Der folgende Text entstammt dem aktuellen Security Awareness Newsletter der LANline, den der Experte Dr. Johannes Wiele regelmäßig für die LANline verfasst. Er richtet sich an Security-Fachleute und Nutzer und enthält in jeder Ausgabe einen praktischen Tipp. Wenn Sie den Newsletter regelmäßig und frühzeitig per E-Mail lesen möchten, sollten Sie sich kostenlos bei uns registrieren: www.lanline.de/newsletter/.

Unser Experte schreibt diesmal:

Ich habe mir eine Weile überlegt, ob ich den Newsletter diesmal so schreibe, wie er jetzt daherkommt, denn was ich da schreibe, wurde doch schon tausendmal beobachtet und gefühlt zweitausendmal geschrieben.

Trotzdem.

Wir gehen auf die It-sa. Man darf sagen: auf die Leitmesse für Informationssicherheit in Deutschland. Alles abgedeckt, von Technik über Organisation bis Awareness. Genau, Awareness. Hier sollte es von Sicherheits-Gurus und hoch sensibilisierten Spezialisten nur so wimmeln.

Und dann ist da der Typ im Durchgang, der voller Eifer ins Telefon brüllt – wirklich brüllt – dass er den Deal beim Unternehmen x für die Lösung y jetzt mit dem Betrag z wirklich fast „unterm Deckel“ habe, es sei ja so gut gewesen, dass man den CISO an den Stand eingeladen habe. X, y und z dabei mit Realname und Betrag. Ein Klassiker des Sicherheitsversagens. Als x wäre ich von dieser Szene nicht begeistert, als Anbieter einer vergleichbaren Lösung y2 eventuell schon, wegen des Wörtchens „fast“. Menschlich eben, deshalb immer wieder zu erleben.
Auf einem Tisch an einem interessanten Stand steht ein offener Laptop, nicht gesperrt. „Kann ich da Ihre Software mal ausprobieren?“ – „Würd‘ mich wundern, der gehört uns nicht, grad stand da doch noch einer – ach, schauen Sie, der ist der Frau dahinten hinterhergelaufen!“ In diesem Fall vermutlich eines Deals wegen, aber bei Messen weiß man das ja auch nie so genau. Auch menschlich.
Mein Parade- und Lieblingsbeispiel ist ohnehin jener Vertriebskollege aus der Zeit bei einem kleinen Münchner Beratungsunternehmen, der auf einer ähnlichen Veranstaltung gerade noch einen hochkarätigen Security-Vortrag gehalten hatte – und dann sein geschäftliches E-Mail-Konto öffnete, während der PC noch am Hallenbildschirm hing. Erstaunlich, wie schnell sein Chef damals plötzlich laufen konnte, quer durch die Halle und hin zum Kollegen.
Was diese Beispiele zeigen, ist, dass Sicherheit fehlertolerant sein sollte. Sicherheitskultur ist auch Fehlerkultur. Statt Menschen zu gängeln, um sich im wahrsten Sinne des Wortes aus Sicherheitsgründen un-menschlich zu verhalten, sollte man häufiger schauen, wie man normales menschliches Verhalten mit Sicherheitsschalen umgibt. Den Begeisterungsaussetzer am Telefon bekommt man so nicht in den Griff, aber die beiden anderen Pannen ließen sich zum Beispiel im einen Fall durch kürzere Sperrzeiten für den PC beim Besuch öffentlicher Veranstaltungen beheben (analog zu den unterschiedlichen Vorkehrungen bei der Nutzung von internem Netz, VPN und öffentlichem Netz) oder durch die Ausgabe spezieller Präsentations-PCs. Kostet etwas, aber kommt durch entspannteres Arbeiten vielleicht wieder rein.
Und für den Typen am Telefon wiederholen wir heute noch einmal den passenden Tipp – wäre ein toller Service, wenn Sie im Unternehmen den entsprechenden Hinweis jeweils vor der Teilnahme an der Leitmesse ihrer Branche versenden würden.

— Tipp Anfang

Wo bin ich eigentlich gerade?
Wenn Sie Messen oder andere öffentliche Veranstaltungen besuchen – speziell die der eigenen Branche – achten Sie bitte immer darauf, wie Sie sich verhalten. Die Gefahr, dass jemand mit einem allzu laut geführten Telefongespräch zu einem Unternehmensthema etwas anfangen kann oder dass ein Blick auf Ihren Laptop-Bildschirm unerwünschte Folgen hat, ist hier besonders groß. Überlegen Sie deshalb schon vorab, wie Sie am Ort des Geschehen gegebenenfalls vertraulich kommunizieren können. Wenn Sie kurz Zeit brauchen, um an einen „sicheren“ Ort zu gelangen, rufen Sie einen Gesprächspartner einfach zurück. Verstehen wird er Ihr Vorgehen auf jeden Fall.

— Tipp Ende

Dr. Jörg Schröper ist Chefredakteur der LANline.