Auf den Konferenzen im IKT-Bereich, bei denen Lösungen für bessere und effizentere Anwendungsentwicklung angeboten werden, gibt es grob gesprochen zwei Arten von Räumen: Einen, in denen IT-Entscheider mit den neuen, wunderbaren Paradigmen wie Prince2, Hermes, agiler Softwareentwicklung unterhalten werden und einen, in denen IT-Entwickler, Produktvertreter von SAP oder Perl-Hacker Schönheit und Features von Quellcode beäugen.

Auffällig ist, das Besucher der einen Veranstaltungsart fast nie im anderen Raum zu finden sind. Ein Buchhalter lernt ja auch nicht, mit dem Schraubenschlüssel umzugehen, werden einige jetzt sagen. In der Software-Industrie sind aber beide Tätigkeiten, Projektmanagement und Produktdesign, komplexe voneinander abhängige Tätigkeiten, gerade bei aufkommenden offenen Architekturen hoher Qualität.

Der Mythos der vernünftigen Arbeitsteilung …

Strukturierte Abläufe und Abstraktion sind starke abstrakte Prinzipien, die natürlich auch bei Software-Projekten gelten. Es fällt jedoch auf, dass alle paar Jahre “neue” Ansätze verkauft werden, wie ein Datenbanktool entwickelt werden sollte, wie eine Versicherungsapplikation geschrieben werden sollte. Das Niveau von Controlling und Leistung durch gute Kommunikation ist bereits merklich gestiegen. Trotzdem liegen Projektleistung und Qualität von einer Abteilung zur anderen weit auseinander.

… die Realität und ihre Folgen

Ein Hersteller eines renomierten Billingsystems hatte nach Qualitätsprüfung des Codes unterirdisch schlechte Werte. Der Abnehmer der Systeme war aber schon derartig “am Haken”, dass er auf fortwährende Optimierungen und massives Debugging angewiesen war. Hier hat sich das Geschäftsmodell “produziere Code mit heisser Nadel und versetze den Kunden in eine strategische Abhängigkeit” für eine Seite ausgezahlt. Selbst ohne Böswilligkeit bzw. unkluger langfristiger Planung ist Software-Design für den Auftraggeber oft Glücksspiel. Eine Marketingabteilung denkt, es sei normal oder findet sich damit ab, dass eine Blaufärbung eines grünen Buttons mit 2 Manntagen veranschlagt wird; ein freier IT-Berater stellt an einem Tag eine stabile Software auf die Beine, die Microsoft in Mannmonaten nicht hätte entwickeln können.

Zu oft werden hier Planungs- und Leitungsfehler unterstellt, während die Ingenieursseite, welche die eigentlich Innovation aus den Ideen der Auftraggeber in die Realität überführt, unterbelichtet bleibt. Die Finanzkrise krankte an undurchschaubaren Finanzprodukten, die keiner mehr verstand und jene, die sie verstanden, profitierten vom Unverständnis der anderen. Codier-Dummheit ist oft genauso gut in Zertifizierungen, Diplomen und TÜV-Auszeichnungen eingepackt. Es ist wert zu prüfen, welchen Einfluss das eigentliche “Hacking” auf Hack-produkte, sprich Software, hat.

Top-Ten typischer Codierungs-Mängel

Argumentativ ist es schwer, neben der Kodier-Qualität andere signifikante Einflussfaktoren “guter” Software zu sehen. Dies gilt umso mehr für Querschnitts-Aufgaben, die definitonsgemäß keine neue Zeile Code definieren oder hinzufügen. Verbesserungen von oben über moderne Managementansätze, sehen Codierung als Black-Box und optimieren über Dokumente (Spezifikationen) und Gruppenkoordination (z.B. tägliche Meetings). Verbesserungen von hinten über nachgelagerte QA-Abteilungen sehen Codierung als Küche und optimieren als Restauranttester über schnelle Entwicklungsschleifen und Debugginganstöße. Die Business-Seite sieht oft die gesamte IT-Abteilung als undurchschaubaren Lieferant und optimiert durch Marketing, Schulung und Verträge den Nutzen für sich.

Werfen wir einen Blick in die schwarze Schachtel guter oder schlechter Software-Entwicklung:

<Bild: Anteil der Codierungsqualität an der Projektqualität>

1. Fehler aus Datentypen
2. Fehler wegen Overflows
3. Scope-Fehler und andere Seiteneffekte
4. Redundanzfreiheit vs. Copy&Paste
5. Nichtbeachtung von Style-Guides
6. Nichtbeachtung von Software-Architekturen
7. Schlechte Team-Vorgaben für Entwickler
8. Wunschfehler: Obfuskation
9. Wunschfehler: strategische Abhängigkeit
10. Wunschfehler: Fresh-outs und Offshoring

Fazit

Gute Software ist als Innovationsleistung zumeist kein Produkt dicker Investitionen, sondern ambitionierter und disziplinierter Köpfe. Lassen wir einmal weg, das Kunden oft nicht wissen, was sie letztendlich möchten und einige Häuser aus taktischen Gründen nicht gut sein wollen oder müssen. Dann bleibt immer noch im interdisziplinären Zusammenspiel zwischen Kunde, Projektleitung, QA-Abteilung und Programmierer Letzterer in seiner kleinen Welt alleingelassen.

Rennfahrer müssen nicht verstehen, wie ein Motor aufgebaut ist – Michael Schuhmacher kann sich aber stundenlang mit Technikern unterhalten und im Zusammenspiel das Optimum aus dem Team herausholen.

In der IT-Abteilung, glaubt man gern an Begriffe wie “kompaktes Projekt”, “kleine Aufgabe”, “klare Iteration”, “komplettes Projektportfolio”. Oft wird eine kleine Aufgabe in ein Mega-Projekt aufgebauscht, oft ein ursprüngliches Projektportfolio in ein Mini-Projekt zusammengestrichen. Eine IT-Organisation kann dann wesentlich effizienter werden, wenn die Komplexität eines Problems sowie der zugehörigen Lösung korrekt eingeschätzt werden. Zusätzlich verändern sich Aufgabenstellungen während ihrer “Lebenszeit”: Programme erledigen komlexere Tasks, die IT-Architektur wird komplexer oder einfacher, Unternehmen wachsen und ändern Ihre Abläufe. Wenn Nutzer und Entwickler lernen, falten Sie – Es wäre wunderbar, wenn GUIs optimal von Lern- auf Profi-Oberfläche mitwachsen könnten, oder alte vergessene Büchsen der Pandora wieder öffnen könnte. Besser lassen sollte man eine Professionalisierung, wenn es günstige und gut einzubindende externe Lösungen gibt, sprich Standardprogramme, Outsourcing und Offshoring. Eine Entscheidung und Implementierung einer solchen Lösung ist auch Faltung der Komplexität.

Wenn der Punkt erreicht ist, wo aktuelle Prinzipien und Methoden nicht mehr angemessen sind, muss gefaltet werden. Bei zu komplexer Datenstruktur wird ein Excel-Problem zu einen Oracle-Problem zusammengefaltet, eine völlig unausgelastete DB-Lösung zu einer einfachen Liste aufgefaltet. Bereits bei der Erstellung einer Lösung wird gefaltet und zwar in Form der Integration. Programmierer entwickeln Skriptlets auf Ihrem PC, Arbeitsgruppen testen auf einem Simulationsserver, Beta-Tester operieren auf einer betriebsnahen kompletten Platform. Faltungsprobleme entstehen also ständig, werden aber nur mühsam gelöst und wenig analysiert. Faltungstools und Faltungskonzepte sind Killerapplikationen zur Kostenreduktion und zur Spaßmaximierung von Entwicklern!

Heute beobachten wir typische Schwächen einer IT-Organisation und falsch kategorisierter Vorhaben:

1. Aus realen Aufgaben werden falsche Projekte:
   Gesch.leitungs-diskussion, Aufmerksamkeit, Machtfrage
2. Aus realen Projekten werden falsche Aufgaben:
   Das kann doch nicht so schwer sein, Druck,
3. Späte Projekte werden aufgefächert:
4. Das Backend ist trivial und das Frontend ein Multi-Projekt:
5. Alte Besen verwirrt das Wachstum:
   Alte Methoden greifen nicht mehr …
6. Neue Besen verwirrt die Realität:
   Spielregeln gelten …
7. Leichter gewordene Spielregeln werden ignoriert:
   Innovation, Vereinfachungen, Deregulierung, Pseudo-Compliancy reicht, …
8. Härter gewordene Spielregeln werden ignoriert:
   Datenschutz, Produktanforderungen, Deps und Reqs
9. Komplexität wird nicht erhoben:
   Finger in den Wind-Einschätzung, schwache Definitionsphase
10. Schlechte Trennung zwischen IT-Operations, Customizing und F&E:

Krisen sind ernste Situationen, in denen wir vernünftiger Weise aufwachen und über die Sicherheit unseres Wohlstands nachdenken. Gerade Politiker wollen keinesfalls in Verbindung mit den zwangsläufigen Folgen in Verbindung gebracht werden: Aufdeckung von Wirtschaftskriminalität oder Fehlentscheidungen, Schließung von Unternehmen inkl. großzügigen Abfindungen für Top-Manager. Jedoch sind potentielle Fehlinvestitionen des Staates gut argumentierbar, teilweise zu Recht, noch öfter stimmungsmachend und zumindest in der Argumentation sehr fragwürdig.

Ich küsse deinen Freund, weil ich in Wahrheit dich liebe!

In diesen Tagen der Momente der Wahrheit, überdeckt durch massive Polemik, hören wir Politiker, die sich zu Äußerungen gezwungen sehen, die wir so nicht erwartet, geschweige denn gefordert hätten:

Das Maßnahmenpaket diene nicht in erster Linie dem Schutz der Banken, sondern dem Schutz der Bürgerinnen und Bürger. – Minister Steinbrück am 13.10.08 vor der Bundespressekonferenz in Berlin

This is aid for the people not for the conglomerates – Senator

und ich möchte hinzufügen:

You’re headed for disaster because you never read the signs, Too much love will kill you every time – Song from Queen

Auf der einen Seite scheint es “neutral” gesehen vernünftig, einem strauchelnden Mitspieler im großen Volkwirtschaftlichen Spiel wieder auf die Beine zu helfen, damit die alten Zustände und Regeln wieder greifen können. Auf der anderen Seite ist es natürlich paradox, Versagern oder sogar Betrügern mehr von dem Geld zu geben, dass sie in den letzten Jahren bereitwillig aus Dummheit oder Egoismus zum Schaden der Allgemeinheit verjubelt oder vorerst in Lichtenstein geparkt haben.

Rhetorisch, oder sagen wir hier besser polemisch, sind derartige Paradoxien durch zwei Mittel trotzdem durchsetzbar: Erstens, kann durch das Aufmalen von Endzeitstimmung und Monstern wie Massenarbeitslosigkeit ein massives Gefühl der Unsicherheit bishin zur Angst erzeugt werden und zweitens kann durch eine unsägliche Pauschalierung ein “Wir sitzen doch alle im selben Boot” Gefühl erzeugt werden, das Banken zu netten Mitspielern macht. Für Familien, die heute schon ihr Haus verloren haben oder Hartz IV-Empfänger wurden, ist letzteres Argument nur schwer zu verstehen und deshalb…

Es hatte schon etwas gespenstiges in die stillgelegte Anlage des Aquatops zu gehen, um an eine konspirative Tür zu klopfen. Nach einer Weile wurde einem geöffnet und man betrat, die merkwürdigste Sauna Deutschlands nördlich der Elbe…

Punkt 1

IBM sprach schon vor 30 Jahren von Build or Buy Entscheidungen für unternehmenskritische Systeme. Damals gehörten einem noch 100% der Engenieure von Designer bis Tester und Offshoring hiess noch Outsourcing. Wie sieht eine Build or Buy Entscheidung in modernen großen IT-Infrastrukturen heute aus?

punkt1

punkt2

meine Flaggen

Derzeit treffen zwei Überraschungen aufeinander: Die Bevölkerung und teile der Datenschutz-Gemeinde und Presse tun überrascht, dass massiv Daten illegal weitergegeben werden. Aktive IT-Experten sind dagegen überrascht, dass die bisher gezahlten Schweigegelder z.B. bei Datenklau in Banken ausreichten, die eklatanten Sicherheitsmängel und Löcher zu überdecken. Man fragt sich manchmal, warum noch nicht wesentlich mehr passiert ist. Sind Unternehmen, die abhängig von Kundendaten sind, ausreichend gegen interne und externe Angriffe gewappnet oder sind die publik gewordenen Skandale nicht nur die Spitze des Eisbergs und Vorbote einer Welle “flüchtiger Daten” ?

Daten-Skandale in Deutschland von 2008

Folgende Schlagzeilen begleiteten uns, chronologisch geordnet, durch das Jahr 2008:

“BND kauft für 4,2 Mio. € DVD mit Daten aus Liechtensteiner Stiftungen”, Berichte vom 28. Februar

Die Aufdeckung von Steuerhinterziehungen wie die von Ex-Post Chef Zumwinkel mit Hilfe von gestohlenen Daten bleibt umstritten.

“Rene Obermann stößt Aufarbeitung von Telekom Inhouse Spionage an”, Ende April

Seit 2005 versuchte die Geschäftsleitung per illegalem Abhören von Mitarbeitern und Journalisten “Löcher zu stopfen”. WDR-Bericht

“LDAP-Exploit von 26.000 Studentendaten der Uni Göttingen”, Heise Bericht vom 2. Oktober

Hacker verweisen auf Sicherheitslücke und stellen nach Ignorierung der Warnung Daten ins Web. Heise-Artikel

“Diebstahl von 17 Millionen T-Mobile Kundendaten wird publik”, Spiegel-Bericht vom 4. Oktober

Spiegel publiziert Massendiebstahl von Mobil+Adressdaten den T-Mobile bereits 2006 zur Anzeige gebracht hatte.

“T-Mobile Kundendaten inklusive Bankverbindung per Web einsehbar”, Spiegel-Bericht vom 11. Oktober

Spiegel deckte auf das jeder zweite Kunde von T-Mobile im Exploit nicht nur sichtbar war, sondern z.B. auch seine Bankverbindung änderbar.

“LottoTeam bzw. dessen externe Dienstleister missbrauchen 17.000 Kundendaten”, Berichte vom 12. Oktober

Scheinbar von der SKL stammende Daten werden für Spamanrufe mit anschließend fingierte Verträge kriminell missbraucht.

“Paket mit 21 Millionen Bankverbindungen und Vermögensdaten im Umlauf”, Bericht der Wirtschaftswoche vom 7. Dezember

Dem Magazin wurde das Paket für 12 Mio. € zum Kauf angeboten und ein Sample mit 1,2 Millionen Daten vorab zugespielt.

“Datenklau von 10.000den Kreditkarteninfos und separaten PINs bei der LBB”, Berichte vom 13.Dezember

Die Frankfurter Rundschau erhielt analoge Microfiche-Sammlung von Kreditkarteninformationen aus dem Hause LBB sowie dessen IT-Dienstleister Atos Worldline. Fokus Artikel

Was sind mögliche Schadenpotentiale, wenn ein Unternehmen Kundendaten an Außenstehende verliert und die Presse “Wind davon bekommt”? Meine persönlichen Top10-Kandidaten:

1. Einfacher Image-Schaden + Rückstellungen für Regressforderungen “bloßgestellter Kunden”:Beginnen wir mit einer wirklich vagen Schadenskategorie, bei der Nutzen und Schaden nahezu nicht quantifizierbar sind. Beim Fall der vor 2 Jahren gestohlenen T-Mobile Daten (Rufnummer und Anschrift) wird ein vorsichtiger Controller ggf. buchhaltärische Rückstellungen vornehmen. Eine Schadensersatzforderung gegen T-Mobile, bei der René Obermann noch als Aufklärer und Entschuldiger sein Image verbessert hat, ist de facto nicht möglich.
2. Einbruch in Kundenentwicklung wegen Vertrauensschadens:Schwerer wiegen da schon Verluste von Credentials, also Zugangsinformationen zu Nutzer- oder Geldkonten. Da, wie im Fall der LBB, Bankgeschäfte massiv auf Vertrauen beruhen, kann eine derartig brisante Sicherheitslücke zur Brandmarkung als schwarzes Schaf unter “guten Banken” führen. Ob hier nur einige Prozent Kundenschwund und entgangenes Wachstum zu beklagen ist, bleibt abzuwarten.
3. Schäden aus kriminellen Handlungen auf Basis gestohlener Daten:Käufer gestohlener Daten wollen ihr Investment in Geld umwandeln, was entweder durch Weiterverkauf oder am Ende durch kriminellen Mißbrauch der Daten geschieht. Schwer sichtbar ist Datenkauf im Fall von Industriespionage oder geheimdienstlicher Aktionen, die zweifelsfrei öfter geschieht als der zweite Fall. Dieser besteht z.B. in dem Vortäuschen von Verträgen, wie im Fall der SKL-Daten. Hier wurde den Opfern, deren Bankdaten man kannte, über die Call-Center-Masche Verträge unterstellt, die sie nie abgeschlossen hatten. In einer Zeit in der die Opfer-Kommunikation über das Web 2.0 rasant schnell verläuft, scheinen diese Form von Massenverbrechen an geklauten Massendaten aber im Aussterben begriffen. Eher vorstellbar sind Anschläge der leisen Form mit Mikrobeträgen oder komplette Räumungen von gut gefüllten Konten über eine Briefkastenfirma in einem Steuerparadies, denen Verschwiegenheit mehr Wert ist als sonstige ethische Maßstäbe.
4. Kosten für direkte technische Aufräumarbeiten “Stopfen der Löcher”:Sehr oft liegen, selbst bei äußerst renomierten Firmen, die Schlüssel zum Banktresor im Blumentopf rechts neben der Eingangstür. Selbst bei einer trivialen Lücke, kann man davon ausgehen, dass ein kleines Projekt aufgesetzt wird, dass in vielen Meetings letztlich beschließt, eine sinnvolle Authentifizierung einzuführen und den Schlüssel in Zukunft besser zu verstecken, beispielsweise unter der Fußmatte (mehr Infos hier). In großen Unternehmen betragen die Vollkosten eines solchen Projekts mindestens einige hundertausend Euro.
5. Kosten für die Vermeidung ähnlichen Katastrophen (Prophylaxe):Zu selten geschieht in Unternehmen das, was in der Politik häufig praktiziert wird: Ein Pendel schlägt nach einer Katastrophe sehr stark in eine Richtung aus, um Wiederholungen nahezu auszuschließen. Technisch gesehen heißt Prophylaxe oft komplettes Auswechseln großer Bereiche einer IT-Architektur oder zumindest formalisierte Sicherheitschecks, die ein ehemaliges 5-Tage Quickshot Projekt in ein 3-Monate Monster verwandeln und die Marketing-Abteilungen auf harte Geduldsproben stellen. Ernst gemeinte und gut betriebene Reformierung der IT-Prozesse kann sie schlank, schnell und sicher machen – kostet allerdings in der Anschaffung Millionen!
6. Kosten für proaktive Aufräumarbeiten:Es gibt eine besondere Form des Aufräumens, falls die Bedrohung durch z.B. gestohlene Kreditkarten-PINs zu stark ist: Hier sind Neuausstellungen von Karten mit neuen PINs häufig unumgänglich. Samt des dafür notwendigen internen Projekts, physischer Zustellung und Kommunikation mit dem Kunden kommen schnell 5 bis 50 Euro pro betroffenen Kunden zusammen. (Manche Call-Center bemessen bereits einen Kundenanruf mit internen Kosten von einigen Euro)
7. Kostspielige Unruhe in der Unternehmensorganisation:Das Mitarbeiter in der Kantine über Skandale reden, ist kein Schaden, sondern ein sehr wichtiges Bewußtwerden, wie wichtig Sicherheit und Integrität beim Produktionsfaktor “Kundendaten” sind. Auf der anderen Seite sind auch Auswüchse zu beobachten, die ins Geld gehen: Es bilden sich interne Fronten bishin zur Bespitzelung von Mitarbeitern und Journalisten (siehe Telekom-Skandal). Die Einführung von Risiko- und Qualitätsmanagement führt zur Verschiebung in der Machtbalance zwischen Fachabteilungen und interner oder externer Technik. Projekte verändern ihre Kostenstruktur und Dauer oder werden von vornherein abgelehnt.
8. Abfindungen für rollende Köpfe:Das ein Unternehmen von schlecht arbeitenden Top-Managern Schadenersatz verlangt, wie dies im Zuge der Korruptionsskandale bei Siemens geschieht, ist die absolute Ausnahme. Eher sind die Arbeitsverträge hochbezahlter Führungskräfte so gestrickt, dass sie selbst bei offensichtlichen Nichtstun gegen Bedrohungen der Firma, zwar aus dem Unternehmen fliegen, aber bei diesem Ausscheidungsvorgang noch Abfindungen in Große von Jahresgehältern mitnehmen.
9. Schaden aus nicht publik gewordenen flüchtigen Daten:Nehmen wir einmal an, die Firma macht die öffentliche Rechnung auf, welchen Schaden ihr durch den Datenskandal entstanden ist. Ist nicht anzunehmen, dass bei Firmen mit laxen Sicherheitsstandards und gemobbten, ausgenutzten Mitarbeitern, nicht wesentlich mehr Informationen aus dem Unternehmen gewandert sind? Ist dieser Teil des Schadenseisbergs unter der Wasserlinie nicht bedeutender als der publik gewordene? Was ist mit den unbemerkten Verbrechen? Was geschieht, wenn Daten nicht kopiert, sondern wichtige Bestands- und Transaktionsdaten unbrauchbar gemacht werden?
10. Schäden für Kunden, die besser durchleuchtet werden:Unternehmen sind rational agierende Externalisierer von Schulden und Schäden. Ein Umweltschaden, den man der Allgemeinheit aufbürden kann, wird ebenso gern betrieben wie die Inkaufnahme von Belastungen der Kunden, gerade wenn ein Datendiebstahl noch verborgen ist und man ihn hofft auszusitzen. Sollte es dann zur Aufdeckung durch die “böse Presse” kommen, ist oft eine Salamitaktik in der Informationspolitik zu beobachten. Selbst bei direkten Schädigungen der Kunden, deren Bankkonten geplündert wurden, ist die Chance groß, dass die bestohlene Firma Rückzahlungen verschleppt oder sogar grundweg ablehnt.Ist eine Frau geschädigt, deren EVN im Internet auftaucht, woraus ein betrogener Ehemann die Gespräche mit Giacomo ermittelt? Ist Herr Zumwinkel ein Opfer, wenn vorgebliche Stiftungen seinen Ruf beschädigen und zu massiven Nachzahlungen beim deutschen Fiskus führen?

Manager aus den Reihen der Unternehmensführung sind oft entsetzt, welche Schadenslawine ein simpler Datendiebstahl auf einem USB-Stick für 8 Euro auf einen zurollen kann. Sicherlich ist bei genauer Analyse des Schadensfalls eine Katastrophenstimmung wie bei der Finanzkrise nicht angebracht; Kosten und entgangene Gewinne liegen hoch aber nicht auf einem existenzgefährdenden Niveau. Eine Firma, die unter dem doppelten Verkaufspreis der gestohlenen Daten davon kommt, würde mich persönlich sehr überraschen. Dieser beträgt heutzutage …

Die große Ausrede: “Sorry, das Restrisiko ist nun mal da!”

Ein guter Aspekt in den Datenkatastrophen ist zunächst, dass sogar Finanzdienstleister mit gequältem Gesichtsausdruck heute zugeben müssen, dass Fraud, also Betrugsfälle auf Basis von geklauten Daten, möglich sind und nicht mehr pauschal wie in der Vergangenheit auf die Schultern der geschädigten Kunden abgewältzt werden können. So änderte sich die Argumentation der Pressesprecher großer Unternehmen von “unsere Systeme sind 100%ig sicher” hin zu “gegen kriminelle Individuen mit extrem hoher technischer Kompetenz kann man sich prinzipiell nicht wehren”. Auch wenn so eine Feststellung prinzipiell richtig ist, stellt sie doch im Jahr 2008 noch eine bewusste Beschönigung technischer Löcher und Unverständnis bei vielen Firmen dar. So lange triviale und mittelschwere Sicherheitslöcher nicht gestopft sind, kann sich keine Firma derartig rausreden. Beispiele für triviale Löcher reichen von “Fehlende Kontrolle der Kontrolleure” bis zu “Fehlende Motivation Datenschutz zu implementieren und zu betreiben” (siehe meine Top-10 der Versäumnisse)

Datendiebe: Von Skript-Kiddies bis korrupten Managern

Bei kriminellen Handlungen ist es zunächst sinnvoll, nach der Zielsetzung bzw. Motivation der Täter zu fragen. Diese reicht von spielerische Ausspähung durch Teenager über Mitnahme sensibler Information durch gemobbte Mitarbeiter bishin zur beauftragten Sammlung oder physischen Einbruch in die Rechenzentren.

Leider ist zu beobachten, dass selbst Skipt-Kids mit wenig Know-How oftmals auf ungesicherte Systeme stoßen, die leicht auszuspähen sind. Ein Gericht, das einen Jugendlichen verurteilen müsste, der ein offenstehendes Anwesen ausgeraubt hat, wird sicherlich das Strafmaß senken. Schließlich ist es prinzipiell die Pflicht der Datenbesitzer, den Zugang nach besten Gewissen und Stand der Technik zu schützen.

Es ist nicht chique in Tagen der Mitarbeiterobservierung z.B. durch Lidl zu behaupten, die größte Gefahr geht von innen aus. Eine Absicherung, die aber nur auf Technik und Arbeitsanweisungen (Organisation) setzt, die Verantwortung des Personals aber nur indirekt im Fokus hat, wird scheitern. Die Spanne sinnvoller Maßnahmen ist weit. Sie reicht von verpflichtenden Einstiegsschulungen z.B. über Passwortgebrauch und Clean-Desk-Policies bishin zum effektiven Kontakt sicherheitskritischer Posten mit der internen Revision.

Aktionismus und sinnvolle Maßnahmen?

Bevor man garnichts tut, ist Aktionismus sicherlich nicht schlecht, denn irgendetwas wird in den Köpfen schon zurückbleiben. Besser wäre es sinnvoll dem Problem des Datenklaus zu begegnen. Hier zwei Beispiele fehlgerichteter Management-Entscheidungen:

• Problem nicht ernstgenommen: Es gibt viele Gründe für Chefs, auch nach einem Skandal nur wenig Einsicht zu zeigen. Diese reichen von “das ist doch nur ein technisches Problem” über “meine Mitarbeiter machen sowas nicht” bis zu “solche Katastrophen müssen unter den Teppich gekehrt werden”. So wundert es nicht, wenn ausser Appellen und ein wenig Sicherheits-PR nicht viel geschieht.
• Geld allein löst das Problem: Externe Berater könnten vorschlagen, die Sicherheitskosten auf x% der IT-Ausgaben zu erhöhen. So stünde man mit den Vorreitern der Branche zwar buchhaltärisch auf einer Ebene, verschwendet möglicherweise aber Resssourcen durch eine dumme IT-Strategie.

Frage 1: Spitze des Eisbergs flüchtiger Daten?

Die Dunkelziffer bemerkter Datendiebstähle ist groß. Die Dunkelziffer unbemerkter Kopien definitionsgemäß größer. Betrachtet man aber nur Kundendaten ist die Zahl aus zwei Gründen nicht so dramatisch wie man aus Angst vermuten könnte: Zunächst wird ein Mitarbeiter, der z.B. das interne Adressbuch der Firma kopiert, um mit Kollegen in Kontakt zu bleiben nur selten die Motivation haben, eine harte Straftat mit Kundendaten zu begehen. Zum anderen sind kopierte Daten immer unspannender, weil z.B. Name und Anschrift bequem über (halb-)legale Quellen erworben werden können. Besitzt man z.B. die Pin-Daten von Mobilfunk-Kunden einer Telco-Firma, könnte man sich fragen, welchen Nutzen ein Dieb daraus ziehen kann. Theoretisch wäre es möglich einen Clone einer Sim-Karte zu produzieren, um dann auf dem Konto eines existierenden Benutzers zu telefonieren. Der organisatorisch-technische Aufwand um dies zu tun, ist bereits im Einzelfall immens. In der Masse müsste ein Angriff generalstabsmäßig geplant werden und ist sehr unwahrscheinlich.

Zussammengefasst werden Daten aufgrund zentraler digitaler Erfassung und technischer Kopiermöglichkeiten immer flüchtiger, allerdings sollte man auch das Schadenspotential potentieller Löcher realistisch einschätzen.

Frage 2: Neue deutsche Welle flüchtiger Daten?

Wahrscheinlich wird es noch einige Jahre bemerkenswerte Diebstähle geben, bis sich die Unternehmen gut abgesichert haben werden. Bis dahin sind Spammer, Bankkonto-Plünderer und andere Kriminelle nicht nur in Deutschland sehr interessiert an dem Gespräch mit korrupten IT-Mitarbeitern und Datenhehlern. Nicht nur in Deutschland hat man erkannt, dass über einen USB-Stick eine Millionen “Kunden” bequem zu transportieren sind. Ein Massendelikt auf Basis dieser Daten ist schwer durchführbar aber nicht unmöglich, wie wir am Beispiel des LottoTeams sahen.

Der Diebstahl von sogenannten Masterdaten ist aber nur ein Teil sicherungswürdiger Informationen. Darüber hinaus sind Transaktionsdaten, z.B. abgefangene TANs, Gesprächsdaten und Mails, etc. für viele Industrie-Spione wesentlich interessanter. Gleichzeitig boomt der Toolmarkt von Auswertungswerkzeugen, die aus Datensammlungen wichtige Statistiken ermittlen. Ein Unternehmen von heute möchte sich kundenfreundlich darstellen, aber bestimmt nicht gläsern sein bezüglich der tatsächlichen Leistungsfähigkeit bzw. deren Leichen im Keller.

Fazit

Wenn immer öfter sogenannte Skandale unser Weltbild der perfekt geschützten Unternehmen ins Wanken bringen, dann könnte auch an unserem Weltbild etwas nicht in Ordnung sein. Die gesamte IT-Industrie strebt nach universeller Verfügbarkeit des “ubiquotous computing” und der Kosteneinsparung z.B. durch Nutzung öffentlicher Datenkanäle (VPN) oder schwach geschützer Browser-Frontends – Sicherheitsdenken und Qualitätsbewußtsein bleibt bei Managern auf der Strecke, die noch 100 Features über indische Entwickler erstellen lassen, um sie dann in sehr fragmentierte Firmennetze aktiv zu schalten.

Im positven Fall lösen Skandale Heilungsprozesse aus, bei denen IT-Architekten mit Ihren Vorschlägen verstärkt gehört werden, denn technisch kann man heute schon viele “Flüchtigkeitslöcher” stopfen. Bei krimineller Energie sind natürlich auch innerhalb des Unternehmens Verschwiegenheitserklärungen nicht das Papier wert, auf dem sie stehen. Wenn gar Unternehmen Ihre Mitarbeiter oder Kunden bespitzeln wird schnell aus “kriminell” – “strategisch” und aus “Bespitzelung” – “Auswertung verdächtiger Subjekte”. Auch hier gibt es zu häufig fehlende Erklärungen, die Notwendiges vom Unethischen trennen sowie eine technisch-organisatorische Eindämmung des maximalen Schadens, die ein Mitarbeiter dem Unternehmen zufügen kann. Solange z.B. im Telefonie-Bereich staatlich verordnete Bespitzelungsmöglichkeiten (ETSI-Normen, TKV§5 etc.) im Vordergrund stehen, werden die berechtigten Stimmen des Daten-Verzichts und Daten-Vergessens überhört.

Ein abschließendes Wort an “uns Kunden”: Auch Banken und deren IT besteht aus Menschen, denen Fehler unterlaufen. Ihr Geld ist trotzdem sehr sicher. Eine gesundes Mißtrauen und vielleicht monatliche Kontrolle unserer Ausgaben steht uns sehr gut zu Gesicht. Banken müssen auf Basis ihrer Gewinne sowie der 0 Euro Kontoführungsgebühr operieren, was bezogen auf Sicherheitsinvestitionen pro Kunde ein Zielkonflikt darstellt. Die Dauer unserer Liebesbeziehungen und Ehen beträgt nur einige Jahre, die unserer Bankbeziehungen ist im Durchschnitt wesentlich länger. Wie sähe eine Welt aus, in der wir unseren Partnern mehr vergeben würden und Unternehmen, die nur “unser Bestes wollen”, kritischer hinterfragten?

George Carlin, gestorben am 22.Juni dieses Jahres in Santa Monica. George, wir denken an dich:

Some thoughts about Education in the USA:

In vielen Themes werden Artikel mit langweiligen Kategorien sowie Autorennamen angereichert. Oft möchte man aber Teaser mit Subtitel und Titel produzieren, wie sie es auf dieser Site sehen. Wie kann man dies erreichen?

Strukturinformationen eines Artikels sind Kategorie, Titel, Datum, Autor, etc. aber keineswegs ein zweiter Titel, den wir shortTitel nennen wollen. Das Prinzip ist immer, ein Zusatzfeld, was für unsere Ansprüche nicht vorhanden ist,  über mehr oder weniger schmutzige Tricks in jedem Artikel-Record zu emulieren. Es gibt folgende Möglichkeiten zusätztliche Strukturinfos in Wordpress-Artikel zu speichern:

1. “custom field”: Dies könnte dann mit get_post_custom_values(”shortTitle”); abgerufen werden. Nachteil wäre, dass diese Info in anderen Themes immer in den HTML-Seiten angepasst werden müsste. Würde man zusätzlich das Backend anpassen, würde ein neues Titelfeld oben in jedem Post erscheinen können.
2. Der Bild-Trick: Bilder haben in WP immer zwei Titel bzw. Namen. Diese kann man als Artikeltitel uminterpretieren und anzeigen. Wie in (1) muss man die HTMLs anpassen – Zusätzlich muss ein Bild in jeden Artikel.
3. shortTitle in den Text: Der Artikel könnte mit einem <h3>-Tag beginnen, der die Unterüberschrift enthält. Vorteil wäre, dass andere Themes vielleicht nicht so gut aussehen, aber sofort alle Informationen anzeigen. Nachteil wäre, dass wir ein Plugin brauchen, dass die Excerpts korrekt aufbereitet. Denn Excerpts in WP sind standardmäßig nicht formatierter Plain-Text.
4. Den Titel zerbrechen: Schon die Localization funktioniert bei Typo3 und z.B. qtranslate, indem es Zusatzinformationen (dort Sprachversionen) in dieselben Felder packt. Eine ShortTitel | Title Kombination könnte man ebenso durch ein Trennzeichen markieren, dass über PHP dann auf den Seiten aufgespalten wird.

meine Flaggen

Streit um Patente, Posten und Provisionen!

Zeiten des Umbruchs tun weh. Effekte der Rezession werden all diejenigen aufwachen lassen, die bisher noch bequem und entspannt im Fernsehsessel die Nachrichten einer scheinbar  sich ändernden Wirtschaftsordnung verfolgen. Von konjukturell bedingten Massenentlassungen, Hausverlust bis zu Radikalisierung der Politik ist alles genauso denkbar wie eine bisher noch für utopisch gehaltene, wirksame, einheitliche Strategie der G8 + X gegen die bösen Finanzbuben.

Ist es eine antiquierte Haltung oder sogar ein verhasster Kassandraruf zu behaupten, dass globalisierte Vernunft nach globalisierter Gier der “aufgeklärten Länder” nicht durchführbar erscheint? Sind Kontrollillusionen nicht Voraussetzung einer großen Katastrophe, wie wir schon am 26. April 1986 in Tschernobyl gesehen haben, dessen Reaktor nicht wegen maroder Technik explodiert ist, sondern weil man systembedingt das “Gaspedal” mit dem “Bremspedal” verwechselt hat?

Bei vielen besorgten Bürgern sieht man heute auf der Straße die Hoffnung auf “positive change – positive Veränderungen”: So werden wir gemeinsam mit Merkel, Obama und Ackermann derzeite Probleme lösen, die paar kranken Gierhälse in ihren Rechten einschränken und zu einer besseren Welt mit globalisierter Sozialen Marktwirtschaft beitragen.

… wenn da nicht das egoistische Tier wäre.

Adam Smith (1723-1790), der als einer der Gründerväter der kapitalistischen Theorie den Wohlstand und Glück der Menschheit auf den individuellen Egoismus und Gier einzelner Gruppen basieren läßt, wird in diesen Tagen selten zitiert. In Zeiten der Sozialisierung der Verluste, niedrigeren Tarifabschlüsse bei Gehaltsverhandlungen und massiver Neuverschuldung der Staaten ist es logisch, dass man die stillen Töne und Appelle an unsere altruistische Hilfsbereitschaft vorzieht. Sogar die abstrusesten Plantheorien, ganze Industrien kurzfristig steuern zu können, kommen aus Mündern ehemaliger radikaler Befürworter von Deregulierung und eines Staates, der sich ehedem mehr und mehr heraushalten sollte. Es ist äußerst spannend zu beobachten, welche interessengetriebenen Äußerungen heute auf uns niedergehen. Noch interessanter ist es, dass alte Machtstrukturen und verborgene Mechanismen uns bewusst werden oder sogar an vielen Beispielen aus der Dunkelheit ins Licht treten. Massive Konflikte und Krisen sind für Historiker, Psychologen, Sozialwissenschaftler et al. entscheidende Phasen, wo unser Bestes aber auch unsere tierischen Anlagen, Schwächen und Störungen zu Tage treten. Spielen nicht viele von uns Arten von Lotterien und damit Arten von Bereicherung ohne langweiliges Sparbuchzinsniveau? Sind nicht die meisten Gutverdiener oder Bewohner der “Festung Europa” ganz glücklich, nicht in Kenia, Indien oder schlimmer Kongo, Somalia oder Irak viel stärker um die Existenz kämpfen zu müssen?

Menschliches Tier oder tierischer Mensch?

xxx

Finanzkrise: Die Illusion “Geld”, die unser Leben bestimmt.

Rechtekrise: Andere Illusionen gefällig?

Die Change-Management Industrie

Eine ganze Change-Management Industrie nimmt Unternehmen an die Hand, die gravierende Änderungen wie Auslagerungen (Outsoursing, Offshoring), Unternehmensverschmelzungen bzw. -Trennungen (Merger & Aquisitions) u.a. herbeiführen wollen; Regierungen müssen Ihre sehr stabile Rolle der “Situationsbewahrer” in Zeiten der globalen Finanzkrise ändern, dazu lernen, flexibel werden, alte Berater den Laufpass geben und Fehler identifizieren, im Extremfall sogar zugeben.

Politik und Wirtschaftspolitik großer Konzerne + andere Mitspieler (Kirchen, Datenschützer…) sitzen am Pokertisch der Gewinne der eigenen Interessen in Aussicht stellt.

Die tatsächlichen Karten der Spieler sieht man nicht klar – der Moment der Wahrheit ist im Poker das Aufdecken der Blätter bzw. die Aufgabe der anderen Spieler (bei fehlender Einsicht in die “wahren Karten”) ..

These: durch das Pokerspiel der Beteiligten sind derzeitige Äußerungen der Finanzkrise zu hinterfragen…

Kommunikation: Sichten unterscheiden…

Wahrheit im vollem Umfang

geschicktes Verschweigen und Verstecken

(Liechtenstein… Bank-Bilanzen …)

Bluffen I: Anmaßen von fremden Erfolgen

Bluffen II: Schlechte Zustände auf andere Schieben (falls Verschweigen nicht mehr klappt)

Vergessliche Reporter: Salamitaktik statt Hosen runterlassen…

Der kleine Unterschied ist ein bedeutender Unterschied!

Nun könnte man argumentieren, dass Firmen Bilanzen und Regierungen Weiß- und Schwarzbücher haben … die Karten also sinngemäß schon lange auf dem Tisch liegen.

Was wir wissen macht uns oft nicht klüger bzgl. der wahren Möglichkeiten politischer und sozialer Änderungen.

Viele Auswirkungen und verdeckte Potentiale müssen selbst von den Akteuren nur geraten, also prognostiziert werden… Finanzkrise…

Redakteure mit Gedächtnis- oder Gewissensproblemen

Selbst bei freien und unabhängigen Redaktionen, die über die Finanzkrise berichten, ist Zeit = Geld und so frei kann z.B. ein Tiermagazin nicht sein, wenn die schlechte Qualität von Tierfutter nicht kritisiert werden kann, weil eben diese Hersteller auch Hauptinserenten der betreffenden Zeitschriften sind. Medien haben eine große Verantwortung bei der Übermittlung von Informationen, die unsere Zukunft betreffen. Allwissend sind sie nicht, eine subjektive Grundüberzeugung, nach denen sie Informationen filtern und aufbereiten haben alle. Solange sie dieser Überzeugung treu bleiben, können wir Journale wie Stern, Spiegel und Fokus gut einschätzen. Sollten sie aber in Zeiten großer Ahnungslosigkeit und fehlgeschlagener Prognosen mit niedrigem Profil nur Äußerungen der großen Spieler unkommentiert veröffentlichen, würde sich der Blick auf die wahren Karten wieder vernebeln und die Bluffs einiger Pokerspieler für Wahrheit gehalten.

Fazit

Der Macht- und Geldpoker in der Aufbruchstimmung vieler Globalisierungsgläubiger ist im Begriff durch einen Subventions- und Polemikpoker in Zeiten der Finanzkrise abgelöst zu werden. Umso wichtiger ist es, den Blick zurück nicht zu verlieren und hiermit ein sehr nüchternes und reales Bild der Karten der Big Player zu erhalten. Die Gesamtwirtschaft ist ein gnadenloser Croupier am Spieltisch der Entscheider, die heute gigantische Umverteilungen und Neue Regeln in die Wege leiten. Bereits 1995 thematisierte Günter Ogger mit dem Buch “Nieten in Nadelstreifen” eine Entfremdung inkompetenter Manager von Firmen- und Belegschaftsinteressen. Bleibt zu hoffen, dass “Politiker in Nadelstreifen” sich nicht mit Konjukturprogrammen verzocken, weil sie sich von volkswirtschaftliche Interessen der Bürger bereits entfremdet haben.