Sie sind irgendwo über dem Pazifik, es wird Kuchen gereicht, aber der Kaffee ist aus. Ein paar Dinge in der Maschine funktionieren einfach nicht. Die Crew rätselt. Vielleicht eine Fehlprogrammierung? Vielleicht ist es die Kombi aus Flughöhe, Außentemperatur, Zeit und Kerosinverbrauch, die sich auswirkt? Vielleicht das fehlgeleitete Signal eines Smartphones aus der First-Class? Vielleicht eine bewusst herbeigeführte Störung? Auf jeden Fall ist es beunruhigend.
Jede Unterbrechung einer Routine bedeutet Stress.
Zwei Möglichkeiten bieten sich dafür an: Die eine besteht in der Einübung von Notfallplänen. In ihnen wird etwa definiert, wie bei bestimmten Vorfällen zu reagieren ist: Das kennen Sie von der obligatorischen Brandschutzübung oder dem Erste-Hilfe-Lehrgang. Die zweite Möglichkeit liegt in der Möglichkeit, Sicherheitslücken zu erkennen, um sie im Regelbetrieb gar nicht erst entstehen zu lassen.
Das klingt nicht nur spannend, das ist spannend. Denn es dreht den Ansatz um 180 Grad. Der Fachmann sagt dazu Penetrationstest. Letztendlich geht es dabei darum, Schwachstellen zu entdecken und diese zu nutzen. Das Vorgehen muss dabei nicht allein auf die technische Seite beschränkt werden. Jede Schnittstelle ist ein mögliches Einfallstor, ins Innere eines Unternehmens zu gelangen. Jeder Mitarbeiter im Call-Center, jeder Lieferant, der eine Zugangsberechtigung hat, jede E-Mail an die Geschäftsführung, jeder Außendienstler, alle vernetzten Geräte von Kühlschrank über Überwachungskamera bis zum Telefon oder Smartphone – über alle ist es theoretisch und auch praktisch möglich, einen Angriff einzuleiten. Ist der Friendly Hacker, erst einmal im System, schaut er sich um und prüft, welche Optionen ihm dann offenstehen.
Die aus diesem Penetrationstest gewonnenen Erkenntnisse bilden die Grundlage für die Bewertung und Dokumentation der aktuellen Unternehmens- und IT-Sicherheit. Dieses umfangreiche Dossier - wir nennen es Aktionsplan - stellen wir dann zur Verfügung, damit Sie für sich und Ihr Unternehmen die besten Lösungen finden. Gern unterstützen wir Sie dabei, allerdings immer sehr zurückhaltend. Wir wollen uns nicht dem Vorwurf aussetzen, dass wir auf eine bestimmte Weise testen, um ihnen dann Produkte zu verkaufen. Zudem bildet der Penetrationstest auch Bereiche ab, die nicht zwangsläufig mit technischen Einrichtungen zu lösen sind.
IT-Sicherheit ist nur ein Segment der Unternehmenssicherheit, niemals steht IT-Sicherheit allein da. Dementsprechend gilt für dieses weite Feld erst recht die Aussage: Sicherheit ist ein Prozess. Und den begleiten wir gern.
Ihr Gordon Kirstein