Security Theater, Cargo Cult Security - im englischen Sprachraum existieren gleich zwei Begrifflichkeiten, die IT-Sicherheitsmaßnahmen beschreiben, die nichts tun, außer Unsummen zu kosten und Zeit und Energie zu verschwenden.

Der bekannte Sicherheitsexperte Bruce Schneier prägte den Begriff Security Theater - und ließ sich bei der Namensfindung von der US-amerikanischen Transport Security Administration (TSA) inspirieren. Hintergrund: Die Behörde versenkt seit dem 11. September 2001 jährlich viele Millionen Dollar in sinnlose und teils übergriffige Sicherheitsvorkehrungen an Flughäfen, die allerhöchstens für ein gefühltes Mehr an Sicherheit sorgen.

Die Begrifflichkeit Cargo Cult entstand hingegen in Zusammenhang mit für lange Zeit unentdeckten, südpazifischen Urvölkern. Die waren in den 1930er Jahren bei ihrer Entdeckung von Flugzeugen und westlichen Nahrungsmitteln so nachhaltig beeindruckt, dass sie lebensgroße Flugzeugmodelle aus Holz nachbauten, weil sie glaubten das sichere die Ankunft weiterer Flugzeuge - und Nahrung. Kommt Ihnen das Szenario bekannt vor?

Egal ob Security Theater oder Cargo Cult Security - beides kann Ihrem Unternehmen beträchtlichen Schaden zufügen. Sie sollten deshalb alles daransetzen, die folgenden Unzulänglichkeiten im Zusammenhang mit der IT-Sicherheit Ihres Unternehmens zu vermeiden.

Schlechte Awareness-Trainings

Richtig aufgezogen, können Security-Awareness-Trainings wesentlich zur Härtung des Security-Niveaus eines Unternehmens beitragen. Nicht richtig aufgezogen, sind solche Trainings lediglich Zeit- und Geldverschwendung, die das Sicherheitsbewusstsein der Belegschaft untergraben. Neue Mitarbeiter stundenlang mit verpflichtenden Security-Lehrvideos zu malträtieren, die eine ähnliche Wirkung entfalten wie verschreibungspflichtige Narkotika, hat keinerlei positiven Effekt. Auch wenn Sie anschließend den Haken hinter "Security-Awareness-Training absolviert" setzen können und damit alle vorgeschriebenen Anforderungen erfüllt haben.

Security und Compliance sind schließlich keine Synonyme - und auch Unternehmen, die in Sachen Compliance perfekt aufgestellt sind, werden regelmäßig gehackt. Security-Awareness-Initiativen für nicht-technische Mitarbeiter sind grundsätzlich sinnvoll. Wenn aber die Ressourcen fehlen, um ein Training aufzusetzen, das die Mitarbeiter erreicht und involviert, können Sie es sich auch gleich sparen. Denn Ihr ROI wird mindestens bei null liegen - wenn nicht sogar darunter.

Komplexe Passwörter, die keiner behält

Mitarbeiter, die gezwungen werden, komplexe Passwörter zu nutzen setzen im Regelfall ein Ausrufezeichen an das Ende ihres bisherigen Passworts oder notieren das Ergebnis gar auf einem Post-it, das am Bildschirm angebracht wird. Kein Wunder: Ihre Mitarbeiter wollen nur ihre Arbeit machen doch Sie stellen Ihnen Hürden in den Weg, die keinerlei nennenswerte Sicherheitsvorteile bringen. Passwörter sollten für das menschliche Gehirn einfach zu merken und für Computer schwer zu erraten sein - nicht andersherum. Das sieht auch das National Institute of Standards and Technology (NIST) so.

Geht es nach NIST, sollten Sie auf Passphrasen mit bis zu 64 Zeichen setzen. Diese lassen sich beispielsweise mit der Diceware-Methode erzeugen, sind leichter zu merken und bieten mehr Sicherheit als ein Passwort im Stil von "*%&*^%&yuiyiu*&%&*". Das NIST rät inzwischen auch davon ab, die Passwörter im Abstand von 90 Tagen verpflichtend zu ändern - es sei denn, es gibt Anzeichen einer Kompromittierung.

Schlecht durchdachte Passwortrichtlinien sind auch ein klassischer Fall von Cargo Cult Security: Irgendetwas wird aufgesetzt, ohne wirklich zu wissen warum. Dabei hat das NIST doch wirklich gute Vorarbeit geleistet bei der schriftlichen Niederlegung der Dinge, auf die es in Sachen Passwörter ankommt - wieso also nicht an den Empfehlungen der Spezialisten orientieren?

Drittanbieter-Fragebögen

Security-Fragebögen machen regelmäßig die Runde zwischen Unternehmen und Anbietern (inzwischen verstärkt auch Cyberversicherungs-Anbietern). Diese Fragebögen schaffen zwar zweifellos eine rechtliche Handhabe beziehungsweise Grundlage - tragen aber absolut nichts dazu bei, Sicherheitsvorfälle zu verhindern. Deswegen sollten Sie sich an dieser Stelle eine Frage stellen: Ist Ihnen ein sicheres Unternehmen lieber - oder die Sicherheit darüber, irgendjemanden vor den Kadi zerren zu können, weil er oder sie bei der Beantwortung eines Fragebogens gelogen hat?

Ihre Rechtsabteilung mag darauf bestehen. Auch Ihnen selbst vermittelt solch ein Fragebogen möglicherweise ein gutes Gefühl. Ein echter Beitrag zur IT-Sicherheit ist er dennoch nicht - viel eher ein Pseudo-Test darüber, wer am besten lügt.

Checkbox Compliance

Sie haben gerade irgendein Security-"Ding" angeschafft, weil die Compliance-Leute das so wollten? Glückwunsch, Mission erfüllt - auf ordentliche Konfiguration oder Wartung können Sie jetzt auch verzichten. Schließlich haben Sie die Lösung nicht angeschafft, um die IT-Sicherheit zu erhöhen, sondern nur, um einen Haken auf der Compliance-To-Do-Liste zu setzen - wozu also Zeit damit verschwenden, wie das Ganze funktioniert? Dieses Szenario ließe sich in etwa mit der Situation übersetzen, ein paar Fellhandschuhe auf eine Südpolexpedition mitzunehmen und sie dann nie zu tragen. Warum Ihre Hände abgefroren sind? Wir werden es wohl nie erfahren.

Vergegenwärtigen Sie sich deshalb: Compliance ist nicht das gleiche wie Security. Immer und immer wieder. Natürlich ist Compliance für Unternehmen aus rechtlicher Sicht unabdingbar - in Sachen Schutzniveau aber zählen andere Dinge.

Antivirus als Beruhigungsmittel

Eine Antivirus-Lösung ist auf all ihren Workstations installiert? Dann können Sie sich jetzt getrost zurücklehnen, die Füße hochlegen und sich in Sicherheit wiegen. Zumindest, wenn wir uns im Jahr 1991 befänden, als Antivirus noch eine sinnvolle Sicherheitsmaßnahme war. Leider sind diese Zeiten lang vorbei. Dass sich immer noch eine Vielzahl von Unternehmen auf solche Lösungen verlässt ist mindestens fragwürdig - oft aber schon fahrlässig.

Angreifer, die wissen was sie tun und es gezielt darauf anlegen, Ihr Unternehmen zu kompromittieren, werden mit der totalen Zerstörung Ihres Antivirus-Bollwerks keinerlei Probleme haben. Sie sollten deshalb nicht generell von der Nutzung von Antivirus Software absehen, aber auch nicht dem Irrglauben erliegen, man könne einen Kampfjet mit einer Fliegenklatsche vom Himmel holen. Legen Sie Ihren Fokus stattdessen lieber auf proaktivere Defensivmaßnahmen. Zum Schwelgen in der Vergangenheit empfiehlt sich beispielsweise dieser Videobeitrag:

Security Theater verhindern

Die Menschheit wird nicht müde, sich ihrer Fähigkeit des logischen Denkens zu rühmen. In der Realität nutzen wir unser Gehirn allerdings in neun von zehn Fällen nicht zum rationalen Denken und Handeln, sondern nur dazu, zu bekommen, was unser Bauchgefühl uns vermittelt. Dieses Verhaltensmuster ist im Zusammenhang mit IT Security mehr als nur verhängnisvoll.

Nur zu sehen, was man sehen will, ohne zu verstehen, warum und wie ist das moderne Äquivalent zur Nachbildung eines Flugzeugs aus den 1930er Jahren mit Hilfe von Palmen - in der Hoffnung, es würde noch ein paar Ladungen Spam regnen (das Dosenfleisch - nicht maliziöse Popups, die Potenzmittel bewerben).

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.