anmeldung nicht mehr gewachsen. Eine neue Generation – von gar bewusst system-verteilten und voneinander unabhängigen, nicht konzentriert angreifbaren – (Cloud)-Anmeldelösungen mit dynamischer Multifaktor-Authentifizierung und Authorisierung ist unumgänglich. Diese können dann noch mehrstufig verstärkt werden mit z.B. kontextbasierten Verhaltensmustern, Standortbezogenheit und Echtzeit-Token an persönliche Devices.

Sicherheitsoptimierung durch (Hybrid)Cloud oder Big Data ?
Im Zuge der aktuellen Erkenntnissen rund um die verschiedenen Nachrichtendienste und deren grenzenlosen Datenzugangs-Möglichkeiten und dem offenbaren Trend von „jeder bespitzelt jeden“ stellen sich einige Grundsatzfragen.
Eine Private Cloud ist schon längstens nicht mehr „privat“ – sei es durch Schwachstellen in den Bereichen Prozesse, Technologie oder vorallem  des Menschen / Mitarbeiter – oder eben durch die Nachrichtendienste und künftig der Staaten mit z.B. Staatstrojanern (?)
Wäre aus diesem Aspekt dann die Auslagerung von einzelnen ICT-Themen in die Public Cloud / Hybrid Cloud „sicherer“ und „beherrschbarer“ wenn nur schon mal einer der Haupt-Sicherheits-Risiko-Faktor „Mitarbeiter“ und lokale Prozesse ausgelagert sind?
Eine gezielt, isolierter Sicherheits-Schwachstellen-Angriff auf eine Firmen-ICT-Infrastruktur (inkl. auch physisch vor Ort oder per Social Engineering / Trojaner / Malware etc.) ist natürlich viel einfacher als ein eher ungezielter, nicht isolierbarer Angriff auf eine Public Cloud oder „Mega Cloud“. Die Analogie bei der „Mega Cloud“ zur mühsamen und eher unendlichen Suche nach der bekannten Nadel (Firmendaten) im dann aber SEHR grossen Heuhaufen (Cloud) ist hier mehr als angebracht.
Und leider müssen hier noch weitere Fakten (oder alte Paradigmen) adressiert werden:
Der Datenstandort wird zunehmend irrelevant für die teilweise schon jetzigen oder dann künftigen immer globaler werdenden Sicherheitsfragen.
Zunehmend lassen CH-Firmen sicherheits-relevante Systeme von externen oder gar ausländischen Serviceorganisationen betreiben – inkl. auch grenzüberschreitendem Informationsaustausch.
Ein „sicherer“ Weg (als bisher…) in einen ICT-Transformations-Prozess / Cloud kann also auch – trotz allen anderslautenden Meldungen – gerade darum eine gut orchestrierte Kombination von (Hybrid)Cloud-Lösungen und Managed Services sein. Hier könnte der Ansatz „the very best out of all Clouds“ ein gangbarer Weg sein wenn diese mittels den nötigen Prozessen, Technologien, Mitarbeiter und Risk-Management / ICT-Governance gestützt werden von der Führungsebene und letztlich der Firmen-Strategie und davon abgeleitet der ICT-Strategie.

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatoren oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann “einfach abgehakt”

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits / ICT-Governance sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. “Best Practices” oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das “Abhaken” von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Und trotzdem: Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art “Business Excellence in der ICT”.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das “möglichst Beste aus der Praxis und Theorie” einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.
Eine daraus realisierbare Standardisierung, Automatisierung, Changemanagement oder Homogenisierung von ICT-Prozessen oder ICT-Infrastrukturen kann ein weiteres Nebenprodukt sein hierbei.

Performance- und Sicherheits-Penetration-Tests mit Baselining – einer ist keiner.
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Defiziten in denLerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.
Die eingangs im Artikel angesprochene Analogie zum DatenSCHUTZ in der DatenFLUT (reissender Wasserstrom) zeigt die schwierige Herausforderung auf bei solchen Tests und verlangt immer mehr nach hochspezialisierten Managed Security Services Dienstleistern welche mit z.B. nur Evaluationen von Baselines und dem fortwährenden Monitoring dieser Baselines dann Auffälligkeiten (zu grosser oder zu kleiner Fisch im Fluss…) / Angriffsmuster erkennen, eskalieren und verhindern können – im Gegensatz zum einmaligen Penetration Scan ohne Trends oder brauchbare Vergleiche zu Baselines.
Nebst dem reinen systemtechnischen Ansatz werden auch zunehmend immer mehr z.B. Prozess-, Informationsmanagement- und ICT-Forensik-Spezialisten involviert um möglichst ein breitgefächertes Sensorium aufzubauen.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige einfache Beispiele für die Verdeutlichung)
“Was passiert ab wann bei einem Internet-Zugangs-Ausfall”
“Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?”
“Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung”
“Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen “analogen” Prozessen oder auf dem “Papierweg” weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden”
“Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren”
“Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen”
“Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy”
“Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es übergeordnete Monitoring-Systeme?”
“Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)”
“Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy”
“Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen”
“Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen”
“Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff” “Gibt es ein Change Management für kontrollierte Systemaenderungen”
“Sind die eingesetzten EDV-Mittel genügend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet”
“Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt”
“Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen”
“Ist die externe sichere Backup-Aufbewahrung sichergestellt”

Die Gesamt-Sicherheit braucht auch eine Gesamt-Rahmen-Sicht
Die Gesamt-Sicherheit ist einem gesamten Rahmen zu sehen – beginnen tut diese aber sicherlich in der internen, selbstkritischen Betrachtung von eigenen Prozessen und Infrastrukturen und erst danach bzw. wenn das bereinigt, geklärt, definiert und kontrolliert ist sollte man den Fokus erweitern in Richtung der externen Abhängigkeiten, Hackern, Cloud etc.
Die ICT-Gesamtsicherheit bzw. letztlich die ICT-Strategie ist ein umfassender Gesamt-Prozess und Verantwortlichkeit auf der Führungsebene und nicht nur eine Ansammlung von Technologien / Produkten / Tools.
Der Faktor Mensch ist unter diesem Aspekt wichtiger und heikler als der Faktor Maschine.
Dabei ist auch der übrigbleibende Aspekt des Risk-Managements sehr wichtig.
Eine 100% Sicherheit bei Mensch und Maschine gibt es nicht und wird es nie geben und hier ist es die Aufgabe der Führungsebene oder Kontroll-Gremien (Audit, IKS, Controlling) genau diese Rest-Risiken zu identifizieren, zu werten, zu testen und mit gangbaren präventiven Massnahmen und Prozessen zu reduzieren und sporadisch zu prüfen (so gut es geht eben …)
Aus diesen Aspekten heraus empfehle ich: Bevor irgendwelcher externer, technischer Schutzwall aufgebaut wird, sollte man als Basis die internen Prozesse / Sicherheit / Risk-Management optimieren und möglichst „zukunftsgewappnet“ transformieren.

Eine „sichere“ Informations-Zukunft und nachhaltiges System-Wachstum braucht ein „sicheres“ interdisziplinär abgestütztes Rückgrat
Letztlich ist es so, dass „sichere“ ICT-Services / ICT-Prozesse das Rückgrat sind von „modern Business“ und der voranschreitenden digitalen Transformations-Prozessen und dem ansteigenden Wandlungsdruck.
Auch die Globalisierung / New Economy ist mitunter mitverantwortlich für einen schon lange andauernden, grenzüberschreitenden Informations-Austausch. Und hier sprechen wir von unterschiedlichsten Grenzen (z.B. Geografie, Systeme, Private-Business, Politik, Behörden, Gesellschaft, Bildung, Health, Wissenschaft, Wirtschaft, Märkte) welche zunehmend nur in einer interdisziplinären Zusammenarbeit möglichst gut „abgesichert“ werden können mit allen Akteuren und dem gemeinsamen Ziel eines nachhaltigen, sicheren Global-System-Wachstums.

Ueberwachung total – big brother / Big Data is watching or doesn’t care ?

big-brother-ueberwachung-staatstrojaner Bedarf_Lupe_PC_Monitor_Untersuchung

Maßnahmen der Überwachung können der Erhöhung der Sicherheit des menschlichen Lebens dienen, der Beobachtung von Naturerscheinungen, militärisch-nachrichtendienstlichen Zwecken, oder dem Werterhalt von Bauwerken und Investitionen
Ach ja?!

So lange es sich um „reines“ Monitoring von z.B. Naturgefahren oder technischen Anlagen handelt haben wenige was dagegen. Hinsichtlich den durch diese Messungen und Auswertungen realisierbaren Vorhersagen oder Trendauswertungen  für die Verhinderung oder wenigstens Frühalarmierung von Ereignissen wie z.B. Brand, Einbruch, Flugverkehrsproblemen, Verkehrstaus oder dann in extremis Atom-Ereignis, Tsunami, Angriffen entstehen echte, nutzbare „Mehrwerte“. Oder: ein Monitoring oder Trend-Auffälligkeiten welche via einer sicherlich bald verfügbaren aktiven „Health-Card“ Menschenleben retten oder verlängern kann wird – mit noch offenen Sicherheits-Themen, Interessen- und Ethik-Konflikten – ein Mehrwert darstellen wenn diese sinnvoll eingesetzt würde.

Mehrwerte – für wen?
Diese Mehrwerte sind immer relativ zum Auswertenden. Früher waren diese dann laufend erweiterten Mehrwerte, Ueberwachungen und Inhalte für halt dann leider auch z.B. Fichen-Akten, Stasi und auch Wirtschafts-Spionage und letztlich die Staaten.
Trotzdem profitieren wir heute auch von diesen Mehrwerten. z.B. Videoaufzeichnungen zur Steigerung der Sicherheit von Tiefgaragen / Wertobjekten / öffentlichen Plätzen, Kreditkarten-Bezugs-/Sperren aufgrund von neuartigen Mechanismen wie z.B. Geo-Location / Einkaufs-Verhalten schützen uns von Kontenplünderungen oder Shop-Einkäufen ab fremden oder ungewohnten Standorten oder Identitäten. Oder: Was sagen die Ermittlungsbehörden heutzutage an den Angehörigen oder Eltern auf die Frage hin ob das allenfalls „mitentführte“ Smartphone geortet werden konnte bzw. wieso „um Gottes Willen“ nicht ??

Handy und GPS – Segen und Fluch
Zum Höhepunkt der Telefonüberwachung – mit damals noch einfachen und teilweise halt auch „hörbaren“ Abhörmethoden – gesellten sich neue Zielobjekte wie die kofferraumgrossen Natels dazu, begleitet mit weiteren tragbaren Sensoren wie GPS-Empfänger.
Der Start der totalen Mobilität und dadurch auch der totalen Ueberwachung verdanken wir unteranderem auch der laufenden Weiterentwicklung von den überall integrierten Sensoren.
Fortan war jeder mittels seinem Handy oder GPS-Empfänger relativ einfach auffindbar innerhalb der jeweiligen Sende-Zelle des Mobilfunkanbieters (damals noch relativ gross-maschig) oder der GPS-Koordinaten. Auch entstanden neue bequem per Webbrowser aufrufbare Funktionen wie z.B. das Auffinden des Smartphones auf einer Google-Karte mit einer Genauigkeit je nach Mobil-Funk-Zellen-Dichte von einzelnen hundert Metern (Dumm nur wenn jemand das macht für nicht nur sein eigenes Smartphone …)

Maschinen sandten dumme Signale / Roh-Daten – Menschen senden fixfertig auswertbare Informationen
Die fortschreitende rasche Weiterentwicklung des Internets, Smartphones, Social Media komprimierten die Informationsdichte und Informationskadenz der Teilnehmer und die Ueberwachenden musste nichts mehr gross auswerten … „Hallo Welt! Ich bin gerade im Kino Maxx in der Reihe 8 und später im Club X-Tra …“ Das Privatleben wurde zum Publicleben. Big Brother ursprünglich im Fernsehen – und später selbstverschudelt im Privatleben / Social Media … – wurde normal und akzeptiert. Und ploetzlich erachteten wir diese Art von Überwachung toll!

Generation XY – Ueberwachung ja (gerne sogar …) – Streetview? Nein!!
Diese Art von Exhibitionismus eröffneten nicht nur an den „bösen“ Ueberwacher ungeahnte Möglichkeiten … Die „guten“ Datensammler und Auswerter wie z.B. Google, Facebook, Twitter, Blogs, Xing, Amazon bekamen zunehmend gratis Informationen zugespielt zu Surf- und Einkaufs-Verhalten und offenbar hat niemand so  richtig was dagegen bzw. nimmt das stillschweigend hin. Die allgemeinen Geschäftsbedingungen werden ja eh nicht gelassen oder nicht vollständig verstanden – also mal einfach toleriert.
Umso mehr befremdend ist es wenn dann der Volksmund oder teilweise die gleichen Informations-Lieferanten (noch) Vorbehalte hegen gegen z.B. Google Streetview wo sie allenfalls sogar noch (ach wie schrecklich…) erkannt werden könnten auf einer Strassen-Aufnahme … Wie war das noch genau mit den hunderten von Privat-Fotos, Selfies auf Facebook etc. ?! Google mag ein „Daten-Kracke“ sein, aber die Online-Menschen sind regelrechte „Daten-Schleudern“

Wir ziehen uns schließlich auch keine schusssichere Weste an, bevor wir das Haus verlassen!
Also schützen wir uns (leider) auch meist nicht sonderlich speziell gegen Datenmissbräuchen im Internet oder Social Media Kanälen. Wir schützen unsere Daten nicht, wir schleudern diese in die ganze Welt!

„Oeffentliche“ No-Spy-Abkommen zwischen den Staaten mussten her – bei gleichzeitigem dadurch nötigem Rückzug in die „geheimen“ Dunkelkammern.
Fortan war die Ueberwachung und Spionage von Staaten, Firmen nicht mehr öffentlich (nur noch eben in den Dunkelkammern) erlaubt. Die Ueberwachung des Privatlebens – der Mensch und seine Intimsphäre – mussten nicht mehr geregelt werden: Dieses Privatleben war schon lange seitens der Menschen selber halb-öffentlich einsehbar und abonnierbar verfügbar auf mehreren Social Media Kanälen.

Böser BigBrother! Lieber Mitarbeiter!
Das Controlling in den Firmen in Bereichen wie Finanzen, Risiken, Prozessen wurde bald mal im Interesse der Organisation erweitert auf den Mitarbeiter.
Es bestanden jedoch noch viele Lücken und fehlende Gesetze, Vorschriften und letztlich nicht existente Arbeitsvertrags-Bestandteile welche diese Art von Mitarbeiter-Ueberwachung und Mitarbeiter-Controlling erschwerten und mitunter zu stümperhaften Massnahmen wie z.B. illegale Videoüberwachung an den verrücktesten Arbeitsbereichen, ebenfalls gesetzwidrige Anwender- und System-Aufzeichnungen oder Mail- und Internet-Verhaltens-Auswertungen führten. Sogenannte ICT-Security Policies für Mitarbeiter mit der klaren Kommunikation und technischen Hinweisen zu möglichen Auswertungen bei Verdachtsmomenten oder zum Schutze der Firmendaten / Firmennetzwerk sind bei weitem noch nicht verbreitet. Die bedarfsgerechte Entwicklung und Definition muss auch sauber begleitet sein von parallel laufenden Massnahmen wie z.B. Mitarbeiterinformation, Mitarbeiterschulung, Sensibilierungen oder gar entsprechenden Sicherheits-Tests. Das unverändert grösste Risiko in einer Organisation ist und bleibt der Mensch. Schon lange richten sich professionelle Attacken, Spionageversuche zielgerichtet und ausgeklügelt an die Mitarbeiter selber (sogenanntes „Social Engineering“). Es gibt diverse haarsträubende aber halt menschliche Erfolgs-Beispiele wie z.B. „Ich bin von der IT-Abteilung / von der Bank. Könnte ich kurz Ihr Zugangs-Kennwort haben?“, „Darf ich kurz auf Ihrem Bildschirm zugreifen per Fernsupport“, „bitte klicken Sie in diesem Mail auf den Link und geben Sie Ihre Daten ein“. Die andere dunklere und letztlich sicherheitstechnisch ausnutzbare Seite des Sicherheits-Faktors Mensch sind unteranderem auch Bestechlichkeit, Unzufriedenheit, Rache, Mobbing welche dann auch zu ungefragten Datenherausgaben / Sicherheitslücken führen können.

Rasterfahndung / Profiling / Auffallen (um jeden Preis?)
Wer die „Fenster-Rolladen“ die ganze Zeit unten hat ist auch im alltäglichen Leben auffallend und wird näher kontrolliert … Rasterfahndung-artige Ueberwachungen von Telefonaten / Emails / Internet-Verkehr nach Schlüsselwörtern wie „Bombe“, „Angriff“ waren natürlich speziell ein Thema nach dem Weltereignis 9/11. Eine neue und erweiterte Art von Profiling aufgrund von Datenerhebungen / Datenauswertungen im grossen Stil (Big Data, Data Mining) fand Einzug in der Staats-Ueberwachung. Viele Organisationen und Gruppierungen suchten dann entsprechend andere Wege in ebenfalls „Dunkelkammern“ und im Verborgenen. Diese vermeintliche Unauffälligkeit war in sich wieder auffällig. Die Frage stellt sich auch mal in die entgegengesetzte Richtung: Besteht eine „Art“ Sicherheit durch „taktische“ Offenheit.

Staats-Trojaner, Daten-Vorratsspeicherung – wieso auch: NSA machte das ohne Gesetz
Es scheint, dass ein gesundes Mass an sinnvoll vertretbarer Ueberwachung akzeptiert oder gar erwünscht ist aus genannten Gründen, Beispielen und gar Mehrwerten je nach der Art und Weise der Ueberwachung und Auswertung. Das ganze wird dann jedoch problematisch wenn dann gewisse Aktivitäten auf Vorrat und ohne erhärtete Verdachtsmomente erfolgen – der sogenannten „Vorrats-Datenspeicherung“ (ein Art von laufender Ueberwachung ohne Grund).
Auch ich kann davon mit einem Beispiel berichten als wir als Internet-Provider gegenüber des Bundes die Mailüberwachung aktivieren mussten. Diese Mailüberwachung zeichnete KEINEN laufenden Emailverkehr auf, konnte dann jedoch bei Bedarf und gemäss richterlichem Beschluss initiiert werden mit einem offiziellen Ablauf und vordefiniertem Prozess.
Es scheint jedoch – im nachhinein betrachtet – dass alle diese verabschiedeten und auferlegten Massnahmen im Verhältnis zur effektiven Eintrittswahrscheinlichkeit in einem unertragbaren Missverhältnis zum Aufwand und Administration stand.
Der Fall der Staats-Spionage seitens z.B. NSA (die werden nicht die einzigen sein …) hat einem aufgezeigt, dass eine vermeintliche oder staatlich vorgegebene Ueberwachungs-Massnahme absolut lächerlich erscheint im Vergleich zu den bereits seit Jahren laufenden anderen Aktivitäten in der globalisierte und total vernetzten Welt …

Cyberwar und Staats- / Firmen-Spionagen auf Befehl!
Es gibt viele Berichte und Hinweise (unteranderem vom CCC Chaos Computer Club und der Fachpresse), dass nachverfolgbar aus militärischen Einrichtungen / Geländen / Gebäuden riesengrosser Datenverkehr und gezielte Anfragen oder Angriffs-Versuche erfolgen mit einer minutiös geplanten und sehr systematischen (offenbar hoch-standardisierten) Vorgehensweise … und dies ja nachvollziehbar auf Befehl hin vom Staat oder Militärs / Firmen.
Auch sehr erfolgreich geführte und gewonnene Kriege mittels internetbasierten „Social Media Revolutionen“ oder „Shit Storms gegen Personen und Firmen“ sind ernstzunehmende Angriffs-Gefahren für alle.

Wettrüsten? Welche Mittel für den neuen, künftigen Krieg?
Man muss kein Militär-Experte sein um feststellen zu können, dass der „Gripen-Kauf“ in der Schweiz in Anbetracht der Eintrittswahrscheinlichkeit eines solchen kriegerischen Ereignisses THEORETISCH alle paar Jahrzente passieren kann… die Angriffe jedoch im Cyberwar von Staatstrojanern / Hackern / Internet-Spionage passieren PRAKTISCH TAEGLICH – und dies Tag und Nacht. Es stellt sich die Frage für was wir den als Beispiel eben unseren Luftraum schützen mit neuen „Gripen“ und aber die viele nähere – und bereits in unseren Privaträumen und Firmen eingeschleuste – Gefahr aus dem Internet und ebenso aus unseren eigenen Reihen (Staat, Bundespolizei) offenbar noch nicht adäquat bekämpfen?

Echte Gefahren und auch Staats-Uebungen müssen jedem Bürger zu denken geben!
Es kommt entsprechend nicht von ungefähr wenn der Bund in einem gross angelegten Uebungs-Szenario von folgenden Umständen ausgeht in deren Uebungs-Umgebung: „Ein Cyber-Angriff legt die Stromversorgung lahm und führt auch zu massiven Störungen und gar radioaktiven Austritten in Atom-Kraftwerken nach entsprechenden weiteren System-Ausfällen auf der Zeitachse“ … Was macht nun das Militär? Wo sind oder was nützen dann die neuen „Gripen“-Flugzeuge? Weiteres Beispiel: Was würde passieren wenn jemand die Wasserversorgung von Gross-Städten hinsichtlich der Sensoren, Hygiene auf technischer Ebene manipulieren würde (selbstverständlich auch die Ausfall-Sicherungen und Zusatz-Ueberwachungs-Mechanismen und auch simplen physikalischen / chemischen Systeme) mit dem Ziel das Wasser kontaminieren?

Neue Bundesstellen und Experten-Gruppen: Unterstützung oder nicht für das hoffentlich schon vorhandene Risk-Management und durchdachten Notfall-Szenarien?
Es gibt schon länger seitens Bund ins Leben gerufene Bundesstellen und auch neu einer speziellen Experten-Gruppen die sich mit den entsprechenden Risiken und Gegenmassnahmen befassen. Ich hoffe, dass diese Experten-Gruppen auch was hinterfragen bezüglich der landes-inneren Sicherheit oder Ueberwachungs-Gelüsten von manchen Politikern, Bund und Firmen selber. Experten-Gruppen sind immer so gut wie umfassend und möglichst breitgefächert diese aufgestellt ist und möglichst viele Querinputs aus den unterschiedlichsten Fragestellungen, Disziplinen und Gesamt-Risk-Management einbringen kann. Aus Interesse wurde auch ich vorstellig und wurde kontaktiert von 2 Personen von Bundesbern (übrigens auch andere Unternehmer-Kollegen) und informiert über das Interesse und die nächsten denkbaren Schritte der Experten-Gruppen-Bildung. Weder meine Unternehmer-Kollegen noch ich hörten wieder was – trotz auch höflichem Nachfragen … Wie wollen solche Bundes-Stellen die Landesgrenzen oder das Land schützen wenn nicht mal die x-tausenden von Firmen und Privat-Personen über adäquate Sicherheits-Technologien und Sicherheits-Prozesse verfügen und so die innere Sicherheit oder Einstiegs-Schleusen (Backdoors) jenseits der theoretisch geschützten Grenzen eröffnen und anbieten??!

Das Wettrüsten geht weiter nach der Schaffung von neuen Staats-Stellen, Experten-Gruppen („Menschen“) und Prozess-Definitionen mit neuen Technologien und „Maschinen“
Ein regelrechter Ueberwachungs- und Spionage-Boom floriert und Staats-Behörden wie halt auch die amerikanische NSA lässt die Muskeln spielen mit einer Riesen-Maschinerie von leistungsfähigsten Rechnern, Netzwerken, Analyse-Algorithmen.
Die staatlich geprüften und beauftragten Daten-Sammler, Daten-Schnüffler und Hackers entwickeln die Systeme weiter und verlangen / brauchen immer leistungsfähigere Systeme und Gross-Rechner. Das „Quanten-Computing“ ist schon längstens Realität in den Dunkelkammern und die entsprechende auswertbare Datenmenge (Stichworte: Big Data, Data Mining) ist gigantisch und die Auswertbarkeiten und Trefferquoten von Algorithmen erschreckend.

Schreckensgespenst Big Data aus der Dunkelkammer ?! Gutes Big Data, böses Big Data?
Für jedes durchaus positive Beispiel und Riesenpotential von Big Data / Data Mining im öffentlichen Leben / Privatsphäre fallen mir ebenso halt auch Horrorszenarien ein leider … aber: wir werden in gewissen Bereichen wie z.B. Forschung, Medizin, Umweltvorhersagen, Welternährung, , Kryptografie, Sicherheit, Innovationen nicht um das „gute“ Big Data drumherum kommen für nächste nötige echte (R)Evolutions-Stufen

Innovationen durch Big Data? Welt-Macht!?
Das automatisch fahrende GOOGLE-Auto welches – ausgestattet mit z.B. 64 Lasern – die Umgebung in Echtzeit erfasst und auswertet und zusammen mit vorhandenem Datenmaterial wie Google Maps, Google Streetview kombiniert und das Auto „automatisch“ fahren lässt wird schon länger erprobt und hat bereits eine Zulassung erhalten in der USA in Nevada.
Google scheint ja wirklich nett zu sein ?! Dass dabei jedoch gleichzeitig die Fahrzeuge aktuelle Echtzeit-Daten direkt zurückspeisen zum „Daten-Kracke“ Google liegt auf der Hand und stärkt die Daten-Macht und Markt-Position weiter… Wird mal aus solchen Daten-Machten eine Welt-Macht wie die USA oder Russland?

Schutz in Mega-Datacenters oder Mega-Clouds? Die Nadel im Heuhaufen finden
In Anbetracht von Themen wie Big Data und gezielten Personen- und Firmen-Spionagen muss man ja beinahe darüber nachdenken ob künftig der „beste“ Schutz gegeben ist bei möglichst den grössten Anbietern mit den grössten Datenmengen welche dann schwerer auszuwerten wären aufgrund der Datenmengen (Datenmenge pro Zeiteinheit versus Auswertbarkeit durch Daten-Schnüffler – oder einfachere Analogie: Die Nadel im Heuhaufen finden) Auch hier geht es letztlich nicht mehr um Technologie-Fragen sondern um das persönliche oder firmen-relevante Risk-Management. Das Risiko ist allgegenwärtig und muss richtig klassifiziert / bewertet zu den richtigen Schlüssen / Vorkehrungen und Gegenmassnahmen führen. Und dies muss nicht immer zwingend auf technischer Ebene erfolgen.

Zitate:
«Voltaire sagte vor 200 Jahren, die Gedanken sind frei. Nun gilt scheinbar: ‚Die Gedanken sind frei zugänglich»

Weiterlesen