Moin!

Selbst meine Oma (73) kann Gute von Bösen Seiten unterscheiden. Du hast eine Mail mit Bezug auf deine Annonce bekommen, du hast dich eingelogt, du siehst echt intime Daten und willst einen sinnvollen Download machen, da kommt zu 100% _kein_ Dialer!

Muß ja kein Dialer sein, ein Virus oder sonst eine Schadenswirkung reich vollkommen. Die Tatsache, dass sowas aufgrund einer Bewerbung ins Haus kommen kann, dürfte irrelevant sein.

Tarnen und täuschen - nur so kriegt man Menschen dazu, dumme Sachen zu machen, die sie bei voller Kenntnis aller Informationen niemals machen würden. Konsequenz: Die Entscheidung wird verlagert vom einzelnen Mitarbeiter hin zu einer allgemeinen Security-Policy.

Ein Mitarbeiter ist auch ein Mensch, und damit mündig. Du kannst doch nicht deinem Mitarbeiter stumpfes Werkzeug geben, damit er sich nicht verletzt! Und wenn: Wo gehobelt wird da fallen Späne.

Wenn der Mitarbeiter mit dem Werkzeug die Möglichkeit hätte, die Arbeitsfähigkeit und möglicherweise Existenz der Abteilung, Niederlassung oder der gesamten Firma aufs Spiel zu setzen, dann sind die Selbstschutzmaßnahmen des Unternehmens auf jeden Fall über die Bequemlichkeit des einzelnen Mitarbeiters zu stellen.

Sowas passiert nicht? Wenn die Berichte stimmen, dann hat sich Spielehersteller Valve jüngst ein derartiges Ei ins Nest gelegt. Die kompletten Quellcodes für das demnächst zu veröffentlichende Spiel "Half-Life 2" wurden geklaut und im Internet veröffentlicht, weil der Computer des Chefs kompromittiert und als Ausgangsstation für einen umfangreichen Netzwerkscan benutzt wurde, mit Keyloggern wurden Passworte abgefangen. Sowas passiert also. Und hätte nicht passieren müssen, wenn Sicherheitsrichtlinien bestanden hätten und eingehalten worden wären.

Ja, klingt paranoid, aber der Sysadmin nimmt seinen Job ernst und stellt Sicherheit über Bequemlichkeit.

Verbaut er damit nicht schlicht den Weg auf heftig viele Informationen, die der Firma entgehen? Wann verweigern die die Annahme von Post aus Angst vor Briefbomben?
Stellt nicht der Admin seine Bequemlichkeit voran? Man kann Rechner wohl vor einigem schützen, und notfalls mal neu aufsetzen oder Inseln betreiben...

Deine Aussagen zeigen, dass du dir um Computersicherheit anscheinend nicht wirklich viele Gedanken machst. Es geht hier nicht um ein paar 08/15-Daten von deiner privaten Festplatte, sondern um massive Wirtschaftsinteressen.

Schritt 1 zu mehr Computersicherheit: Man erstellt ein Sicherheitskonzept.

• Wer braucht unbedingt Zugriff worauf?
• Welche Art Daten werden übertragen?
• Welche Art Daten dürfen nicht übertragen werden?

Schritt 2: Man formuliert Richtlinien, mit denen man die Sicherheitsanforderungen aus Schritt 1 erreichen will.

Schritt 3: Man setzt die Richtlinien aus Schritt 2 kompromißlos durch.

Und wenn in Schritt 1 festgestellt wurde, dass Mitarbeiter erstens nicht zwingend Internetzugriff benötigen, und die, die Zugriff benötigen, keine anderen Daten als HTML, CSS, GIF, PNG und JPEG benötigen, dann ist das so. Lieber einmal zuviel verbieten, als hinterher feststellen, dass der Azubi gerade das gesamte Netzwerksegment mit einem Wurm lahmgelegt hat, und der Rest des Unternehmens nur mit Ach und Krach vor einem Übergreifen bewahrt werden konnte.

Das hat absolut nichts mit Bequemlichkeit des Admins zu tun, sondern ganz im Gegenteil nimmt der Admin bzw. die IT-Abteilung ihre Aufgabe, für den _sicheren_ Betrieb der Rechneranlage zu sorgen, ernsthaft wahr.

Hast du eine Ahnung, was einmal Computer neuinstallieren kostet? Ja, die Lizenz ist schon vorhanden und kostet nichts mehr, aber ein Admin sitzt mindestens eine Stunde davor, um die Installationen anzustoßen, und der Mitarbeiter sitzt dabei und kann nicht arbeiten - und richtet sich hinterher noch eine Stunde lang seine Arbeitsumgebung neu ein. Mit anderen Worten: Eine Stunde Admin plus zwei Stunden Mitarbeiter. Kostenpunkt: 200 Euro (100 Euro für die Admin-Stunde und 50 Euro für die MA-Stunde). Ganz zu schweigen davon, wenn sich eine mögliche Infektion gleich die ganze Abteilung krallt.

Also als Antwort auf die Ausgangsfrage: Nein, die sind nicht wahnsinnig, die haben nur eine etwas andere Vorstellung als du davon, was so erlaubt sein muß.

Ja für die HTML Version, ist das wohl tragbar, aber es ist ein Muß sagen zu können: "Sie können die _kompletten_ Unterlagen downloaden und drucken." Und hier ist, bei allem Purismus, den ich selbst vertrete und propagiere, ein PDF das Mittel der Wahl. Das Internet kann nicht gedacht sein um Druckdaten _nur_ per HTML/CSS bereitzustellen. Sonst muss man demnächst Notenpartituren lesen können, um Musik zu "hören".

So, und nun bittet dich ein Adressat, ihm diese Datei zu mailen, weil er anders nicht rankommt - und du regst dich darüber auf. Naja, ist ja auch nicht dein Job, um den es geht. Wärst du persönlich betroffen, sähe die Sache wahrscheinlich etwas anders aus. :)

- Sven Rautenberg