Nicht viele Unternehmen rechnen damit, gehackt zu werden.
Oft passiert es, weil ihre Sicherheitskontrollen nicht alle möglichen Schwachstellen des Unternehmens abdecken oder das Budget in die falschen Bereiche investiert wird.
Ob wir nun von Penetrationstests oder Audits sprechen, die Aufgabe eines Sicherheitsingenieurs ist es, das Unerwartete aufzudecken und zu bewältigen. Wir sind oft die Überbringer schlechter Nachrichten, die auf unbequeme Wahrheiten hinweisen.
Viele Unternehmen wollen einfach nur ein Sicherheitszertifikat haben, um ihren Kunden zu versichern, dass ihre Systeme sicher und vertrauenswürdig sind.
Die Frage muss lauten: Ist es das richtige Zertifikat?
Ist es für den Dienst, den sie anbieten, relevant?
Ein Auditor sollte nicht einfach nur dazu da sein, das System abzustempeln und das Zertifikat auszustellen.
Blindes Vertrauen
Die Menschen erwarten, dass sie ihrer Bank, den Behörden, den Einrichtungen des Gesundheitswesens, auf die sie sich verlassen, vertrauen können.
Rechtlich hat Jo(e) Bloggs, zumindest in Deutschland, das Recht, nach den bestehenden Sicherheitsvorkehrungen für einen bestimmten öffentlichen Dienst zu fragen. Aber das sagt nichts über die tatsächliche Sicherheitsimplementierung, die dahinter stehenden Annahmen und das von der Organisation, die den Dienst betreibt, akzeptierte Risikoniveau aus.
Am Ende des Tages haben wir als Bürger nicht die geringste Chance zu überprüfen, ob dieses Vertrauen unangebracht ist oder nicht. Wir sind nicht involviert, wenn ein öffentlicher Dienst ein Softwareunternehmen mit der Entwicklung und ein Rechenzentrum mit dem Hosten eines neuen Systems beauftragt. Die Dienstleistungsvereinbarungen (SLAs) werden privat zwischen dem Eigentümer des Dienstes und dem Softwareunternehmen/Dienstleister ausgehandelt. Die Sicherheitskontrollen werden auf der Grundlage des aktuellen Stands der technischen Kenntnisse und des Fachwissens festgelegt. Die Schwachstellen sind so aufgrund der symbiotischen Beziehungen zwischen den Service-Eigentümern, den Betreibern (Rechenzentren) und den Softwareunternehmen per design "eingebaut", so dass keiner von ihnen für Datenschutzverletzungen zur Verantwortung gezogen wird, wenn sich die Bürger/Kunden/Patienten/Vertragspartner nicht selbst darum kümmern.
Schaffung von Transparenz
Die Einführung der Datenschutz-Grundverordnung sollte ein Fuß in der Tür sein, zumindest aus der Perspektive des Datenschutzes, um den Bürger zu ermächtigen und etwas Licht ins Dunkel zu bringen.
Es ist in der Tat ein Schritt in die richtige Richtung, aber die Menschen müssen als Kunden, Bürger oder Patienten einbezogen werden.
Ein solches Engagement würde eine Kultur der Transparenz bei den Dienstleistern schaffen, und die Servicetechniker könnten eine Schlüsselrolle bei der Überprüfung spielen, ob ein Dienst die Erwartungen der Kunden erfüllt.
Bei U'need'Security arbeiten wir daran, Dienstleistungen transparenter zu machen, was bedeutet, dass sie vertrauenswürdiger und nachhaltiger sind.