Donnerstag, 29. Januar 2009

IT Sicherheitsstandards werden nicht eingehalten



Einer deutschen Umfrage zufolge, werden die vom BSI herausgebrachten Empfehlungen für Sicherheitsstandards nicht immer eingehalten. Punktuell sei zwar eine übertriebene Sicherheit vorhanden, leider sei diese aber generell nicht umgesetzt.
Woran liegt dies?
Finanzielle Faktoren spielen hier sicher eine ausschlaggebende Rolle, aber auch die Machbarkeit und die Umsetzbarkeit ist nicht unwichtig.
Eine der größten Hindernisse sind jedoch Vorgaben des Betriebes hinsichtlich der Benutzerfreundlichkeit. Hier stehen meistens Usability und Security im leichten Widerspruch zueinander. Zum einen sollen die Systeme möglichst einfach und benutzerfreundlich zu bedienen sein, und zum anderen dann noch sehr sicher. Beides ist leider so nicht immer in Einklang zu bringen.

Nehmen wir das Beispiel eines Applikationsstarts über eine VPN-Verbindung:

Der User möchte seinen Notebook mit Festplattenverschlüsselung starten:
Passwort1.
Er meldet sich an seinem Notebook an:
Benutzername2, Passwort2.
Er startet das VPN-Netzwerk:
Benutzername3, Passwort3.
Danach startet er über VPN eine Business-Applikation, die keine Netzwerk-Authentifizierung besitzt:
Benutzername4, Passwort4.

Da hat der User sich viel zu merken. Viele empfinden diese Sicherheit eher als Schikane. Aber zum Vergleich: ein Haus mit einer Tür mit vier Schlössern, bei denen immer derselbe Schlüssel passt, ist auch nicht besonders sicher.
Das zeigt, Security und Usability schließen sich zwar nicht aus, aber sie zeigen in verschiedene Richtungen.

Keine Kommentare: