Abenteuer IT-Sicherheit
…oder: Der etwas andere Jahresrückblick
Wie ich an anderer Stelle ja bereits berichtet habe, ist diese Seite seit Oktober über eine SSL-verschlüsselte Verbindung erreichbar. Bereits seit geraumer Zeit biete ich meinen Kunden außerdem die verschlüsselte Kommunikation per E-Mail an (siehe die Blog-Artikel zu openPGP und zu S/MIME). Mit der SSL-Verschlüsselung der Internetseite ist also noch ein weiterer Sicherheitsbaustein hinzugekommen.
Das sind nicht bloß ein paar technische Spielereien oder Marketing-Gags, sondern wichtige Maßnahmen, um die Sicherheit der Daten meiner Kunden und Geschäftspartner bei der Übertragung im Internet zu gewährleisten.
Sicherheitsbewusstsein ausbaufähig
Ich wurde inzwischen oft gefragt, wie die genannten Maßnahmen von meinen Kunden und Geschäftspartnern denn eigentlich bisher angenommen werden. Mein Fazit: Diplomatisch ausgedrückt ist das IT-Sicherheitsbewusstsein fast aller Menschen, mit denen ich es in diesem Jahr beruflich zu tun hatte, noch ausbaufähig. Oder etwas drastischer formuliert: Ich bin fassungslos, wie nachlässig und teilweise geradezu fahrlässig damit überwiegend umgegangen wird, jedenfalls in Bezug auf die (un)verschlüsselte Datenübermittlung. Wenn es um personenbezogene Daten oder unternehmensinterne Informationen geht, werden die doch sonst auch nicht per Postkarte verschickt, die auf dem Transportweg jeder einsehen kann!?
Abenteuer IT-Sicherheit, erster Teil
Das Thema IT-Sicherheit hat mich im Jahr 2015 auch sonst regelmäßig begleitet, wenn auch teilweise eher unfreiwillig. So konnte ich im August zufällig live beobachten (und dadurch relativ schnell unterbinden), dass von zwei IP-Adressen in Ramallah aus unbefugte Fernzugriffe auf meine Telefonanlage erfolgen. Das Ergebnis: mehrere vergebliche Versuche von Auslandstelefonaten nach Simbabwe, leider auch mehrere erfolgreich geführte Auslandstelefonate nach Somalia.
Der Schaden hielt sich mit 43,26 EUR netto zum Glück in Grenzen und wurde mir von der Telekom Deutschland GmbH netterweise kulanzhalber erstattet. Dabei konnte die Telekom nicht mal was dafür. Trotzdem natürlich ein großes Dankeschön! Auslandstelefonate habe ich seitdem sowohl in der Telefonanlage als auch bei der Telekom gesperrt und die Fernzugriffs-Lücke in der Telefonanlage (ein Versehen bei der Konfiguration einer IP-Nebenstelle) habe ich natürlich ebenfalls geschlossen.
Randnotiz: „Cybercrime“ kann nur unverschlüsselte Emails
Ich hatte in dieser Angelegenheit über die Online-Wache der Polizei Niedersachsen kurz darauf Strafanzeige erstattet (die Ermittlungen wurden später seitens der Staatsanwaltschaft ohne Ergebnis eingestellt). Die Online-Wache selbst ist sicherheitstechnisch vorbildlich über eine verschlüsselte SSL-Verbindung erreichbar. Dort eingegebene Daten kann kein Unbefugter mitlesen. Der zuständige Bearbeiter bei der Kriminalfachinspektion „Cybercrime“ in Hannover konnte allerdings nur unverschlüsselte Emails mit mir austauschen, als es darum ging, weitere Informationen zum Sachverhalt beizusteuern…
Abenteuer IT-Sicherheit, zweiter Teil
Ein paar Wochen später wurde die WordPress-Installation dieser Internetseite verstärkt zum Ziel von Hackerangriffen. Dank der bereits vorhandenen Sicherheitsvorkehrungen zum Glück jedoch stets erfolglos. Ich habe trotzdem zusätzliche Maßnahmen ergriffen, die mir seitdem Ruhe beschert haben.
Fazit
IT-Sicherheit ist eine Daueraufgabe. Auch wer sich darum kümmert, ist nicht komplett vor Pannen sicher. Aber wer sich gar nicht darum kümmert, hat schon verloren. Ich habe mich für den ersten Weg entschieden. Kommen Sie mit?
Ein Beitrag von
Bernd Sauer
Inhaber der
VerständigungsWerkstatt