Cryptography Reference
In-Depth Information
Vorschriften
Da das Zuckerbrot (Awareness-Maßnahmen, Benutzerfreundlichkeit) allein nicht
hilft, muss in Sachen Anwenderverhalten manchmal auch die Peitsche herhalten.
Mit anderen Worten: Ein Unternehmen muss bestimmte Verhaltensweisen des
Anwenders mit entsprechenden Vorschriften erzwingen. Schon im Arbeitsvertrag
kann vom Arbeitnehmer ein angemessener Umgang mit sicherheitskritischen
Daten verlangt werden. Details finden sich meist in speziellen Anweisungen. Sol-
che Anweisungen sollten natürlich knapp und verständlich verfasst sein.
Vorschriften zum Thema IT-Sicherheit haben nur einen Sinn, wenn sie auch
kontrolliert werden. Dies kann im Rahmen von Sicherheitsaudits geschehen.
Außerdem muss es Strafbestimmungen geben (beispielsweise für das unverschlüs-
selte Verschicken einer sensiblen Mail), die im Extremfall bis zu einer Abmah-
nung oder Kündigung gehen können. Vorschriften zum sicheren Umgang mit
Informationen sind ein wichtiger Bestandteil eines unternehmensweiten Sicher-
heitskonzepts.
Verhinderung
Am einfachsten lässt sich das Fehlverhalten von Anwendern verhindern, wenn
dieses technisch gar nicht möglich oder zumindest umständlich ist. Dafür gibt es
viele Beispiele:
■
Passwörter lassen sich notieren und an Kollegen weitergeben, biometrische
Merkmale (z.B. ein Fingerabdruck) dagegen nicht. Letztere zwingen den
Anwender also, sicherheitskritische Dinge zu unterlassen.
■
Ein E-Mail-Client oder ein Verschlüsselungs-Gateway lassen sich meist so
konfigurieren, dass der Anwender zur Verschlüsselung gezwungen wird.
■
Es gibt Verschlüsselungsprogramme, die in das Dateisystem integriert sind
und automatisch alles verschlüsseln, was in einem bestimmten Speicherbe-
reich abgelegt wird. Anwenderin Alice hat dadurch gar keine Möglichkeit,
ihre Daten nicht zu verschlüsseln.
17.7
Fazit
Eine altbekannte Weisheit lautet: In einer Expertendiskussion nimmt nicht dasje-
nige Thema den meisten Raum ein, das am wichtigsten ist, sondern dasjenige, mit
dem sich die Teilnehmer am besten auskennen. An diese Erkenntnis fühlt man
sich fast zwangsläufig erinnert, wenn man an Real-World-Attacken denkt. Diese
machen zwar in der Praxis einen Großteil aller Angriffe aus. In der wissenschaft-
lichen Forschung sind sie jedoch nur ein Randthema. Nur Seitenkanalangriffe
und Implementierungsfehler spielen dort überhaupt eine Rolle, während Insider-
angriffe und Anwenderfehlverhalten für viele Kryptografen Fremdwörter zu sein
scheinen.
