24.01.2020 (kfr)
4.4 von 5, (12 Bewertungen)

Datensicherheit per KI: Kümmern Sie sich lieber selbst

  • Inhalt dieses Artikels
  • KI ersetzt keine fehlerhafte Planung
  • Datensicherheit: Mitarbeiterschulung durch nichts zu ersetzen

Zum anstehenden Datenschutztag am 28. Januar, finden sich einige mehr oder weniger sinnvolle Kommentare über Datensicherheit im Netz. Beispielsweise sinniert der Hersteller einer Security-Plattform darüber, dass IT-Abteilungen endlich damit anfangen müssten, »aktiv nach potenziellen Schwachstellen und Sicherheitslücken zu suchen.« Ein wirksamer Schutz sei kein Hexenwerk, man müsse nur »traditionelle überholte IT-Sicherheit durch neue, erfolgsversprechende Techniken ersetzen.« Als Beispiel werden KI-basierte Endpunkt-Services genannt. 

Kolumne Doc Storage:

An alle aus der »Außenwelt«, die uns gute Ratschläge über den Alltag im Rechenzentrum gegeben – vielen Dank, aber:

Wenn wir EDV ernsthaft und in größerem Umfang betreiben, haben wir mindestens einen, wenn nicht mehrere einschlägig ausgebildete DV-Sicherheitsmenschen pro Schicht im Hause. Und dies bereits vor Jahren im Rahmen des Bundesdatenschutzgesetzes (gilt nämlich schon seit Ende der siebziger Jahre), spätestens aber im Zuge der Umsetzung der DSGVO (gilt nun auch schon seit fast vier, zwingend seit fast zwei Jahren). Diese Kollegen haben – neben der Umsetzung der gesetzlichen Vorgaben – die Aufgabe, unaufhörlich nach entsprechenden Schwachstellen in der internen und unmittelbar angeschlossenen externen Infrastruktur zu suchen.

Mithilfe einschlägiger Anwendungen, natürlich auch mit Ergänzungen der Microcodes der verwendeten Hardware. Somit sollte man die so despektierlich »traditionelle überholte IT-Sicherheit« genannten Maßnahmen nicht ersetzen, sondern ergänzen. Einen Teil, ich würde fast sagen einen sehr großen Teil der anfallenden Datenschutzverletzungen, Eindring- und Manipulationsversuche können schon mit den »konventionellen« Mitteln abgefangen bzw. verhindert werden. Dazu müssen diese auf den neuesten Bedrohungsstand gehoben werden, und sich die Sicherheitsmenschen selbst, permanent auf dem aktuellen Stand halten. Dafür benötigen diese natürlich entsprechende Zeit, und die muss ihnen der Arbeitgeber gewähren.

Anzeige

KI ersetzt keine fehlerhafte Planung

Zweitens benötigen wir – unter anderem – aus den oben genannten Gründen keine »künstliche Intelligenz« (KI), die uns angeblich dabei hilft, an »Endpunkten« fehlerhaften Umgang mit personenbezogenen Daten zu unterbinden. Ist es doch so vielmehr so, dass durch fehlerhafte Planung der Infrastruktur und Prozesse erst die Lücken aufgerissen werden, durch welche dann die Daten, welcher Art auch immer, ins »Freie« gelangen. Es geht nämlich nicht immer nur um »personenbezogene Daten«, es geht auch um die gute alte Industriespionage, das »Abhandenkommen« durch Diebstahl, um den Transport aus den vorgesehenen Umfeldern und vieles mehr.

Wenn wir unseren Job in den letzten Jahren nicht völlig falsch verstanden und gemacht haben, so sollten bereits entsprechende Vorkehrungen getroffen sein, um all die genannten Möglichkeiten weitestgehend zu verhindern. Es fängt damit an, dass es für keinen Anwender im Hause wirklich nötig ist, seinen Desktop-Hintergrund zu verändern oder irgendwelche Ports an seinem Tischrechner zu benutzen. Jeder, der Daten von extern in das Netzwerk bringen möchte, wird physisch und logisch dazu gezwungen, diese an einem dafür vorgesehenen, logisch abgeschirmten und hinter einem Personenvereinzeler befindlichen System zu übertragen. Hier werden sie geprüft, und erst dann im Falle der Unbedenklichkeit an das System des Benutzers weitergeleitet. Genauso der umgekehrte Weg.

Niemandem wird es ermöglicht, Daten auf logischem oder physikalischem Wege (also zum Beispiel als Anhang in E-Mails oder in Schriftform bzw. auf Datenträgern) aus dem Haus zu bringen. Im Ende helfen hierbei nur Kontrollen am Ausgang, und ob die gewünscht sind, überlasse ich dem Personalrat eines jeden Unternehmens. Kein System der zentralen DV, also kein Server oder andere wichtige Installationen, haben in irgendeiner Form Kontakt zur Außenwelt, also zum Internet. Zwischen ihnen und dem weltweiten Netz stehen entsprechende Proxy-Systeme, welche die Qualität und möglichen Absichten aller zu transferierenden Daten, in welche Richtung auch immer, beurteilen und im Bedarfsfalle schlicht die »Weiterreise«“ der Daten verhindern.

Alle Desktop-Systeme wickeln ihren gesamten Kontakt mit der Außenwelt nicht direkt über einen Router, sondern selbstverständlich ebenso über die gute alte »demilitarisierte Zone« ab (jaja, für ALLES, was hier mit neuen Bezeichnungen verbrämt wird, haben wir seit 25 Jahren entsprechende Begriffe). In dieser werden wie an der Schengen-Grenze, alle Pakete geöffnet und durchsucht, während Scheinsysteme die Aufmerksamkeit von Eindringlingen auf sich ziehen und diese beobachtbar machen. Und obendrauf natürlich, neben der logischen und physischen Kontrolle, die optische. Will sagen, alle Tastaturen werden, neben der obligatorischen Aufzeichnung aller Tasteneingaben, durch Kameras überwacht.

Merken Sie was? 😊 Wir müssen einen Kompromiss finden, und mit allen Maßnahmen auf dem Teppich bleiben. Weil wir sonst im schlimmsten Falle nicht nur gegen sämtliche Arbeitsschutzgesetze, sondern auch gegen das Post- und Fernmeldegeheimnis und den gesunden Menschenverstand verstoßen.

Datensicherheit: Mitarbeiterschulung durch nichts zu ersetzen

Wichtig ist zunächst einmal, dass man die gesamte Belegschaft, die irgendwie mit dem Gebrauch von Rechnersystemen zu tun hat, ausgiebig in IT-Sicherheit schult und mit der Bedrohungslage vertraut machen. Das heißt, nicht nur mit dem Unterschreiben irgendeines Zettels, den sich sowieso niemand durchliest.

Und als letztes, nur so als Erfahrung aus über 30 Jahren DV: Gegen zwei Dinge können Sie sich und Ihre Infrastruktur sowieso nicht hundertprozentig schützen – gegen kriminelle Energie einerseits und die Dummheit der Anwender andererseits. Sie müssen immer den alten Spruch von Darwin im Hinterkopf behalten, und ihn auf die heutige Zeit adaptieren. »Der Anwender findet einen Weg«. Er findet einen Weg, sich mehr Speicher zu holen als Sie ihm diesen zuteilen. Er findet einen Weg, Daten vom System abzuziehen, obwohl Sie dieses mit allen Mitteln zu verhindern suchen. Und er findet einen Weg, Ihre Infrastruktur zu sabotieren, wenn er dieses wirklich will.

Sie können diesem nur auf zwei Arten entgegenwirken: Schaffen Sie Vertrauen in Ihre EDV-Mannschaft im eigenen Hause, so wird man auch den Maßnahmen Ihrer IT-Abteilung vertrauen. Sorgen Sie dafür, dass jedes negative Ereignis nur zweimal passiert, nämlich das erste und das letzte Mal. Gegen kriminelle Energie kommen Sie nicht an, Sie können nur die Latte höher legen und denjenigen beim darüber springen erwischen. Dann müssen Sie allerdings ALLE Maßnahmen treffen, die ich oben beschrieben habe. Da hilft keine künstliche Intelligenz oder sonst welcher neumodischer überteuerter Humunkulus, der Ihnen sowieso nur sagt, dass gerade etwas passiert und Sie in Aktion treten müssen.

So, und jetzt darf gerne die gesamte »IT-Sicherheitsbranche« über mich herfallen...

Gruß
Doc Storage

Kommentare (1)
04.03.2020 - LHL

Zum Thema Mitarbeiter -Schulung, -Sensibilisierung ... "Awareness" ist auch der Vortrag "Hirne hacken" von Linus Neumann auf dem 36c3 sehenswert: media.ccc.de/v/36c3-11175-hirne_hacken#t=424
Ansonsten ist das Thema KI bei Angriff/Verteidung auf und von IT-Systemen wohl kaum vermeidbar. Für Angriffe werden wohl schon lernende Systeme eingesetzt und bei Anomalie-Erkennung könnten KI-gestützte Systeme unterstützen. Und es gibt auch schon zumindest Ideen, wie man durch gezieltes "Rauschen" die Lernfähigkeit von "KI-Verteidigungs-Systemen" für Angriffe ausnutzen kann. Also das Hase-Igel-Prinzip geht weiter - alles wie immer ;)
Das Problem ist das "Navigationsgeräte-Phänomen", dass Technik Menschen veranlasst, ihren gesunden Menschenverstand abzuschalten und irgendwo lang zu fahren, weil das Navi gesagt hat, dass es da lang geht. Anti-Viren-Scanner vermitteln z.B. eine scheinbare Sicherheit - es wird auf alles geklickt, der Viren-Scanner wird schon meckern, wenn's was böses ist ... davor schützt auch keine KI


Mehr von Doc. tec. Storage 19.02.2021 HDD/SSD vs. Interface: Wer ist der Flaschenhals im NAS?

Ein NAS-System mit SSDs aufzurüsten bringt zusätzliche Performance. Sollte es zumindest. Wie verhält es sich mit einer SATA-3-Schnittstelle, avanciert diese nicht zum Flaschenhals und bremst die schnellen Flash-Speicher aus?


05.02.2021 Was ist ein Data-Mover?

Was ist eigentlich ein Data-Mover? Wird oft in der Funktionsliste genannt, meist bei Disk-Subsystemen, aber auch in anderem Kontext. Überträgt man damit einfach nur größere Mengen an Daten oder steckt mehr dahinter?


29.01.2021 Was versteht man unter Back-Hitching und Shoe-Shining?

Wenn es um Tape geht, fallen immer mal wieder die Begriffe Back-Hitching und Shoe-Shining – im negativen Sinne. Was genau ist darunter zu verstehen? Mit welchen Folgen ist beim Auftraten zu rechnen und was sollten Administratoren in diesem Fall unternehmen?


18.12.2020 Speichermarkt 2020 – Ein Rückblick

Doc Storage zieht ein Resümee für den Speichermarkt 2020 und seines Ausblicks Anfang des Jahres. Technologisch hatten die vergangenen zwölf Monate wenig zu bieten. Pandemiebedingt hat sich vieles nicht wie erwartet bzw. ganz anders entwickelt.


11.12.2020 Was ist eine Data-Fabric?

Mittlerweile haben fast alle größeren Hersteller irgendetwas im Angebot, was sich Data-Fabric nennt. Was muss man dazu wissen? Eigentlich vereinen sich darin ja nur verschiedene Services, oder?


04.12.2020 Standortbestimmung Tape, HDD und Flash

Update: Tape erlebt eine Renaissance und Flash ist bei Primärspeichern längst die Nummer eins. Die Festplatte ist zwar noch nicht am Ende, die Luft scheint aber dünner zu werden. Wie sieht Doc Storage die Entwicklung in den kommenden Jahren?

powered by
N-TEC GmbH FAST LTA
Cloudian Tech Data IBM Storage Hub
Microchip
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie uns auf Facebook Folgen Sie uns auf Pinterest Folgen Sie uns auf YouTube
Folgen Sie uns auf Twitter Folgen Sie uns auf Linkedin speicherguide.de-News per RSS-Feed