Terminologie

Ehrenrettung der gemeinen Sicherheitslücke.

© fotomek - Fotolia.com

30.5.2018 (bz) – Die "Sicherheitslücke" existiert auf Wikipedia nur noch als digitales IT-Phänomen. Gibt es denn gar keine klassischen, sprich analogen, Sicherheitslücken mehr?

 

 

" … zum Beispiel Redundanzversagen".

Ob man nun danach googelt oder gleich auf Wikipedia "nachschlägt" – die "Sicherheitslücke" scheint zu einem reinen IT-Phänomen geworden zu sein: "Eine Sicherheitslücke ist im Gebiet der Informationssicherheit ein Fehler in einer Software, durch den ein Programm mit Schadwirkung (Malware) oder ein Angreifer in ein Computersystem eindringen kann." Google liefert 1.040.000 Treffer, fast alle Digitalthemen: Sicherheitslücken in Chips, Betriebssystemen, Softwareprogrammen, Firewalls, Apps, Sozialen Medien, Netzwerkzugängen, E-Mails, Wearables, Alexa, Passwörtern und, und, und. Auch t-online scheint nur noch IT-Sicherheitslücken zu kennen. Sollte die klassische Sicherheitslücke etwa ausgestorben sein?

Ein Blick in die Fachliteratur beantwortet die Frage nicht wirklich. Es ist ziemlich erstaunlich, aber im mehr als 1.200 Seite starken "Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit" findet sich der Begriff der Sicherheitslücke nur ganz kurz auf zwei Seiten (laut Sachregister). Ganz offenbar scheint er für die professionelle Beschäftigung mit Sicherheiten nicht zwingend nötig zu sein. Es gibt ja mindestens noch Sicherheitsdefizite, -mängel und –Risiken.

Zur Klärung dieser also noch offenen Frage unternahm ich einen spontanen Spaziergang durchs Haus und suchte die einzelnen Redaktionsbüros, respektive die Redaktionskollegen, auf. Letzere sind im Hauptberuf Sicherheitsberater der von zur Mühlen’sche Sicherheitsberatung. Deren beruflicher Lebensinhalt besteht im Prinzip darin, Sicherheitslücken aufzuspüren, zu schließen bzw. vorzubeugen. Und gleich der erste Interviewte antwortete auf die Frage "Was verstehst Du unter einer Sicherheitslücke?":

"Menschen sind immer noch die größten Sicherheitslücken!"

Während für mich das trojanische Pferd Sinnbild aller Sicherheitslücken ist, denken viele Kollegen deutlich technischer:

"Redundanzversagen ist DIE Sicherheitslücke schlechthin",

heißt es von einem Redaktionskollegen. Er meint damit, dass zum Beispiel zwei Stromversorgungen A und B installiert werden in der Hoffnung, dass B bei Ausfall von A einspringt, dann aber doch nicht funktioniert.

Im Weiteren gaben sich schnell zwei Typen von Kollegen zu erkennen: die einen, die sofort ein konkretes Beispiel benennen, und die anderen, die sogleich eine wissenschaftliche-abstrakte Definition liefern. Typ 2 (O-Ton: "Eine Schwachstelle im Sicherheitskonzept, wobei die Homogenität verletzt wird … " oder "Eine Sicherheitslücke erhöht die Eintrittswahrscheinlichkeit eines Schadenereignisses") lassen wir hier einmal außen vor, weil systematische Definitionen rund um Sicherheitsprobleme Sache des Heftes Sicherheits-Berater sind und dort auch regelmäßig abgedruckt werden. Kurzum, hier nachfolgend einmal konkrete Beispiele, wie die Sicherheitslücke von den befragten Kollegen spontan erklärt wurde. Mit einer Sicherheitslücke hat man es demnach zu tun,

  • wenn vertrauliche Unternehmensinformationen ungewollt nach außen dringen,
  • wenn es Mitarbeitern gelingt, unentdeckt Gegenstände mitzunehmen, sprich: zu klauen,
  • wenn Schlupflöcher entstehen,
  • wenn die offiziellen Zufahrtswege abgesichert werden, die Nebenzugänge jedoch nicht,
  • wenn es einen sogenannten Ho-Chi-Minh-Pfad gibt,
  • wenn die Leitstelle als Hochsicherheitstrakt konzipiert wurde und das Fenster im Pausenraum daneben einfach immer offensteht,
  • wenn ein General- oder Gruppenschlüssel verloren geht, der Verlust aber stillschweigend unter den Teppich gekehrt wird,
  • wenn die Zufahrt auf dem Firmengelände mit zertifizierten Pollern gesichert wird, ein anfahrendes Fahrzeug aber ebensogut über die Wiese drumherumfahren kann,
  • wenn ein massives Drehkreuz zu Personenvereinzelung angeschafft wird und links wie rechts mit simplem Maschendrahtzaun eingefasst ist,
  • wenn eine RC4-Tür in eine Pappmachéwand eingebaut wird,
  • wenn der Mitarbeiter den Raum verlässt, ohne seinen PC abzusperren, und die vermeintliche Putzfrau den freien Blick auf den Bildschirm erhält,
  • wenn der PC-Zugang für Fernwartungsarbeiten völlig fremder Servicekräfte geöffnet wird (eigentlich auch ein IT-Thema),
  • wenn die Zuwanderungspolitik Deutschlands jeden Menschen, auch potenzielle Terroristen, ungeprüft ins Land hineinlässt,
  • usw. usw.

Quod erat demonstrandum: Sicherheitslücken gibt es nicht nur im Programmcode von Betriebssystemen. 

 

Kontakt zur Redaktion:
bz@sicherheits-berater.de (Bernd Zimmermann)