Artikelformat

Gedanken: Firmen, Web2.0, Sicherheit

Ich war gestern ehrlich gesagt sehr erstaunt, als ich bei Apfelquak einen Bericht lesen musste, wie eine deutsche Firma ihre komplette Groupware-Aktivitäten auf Google-Server auslagert. Da mich das Thema sehr beschäftigt und mir dort ein wenig der Mund verboten wurde die Diskussion wegen Offtopic-Lastigkeit abgewürgt wurde, schreibe ich einfach mal hier meine Gedanken nieder, da ich denke, dass das ein wichtiges Thema ist und es nicht einfach mit Schwarzmalerei abgetan werden darf. Ich schreibe auch lieber hier, da es sonst etwas stark dort am Thema vorbei gehen würde.

Ich bin selbst ein Kind des Internets und der tollen, neuen Web2.0-Welt. Ich benutze viele Dienste wie Twitter, Google Apps, Del.Icio.Us und bestimmt noch 50zig andere. Ich betreibe ein offenes Blog und man kann mir eigentlich nicht vorwerfen, dass ich in solchen Dingen weltfremd bin. Es geht hier aber nicht um meine private Welt, über die ich alleinige Verantwortung trage, sondern um Firmen, mit Angestellten, vertraulichen Informationen, Patenten, internen Informationsflüssen, die nur innerhalb der Firma ausgetauscht werde dürfen usw. und natürlich Geld.

Wieso greifen Firmen bzw. Mitarbeiter auf Dienste im Internet zu, ohne sich keine bzw. wenig Gedanken um Sicherheitsrisiken zumachen?

Die Frage ist relativ einfach zu beantworten. Viele der uns bekannten Dienste werden kostenlos angeboten und können schon nach wenigen Minuten genutzt werden. Die Einrichtung ist einfach, oft reicht nur eine Mail-Adresse, um sich zu registrieren. Langwierige Beschaffungsvorgänge müssen nicht angestossen werden. Diese Dienste sind von jedem Ort nutzbar, firmeninterne Beschränkungen zB. Netztrennungen ala DMZ oder VPN usw. sind kein Thema. Es werden keine firmeninternen Ressourcen benutzt, der Internetzugang ist ja oft einfach schon da. Man braucht die Plattform nicht pflegen, das übernehmen ja die Dienstleister. Das Leben kann so einfach und unkompliziert sein.

Das sind alles durchaus eingängige Vorteile, die immer wieder Mitarbeiter von Firmen ohne grosses Nachdenken Dienste im Internet nutzen lassen und ohne grosse Absicht Firmeninternas nach außen bringen, die einfach nicht dort hingehören.

Ich werde jetzt einmal ein paar sicher bekannte Risiken ansprechen, um eventuell zu mindestens ein wenig dazu beizutragen, dass man über solche Fragen erst mal nachdenken und dann entscheiden sollte, ob die leichtfertige Nutzung diese Risiken wirklich wert ist.

Der Verlust von Informationen / Datenverlust

In vielen Firmen sind Informationen ein wichtiges Gut und oft sogar überlebensnotwendig. Geraten diese Informationen in fremde Hände könnte das zB. anstehende Patente beeinflussen oder gar Entwicklungen stören, da zB. ein Konkurrent schneller am Markt ist.

Kann man gesetzliche Vorgaben für den Datenschutz und die Datensicherheit überhaupt einhalten, wenn man auf externe Dienstleister setzt? Woher weiß ich, wie zB. Google mit meinem Daten umgeht. Wie werden sie weiterverwendet?

Natürlich haben diese Webserviceanbieter auch ein großes Eigeninteresse an Datenschutz. So würden sie natürlich im Negativfall ihr eigenes Geschäft schädigen. Aber wo sind die Garantien? Bekommt man von Google SLAs angeboten. Wohl kaum.

Gefährdung der Betriebs-Sicherheit durch Social Engineering

Social Engineeringnennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen.“ Diese Art des Angriffs auf IT-Strukturen lassen sich mit gewissen Informationen, wie Kontakte, Termine, Interessen sehr viel einfacher vollziehen als ohne diese Informationen.

Passworte

Aus eigener Erfahrung, weiß ich wie träge Menschen mit dem Umgang von Passworten sind. Oft wird an vielen Stellen ein und das selbe Passwort über einen langen Zeitraum (ich spreche hier von mehreren Jahren) benutzt. Hat man in einer internen IT noch gewisse Möglichkeiten, Mitarbeiten durch zentrale Directorys und Werkzeugen unterstützend zu helfen, bleibt das natürlich beim Benutzen externer Webdienste vollkommen außen vor. So dass man damit rechnen kann, dass auch hier interne User/Passwort-Kombinationen benutzt werden, die nur für sensible Zugänge bestimmt sind.

Rechtsverstöße

Bei der Benutzung von externen IT-Strukturen bzw. einer leichtfertigen Nutzung können leicht NDAs gebrochen werden, die man zB. mit Partnern eingegangen ist. Nicht beabsichtigt. Aber es kann leicht vorkommen.

Dieses kann alles durch mannigfaltige Gründe ausgelöst werden: natürlich können Dienstanbieter Daten missbrauchen. Wie wird dieser Missbrauch rechtlich abgesichert? Der Zugriff von Geheimdiensten oder Behörden ist denkbar. Schwachstellen im Dienst, der Applikation unterstehen nur dem Diensteanbieter. Werden diese rechtzeitig gefixt?

Fazit

Lose Gedanken, lose aneinander gereiht. Nur Gedankenanstösse, mit mehr Zeit könnte man noch viel Tiefer in die Materie einsteigen. Ich male ungern „schwarz“. Ich bin auch ungern der „Spieleverderber“. Aber solche Gedanken sollte man sich, wenn man in Verantwortung ist, auf jeden Fall machen. Und natürlich sind Web2.0-Dienste und Kommunikationen wichtig für viele Firmen. Hier sollte man dann aber wahrscheinlich Mitarbeiter sensibilisieren und aufklären. Ich will auch der oben genannten Firma keine Vorwurf machen. So was steht mir gar nicht zu. Es löste nur in mir einfach den Drang über dieses Thema zu diskutieren aus. Im Endeffekt ist jeder natürlich selbstverantwortlich und ich würde auch niemanden reinreden wollen. Ist auch schwer, wenn die vielen Vorteile nur der ungeliebten Sicherheit gegenüberstehen.

Ich hoffe, ich kann mit diesem kleinen Beitrag ein wenig mit Euch diskutieren. Wie seht ihr diesen Zusammenhang: Web2.0, Sicherheit und der Nutzen in einer Firma? Eher kritisch oder vollkommen unkritisch? Wie sind eure Erfahrungen im Umgang mit solchen Diensten innerhalb einer Firma? Ich freue mich wie jedes Mal über jede Antwort und jeden Beitrag.

Links
http://www.apfelquak.de/2008/10/09/ical-google-iphone-es-geht-tatsaechlich/
http://de.wikipedia.org/wiki/Social_Engineering

Autor: Oliver

Ich bin Oliver und habe den aptgetupdateDE Blog im Juli 2007 aus der Taufe gehoben. Man findet mich auch auf Twitter.

10 Kommentare

  1. Interessanter Beitrag! Und ich muss sagen, dass ich dir eigentlich in den meisten Punkten vollkommen zustimme. Privat und Arbeit sind dann nochmal zwei verschiedene Paar Schuhe. Und wenn ich schon im privaten Bereich Bauchschmerzen bekomme, wenn ich mich zu sehr von einem Dienst (gerne wird hier Google genannt, kann aber auch ganz anders aussehen) abhängig mache, wie soll’s dann im Dienstlichen aussehen?

    Man sollte immer beide Seiten möglichst objektiv betrachten…

  2. sehr gut zusammengefasst mit einem für mich offenen Ende, denn diejenigen, die salesforce.com, zoho.com oder Google Apps verwenden haben sich Gedanken darüber gemacht wie du sind jedoch zu einem anderen Schluß gekommen. Oder nimm netfiles.de, die haben honorige Kunden, die sich Datenräumen mieten. Genauso wird in Due Dilligence Phasen schon lange vorgegangen und zwar aus der Sicherheitsbetrachtung heraus. Egal, gut dass man drüber schreibt ist es alle mal. Das du behauptest, Apfelquak hätte dir den Mund verboten finde ich nicht in Ordnung, weil weder Ad (als Owner) noch ein Autor hat dir etwas untersagt. Es war ein Kommentator der dich auf die Mac – Lastigkeit des Blogs hingewiesen hat. Sonst nix.

  3. @dolce: Stimmt natürlich, habe es auch schon korrigiert. Natürlich hat mir niemand den Mund verboten. Schon gar nicht ad oder du. Aber nach ein paar Kommentaren wurde schnell klar, dass dort der falsche Platz ist für eine solche Diskussion. Mein Ausdruck war falsch gewählt. Sorry.

  4. Ich habe den Beitrag bei Apfelquak auch verfolgt und bin der gleichen Meinung wie Du. Jedem steht es frei zu wählen, aber ich finde es sehr heikel Daten jeglicher Art auf andere Dienste zu verteilen. Wenn es nachzuweisen ist, dass aufgrund eines Dienstes Missbrauch mi Kundendaten getrieben wurde (und davon gehe ich aus), dann ist die Firma schneller weg vom Fenster als sie die Rechner runterfahren kann.
    Web2.0 ist für mich größtenteils privatvergnügen.

  5. Finde das total irrsinnig, was diese Firma da macht. Und zwar egal ob das nun Google ist oder sonst wer. Wie sicher Daten so im allgemeinen bei IRGENDEINEM Anbieter sind, sieht man ja aktuell gerade schön bei der Telekom. Als Firma gibt es für mich nur die Möglichkeit, die Daten unter meiner eigenen Hand zu haben, oder zumindest bei einem Hoster, bei dem ich „meinen“ Server besuchen kann, sprich ich weiss, auf welchem Blech meine Daten liegen, und wie dieses Blech vor physischen Zugriffen geschützt wird. Alles andere ist doch über kurz oder lang der Tod der Firma. Es sind zwar in diesem Fall nur ein paar Kalenderdaten, aber wo will man dann die Grenze ziehen? Wenn diese Überall-verfügbar-Mentalität erstmal in den Köpfen der Mitarbeiter ist, speichert der nächste auch bald seine vertraulichen Dokumente auf einem dropbox-Account…

  6. Es ist auch schwer alle Anbieter über einen Kamm zu ziehen. Darf man sicher nicht. Eigentlich kann man bei einer solchen Betrachtung nur daneben liegen. Man muss sicher zB. unterscheiden, handelt es sich um einen deutschen Dienstanbieter wie zB. netfiles oder ist es ein Anbieter mit einer ganz anderen Rechtsgrundlage.

    Man muss sicher auch ganz klar unterscheiden, ob ein einzelner Mitarbeiter Dienste nutzt oder ob es die Firma in einem anderen Rahmen mit Extraverträge macht.

  7. kritisches Thema – Eckpunkte hast du schon gut angesprochen.

    Für meinne Teil würde ich niemals auf solche Externe zurückgreifen wenn es mit vertretbaren Aufwand auch intern realisierbar ist.

    Ein nicht unwichtiger Aspekt ist aber auch sicherlich dass gerade bei kleinen Firmen die IT oft keine Ahnung von Security / hat und die Problematik auch gerne kleingeredet wird.
    Oder man sich der Problematik garnicht bewusst ist.

    Ich denke bei dem einen oder anderen Kleinunternehmen würde sich z.b. die Verwendung von externen Diensten nicht zwangsläufig aufs Risiko auswirken ;)

    Was mir zu Passwörtern und externen Doienstleistenr da grad noch so einfällt ist Yahoo & Palin … nette Story.

    Trotzdem versuche ich im Arbeitsalltag solche Ideen immer abzuschmettern. Intern -> ist intern und ich habe deutlich besser meinen Finger drauf.

  8. Ich finde, auch private Daten sollten nicht bei solchen Diensten hinterlegt werden. Zumindest keine wichtigen.

    Wie schnell die weg sein können hat man ja schon gesehen, als Flickr seine AGB änderte und manche User erst dann merkten, dass es keine Exportfunktion gibt. Oder als Facebook Robert Scoble rauswarf, weil der seinen „Social Graph“ exportieren wollte.

    Was in die „Cloud“ kommt, hat bei mir alles noch ein „Backup“ auf meiner Platte bzw. auf dem eigenen Server.

  9. Es geht doch um die Verlagerung von Services auf Dritte, also Outsourcing.
    Und gegen Outsourcing ist doch prinzipiell nichts zu sagen. Es kann Effektivitäts- und Wrtschaftlichkeitsvorteile bringen, wenn man es richtig macht.

    Man beachte die Worte „kann“ und „richtig“. Neben Vertrauen geht es vor allem um die Verträge und die Absicherung der Daten – wo man wieder beim Vertrauen wäre…

    Wir als Behörde sind einem regionalen Rechenzentrum (das ausschliesslich für Behörden arbeitet und als kommunaler Zweckverband diesen Behörden gehört) angeschlossen – Teile der IT sind dorthin seit den 70er Jahren outgesourced.

    Und die meisten Steuerberaten hängen an DATEV… auch nix anderes.

  10. Über dieses Thema habe ich auch schon recht lange nachgedacht, da ich als Chef einer kleinen Firma gerne viel per Internet erledigen würde (zentrale Adresserfassung, Terminkalender für das Team, Aufgabenverteilung, etc.). Ich persönlich habe mich gegen einen externen Dienstleister entschieden und werde demnächst mit einem eigenen Kolab-Server arbeiten, obwohl(!) ich privat durchaus GoogleDocs o.ä. nutze, weil es einfach praktisch ist.
    Gerade der hohe Einarbeitungsaufwand lässt kleine Firmen sicher zurückschrecken solche IT selbst zu installieren oder warten. Mir war aber die Privatsphäre wichtiger, außerdem beschäftige ich mich mit solchen nicht-berufsrelevanten Dinge in meiner Freizeit und Linux, Serverdienste etc. sind kein Fremdwort für mich.