IT-Sicherheit nach dem Prinzip von Keep-it-Stupid-and-Simple
Die meisten Administratoren und IT-Verantwortlichen kennen es: Neben den alltäglichen Wehwehchen der Benutzer soll die IT-Infrastruktur im Auge behalten und die Dienste verfügbar gehalten werden. Der Komfort der Applikationen und eingesetzten Hardware soll einer ständigen Steigerung unterliegen und natürlich ist dem Individualismus des Einzelnen stattzugeben. Vermeintlich banale und vor allem unsichtbare Dinge wie Proxys, DNS, DHCP, Firewalls und Monitoringsysteme haben aus der Box zu funktionieren und natürlich ist die Handhabung sowie der Umgang damit Ehrensache.
In einer solchen Ausgangsposition befinden sich viele IT-Abteilungen und sollen dabei – natürlich – sowohl die Sicherheit, als auch die Managebarkeit nicht aus dem Blick verlieren. Oft genug wird dazu einem externen Dienstleister vertraut. In diesem Artikel wird es um den Einsatz von IT samt Sicherheit aus organisatorischer Sicht gehen, bei der keine übergroße Abteilung das Netz und den doppelten Boden stellt.
Nie war IT in ihrem ursprünglichen Sinne präsenter. Smartphones wohin man sieht und die sagenumwobene Cloud ist über alle weltlichen Dinge erhaben. Onlinebackups, Synchronisationsdienste und Kollaboration sind die neuen Buzzwords im Alltag. Dass mit dem tatsächlichen Hintergrund nur die wenigsten etwas anzufangen wissen ist dabei Nebensache. Wehe allerdings dem IT-Verantwortlichen – oder freundlichen Nachbarn – wenn etwas schief geht und Daten verloren gehen, bekannt werden oder durcheinander kommen. Dann steht die Welt Kopf und das Drama ist vorprogrammiert. Dass "es" zu funktionieren scheint und eigentlich keine andere Möglichkeit besteht als vorhanden zu sein, zeigt die Wahrnehmung der breite Masse.
Nicht wenige IT-ler rümpfen die Nase, wenn ein neuer Kollege freundlich aber mit erwartungsvollem Blick in der Tür steht und um die Anbindung des Smartphones/Tablets bittet. Froh ist man schon dann, wenn man für diese Fälle ein eigenes Netzwerk anbieten kann. Gleichermaßen resigniert ist man allerdings, wenn der neue Kollege in seiner Motivation anbietet, die Geräte auch für die Firma gewinnbringend einzusetzen – da freut sich der Chef.
Dank der immer einfacher einsetzbaren Technik mitsamt ihrer Bedienung und der immer
selbstverständlicheren Nutzung, sind die Einrichtungen schnell gemacht. Je jünger das Publikum, desto unverständlicher wird auf Restriktionen reagiert. So zumindest erfährt man es beim Kaffeeplausch in der Belegschaft.
K.I.S.S.: Keep it stupid and simple
Als moderner Administrator möchte man sich das Wohlwollen der Anwender nicht verscherzen und natürlich ebenso wenig auf arbeitserleichternde Maßnahmen verzichten. Moderne Firmen arbeiten bewusst mit dem Wellnessfaktor – zufriedene Mitarbeiter sind motivierte Mitarbeiter. Der schmale Grad zwischen Moderne und Sicherheit, zwischen Stabilität und Feature ist die Kunst von K.I.S.S. Die Bedeutung hinter dieser glorreich klingenden Abkürzung ist schlicht und ergreifend: Keep it stupid and simple und vereint sämtliche Faktoren zu einem gemeinsamen Nenner.
Hinter der Begrifflichkeit steckt allerdings kein starres Regelwerk oder gar ein käuflich zu erwerbendes Produkt (wobei durch Schulungen und entsprechend zen-behaftetes Vorgehen auch schon Existenzen geschaffen wurden). Vielmehr soll es einen Prozess zur Entscheidung und Strukturierung von Vorgehen und notwendigen Schritten beschreiben, welche den Alltag erleichtern, den Idealismus schmälern und mittel- bis langfristig für nachhaltige Lösungen sorgen soll.
Definitionssache
Bevor es an irgendwelche geschichtsträchtigen Entscheidungen gehen kann, muss zunächst definiert werden, wohin der Wind weht und welche Prioritäten einem wichtig sind. Auch wenn uns bereits an dieser Stelle ein leichtes Stöhnen entfährt, so lassen sich auch hier schon schnell einfache Standpunkte finden. Allem voran steht die möglichst umfangreiche Vereinfachung der verwendeten Worte. Marketing findet in einer anderen Abteilung statt.
- stabil
- kostengünstig
- wartbar
- kommunizierbar
- einfach
Das sind in vielen Fällen mit die wichtigsten Kriterien, nach denen wir bewusst oder unterbewusst Entscheidungen treffen. Stabil sein ist uns wichtig, weil wir in aller Regel keine Lust haben, Dinge immer wieder um ihrer selbst willen anzufassen und lauffähig zu bekommen. Kostengünstig soll und muss es sein, damit wir es in die Budgetplanung integrieren oder in Gesprächen argumentativ einsetzen können. Wartbarkeit geht fast in die selbe Richtung wie Stabilität, denn niemand mag Systeme, mit denen man nicht lange etwas anfangen kann oder deren Handhabung man nicht delegieren kann. Kommunizierbarkeit ist enorm wichtig, da andernfalls auch die Sache mit der Delegation flach fällt oder der Anwender nicht mit ins Boot geholt werden kann. Einfach ist mit eines der schlagendsten Kaufargumente, denn neben unserem gefühlten Stresspegel achten wir auch tunlichst darauf, möglichst kurzfristig mit den Dingen zurecht zu kommen, die uns anvertraut werden.
Mit diesen Wegpfeilern am Startpunkt lassen sich schon tolle Ergebnisse bei der Entscheidungsfindung erzielen. Mit die größte Hürde sind oft die eigenen Vorlieben und Ansätze bei der Anschaffung von Geräten oder dem Einsatz von Software. Nicht weniger religiös können die Ansätze von IT-lern klingen, wenn sie aufeinander treffen. Nach dem vorgehen von K.I.S.S. nehmen wir jedoch einen Teil von uns selbst aus der Gleichung und konzentrieren uns auf die umzusetzende Aufgabe. Gleicht man die zugrundeliegende Aufgabenstellung sachlich korrekt gegen die oben genannten Eigenschaften ab, so wird man mit offenem Auge sehen, dass eine Lösung vielleicht schon viel einfacher herbeigeführt werden kann.
Ja, aber!
An diesem Punkt passiert in aller Regel etwas sehr interessantes: Es folgt das große „Ja, aber!“. Und Sie haben recht. Natürlich kann der neue Hypervisor auch von einem anderen Hardwarelieferanten kommen und selbstverständlich muss es nicht die kostenintensive Lizenz sein. Vorhandene Strukturen haben in aller Regel eine Historie. War diese nicht durchgehend von Leid geplagt, so ist ein großer Teil davon gerechtfertigt. Schafft man hier allerdings einen Raum für Freiheiten, so schafft man sich einen Raum, schneller an das gewünschte Ziel zu kommen oder gar mehrere Ziele in einem Abwasch erledigen zu können. Nach K.I.S.S. geht es bei der Lösungsfindung stark darum, Ziele mit einfachen Lösungswegen und ebenso einfachen Mitteln zu schaffen. Es muss ein Bereich geschaffen werden, an dem mit der idealistisch angehauchten Optimierung aufgehört wird, um mit dem nächsten Schritt zu beginnen.
Schafft man es, die Lösungsfindung in den Vordergrund zu stellen, ergeben sich die notwendigen Rahmenbedingungen oft von allein und es gilt nur noch die Skalierung festzulegen. In den allermeisten Fällen erschlagen sich schon die meisten Variablen durch eine halbwegs konkrete Fragestellung zu Beginn mit den oben genannten Stichwörtern – plus jene, die Ihnen während des Lesens der letzten Sätze eingefallen sind. Sie werden zudem feststellen, wie viel einfacher es den Lieferanten und Kollegen fallen wird, sich einer zielgerichteten Lösung zuzuwenden.
Ansichtssache
„Die Firewall schützt unser Firmennetzwerk vor Eindringlingen und hält die Rechner der Mitarbeiter frei von Viren, Würmern und anderen schädlichen Programmen.“
„Unser Server kümmert sich um die Sicherung der Daten und Mitarbeiter melden sich daran an.“
„Unsere Server sind virtualisiert und daher werden Ressourcen effizient genutzt – zudem schützen wir uns vor Ausfällen der IT-Anlage“
Aussagen wie diese sind ein wenig wie ein Fünf-Sterne-Menü. Es gibt unheimlich viele Dinge, von denen die Standfestigkeit dieser oberflächlichen Aussagen abhängig ist. Letztendlich spiegeln sie allerdings die Wahrnehmung der Anwender und im Zweifelsfall auch der Entscheider wider. Daher ist es enorm wichtig, zu verstehen, mit wem man redet, welche Aussagen verstanden werden und welche schlicht und ergreifend genutzt werden müssen, um zu verdeutlichen, was unterm Strich erreicht werden soll.
Andererseits ist es jedem wohl klar, dass der sichtbare Teil (sofern er denn vorhanden ist) nicht den Aufwand oder Komplexität widerspiegelt, welche für eine ordentliche Umsetzung vorhanden ist. Tragisch wird es, wenn Produktmanager dies aufgreifen und „all-in-wonder“-Lösungen bereitstellen, welche alles auf einmal erschlagen. Dann muss man ins Detail gehen, um zu definieren, wie nah man seiner Ideallösung kommt.
Definitionen für die zu erreichenden Ziele zu finden ist enorm wichtig. Wichtig ist allerdings auch, die Elemente, aus denen die Lösung besteht, benennen zu können, um auch jedem noch so versierten Projektmanager klar zu machen, wo und wie die Meilensteine zu finden sind. Eine Sache zu definieren erfordert ein wenig Geschick und vor allem Empathie. Immerhin muss nach Verstehen und Fixieren der Rahmenbedingungen neben dem eigentlichen Ziel auch die Zielgruppe bekannt sein. Zum einen diejenige, die mit der Lösung umgehen können muss, zum anderen aber auch diejenige, die die Lösung zu tragen hat.
Die Qualität der IT-Abteilung und deren Lösungen definiert sich am Grad der Zufriedenheit der Anwender.
Es ist vollkommen egal, wie aufwendig, genial, einfach oder komplex ihre Idee oder Lösung ist. Wird sie von den Anwendern nicht getragen oder von den lieben Kollegen nicht korrekt genutzt oder sogar umgangen, so haben sie nichts gewonnen. Daher ist es zum Beispiel beim Aufbau einer Firewall-/Proxy-/Contentscanner-Lösung zum Schutz des Klassenraumes, der Abteilung oder des Unternehmens sinnvoller, die einzelnen Aspekte als solche zu betrachten und auch genau so anzugehen oder einzuführen. Für den Anwender ist die Antivirenlösung oder die Firewall schuld, wenn in der Mittagspause die Facebookseite nicht geöffnet werden kann. Wird alles gleichzeitig kommuniziert und eingeführt, so wird auch alles gleichzeitig beschimpft. Führen sie einen neuen Kollegen in die Abteilung ein, so wird er ihnen bei einem roten Faden eher folgen können und ihre Lösung mittragen. Gehen Sie daher die einzelnen Themen, Aspekte und Teilbereiche einzeln an und beleuchten die nun so einfachen Bestandteile. Diese Vorgehensweise gibt Ihnen auch gleich die Möglichkeit, die Prioritäten zu definieren.
Komplexität und Einfachheit
Unabhängig von technischen Innovationen und vermeintlichen schnelllebigen Entwicklungen sind es die Bestandteile, die es zu überblicken und zu beherrschen gilt. Egal ob es um den Betrieb eines Active Directory Services, einer zentralen Antivirenlösung oder eines Firewallclusters geht. Je mehr Abhängigkeiten bei der Konfiguration geschaffen werden, um so komplexer ist dieses Einzelstück und umso schwieriger sind die Dinge im Blick zu behalten, die Auswirkungen auf die Sicherheit haben.
Die Einfachheit des Ganzen wird bestimmt durch die Komplexität des Einzelnen!
Daher gilt es schlüssige Gruppierungen und Einteilungen zu schaffen, die viele Fehlerquellen
ausschließen. Beispielsweise macht es Sinn, die Server eines bestimmten Vlans oder Aufgabengruppe zusammenzufassen und dieser Gruppe Freigaben im Netzwerk zu erteilen anstelle sie einzeln aufzuführen oder zu viele Gruppierungen vorzunehmen. Auf diese Weise kann bei der Kontrolle oder der logischen Schlussfolgerung ziemlich schnell ein Zusammenhang entdeckt werden und/oder absehbare Konsequenzen können schneller erkannt werden. Bei der heute vorhandenen Leistung macht es in aller Regel auch kaum einen Unterschied mehr, ob ein Prozess nun eine Ebene mehr oder weniger abarbeiten muss. Lediglich unser Denken und das Gefühl „langsam“ zu sein, sticht uns aus. Arbeitet man mit Unixoiden Systemen, so ist man die Abhängigkeit von Diensten untereinander gewohnt oder weiß um die Fähigkeiten, gewisse Dinge anderen Prozessen übergeben zu können oder zu müssen.
Sich wiederholende Aufgaben sollten in Form von simplen Shellskripten gegliedert und so für alle fehlerfrei nachvollziehbar bleiben. Natürlich sind auch die Pfade, an denen ein solches Skript erwartet wird, klar zu definieren oder gleich auf das Home-Verzeichnis zu legen und auch Präfixe machen einem das Leben leichter, wenn es um die Unterscheidung geht. Skriptsprachen wie Perl, Python und Co sollten bis zu dem Punkt vermieden werden, an dem sie einen klaren Mehrwert bieten oder per Definition notwendig/geplant sind. Denn andernfalls schafft man sich erneut Abhängigkeiten, erhöht die Komplexität, mindert somit die Wartbarkeit und gefährdet ggf. die Sicherheit des Systems aus einer der vielen Ebenen. Das persönliche Ego weicht in diesem Fall der Professionalität.
Fazit
Ziel sollte sein, dass man nicht gerufen wird und auch in den Urlaub fahren kann.
- Berücksichtigen Sie bei allen Planungen den Faktor Mensch hinsichtlich der zu erreichenden Sicherheit. Gehen Sie an dieser Stelle lieber drei anstatt zwei Schritte und kommunizieren rechtzeitig, ausgiebig und vor allem empathisch die anstehenden Veränderungen. Lassen Sie bei Ihrer Argumentation jedoch technische Aspekte weitestgehend außen vor, arbeiten Sie lieber mit simplen Praxisbeispielen. Und nicht vergessen: Für den Mitarbeiter muss das Glas immer halb voll sein!
- Fangen Sie klein an und stellen Regeln, Strukturen und Verhaltensmaßstäbe zusammen. Diese müssen jedoch so alltagstauglich sein, dass sie durch die Firmenleitung abgesegnet werden, damit eine entsprechende Rückendeckung besteht. Eine Entscheidung zu treffen ist der wichtigste Punkt dabei und Entscheidungen treffen sich leichter, wenn sie (noch) nicht so weitreichend sind.
- Nehmen Sie Gesetze als Grundlage für die anstehende Argumentation. Beharren sie jedoch nicht nicht auf einer konsequenten Umsetzung. Behandeln Sie diese eher als Grundlage zu Ihrem eigenen Denken und zielen Sie daraufhin, durch die Umsetzung einer Maßnahme der gesetzlichen Anforderung annähernd Rechnung zu tragen.
- Erreichen Sie Zustimmung und Akzeptanz durch die Endanwender indem Sie Transparenz aufzeigen und die Bedeutung des Einzelnen betonen. Schieben Sie keine Verantwortung auf den Mitarbeiter sondern nehmen Sie ihn an die Hand und bitten um eine sorgfältige Umsetzung. Dadurch erhalten Sie eher Ergebnisse, als durch striktes befolgen von Anweisungen.
Wie man sicherlich erkennt und richtig einschätzt, ist IT-Sicherheit keine Frage der reinen Technik. Vielmehr ist es ein Puzzle. Es gilt in jedem Fall abzuwägen, ob die angedachte Lösung den persönlichen Vorlieben unterliegt oder im Idealfall der Lösung einer Aufgabe. Bedenkt man, dass IT und Administration eine Art der Dienstleistung ist, werden persönliche Befindlichkeiten schnell überflüssig. Ziel sollte sein, dass man nicht gerufen wird und auch in den Urlaub fahren kann. Dazu muss eine Lösung allerdings auf eine Art und Weise belastbar sein, die mehr mit den Kollegen/ der Vertretung zu tun hat, als mit nerdigem Hintergrundwissen oder Codezeilen.
Erst wenn Lösungen nicht mehr an Personen gebunden sind und „produktspezifische“ Fachkenntnisse ausreichen um Ergänzungen, Anpassungen, Korrekturen und so weiter durchführen zu können, kann auf einer sachlichen Ebene kommuniziert und damit die Konstruktivität erhöht werden.
K.I.S.S. ist eine Einstellung, welche viele Diskussionen überflüssig machen kann und den Spaß an der Sache wieder zurückholt. Die innere Spannkraft wird gestärkt, weil man den Blickwinkel erweitert und auf „das große Ganze“ blickt.