Ansichten eines Informatikers

„Microsoft bringt jeden Monat Backups heraus, die dann eingespielt werden“

Hadmut
7.6.2022 0:55

IT-Sicherheit, Geschmacksrichtung Österreich und allgemein.

Ich habe noch nicht die Zeit gehabt, unten genannten Text und das Video anzuschauen, aber es scheint, als ob die Russen gerade Kärntens IT plattkloppen. Ein Leser schreibt mir dazu:

Hallo Herr Danisch,

wahrscheinlich in Deutschland gänzlich unbemerkt, ist vor Wochen schon das österreichische Bundesland Kärnten von technical dept collectors besucht worden, die das ganz klassisch geransomed haben, Geld wollen
und dann weil keiner zahlt ein paar Daten geleakt haben.

So normal, so unspannend.

Heute gab es dazu allerdings eine Pressekonferenz, die sich kein Satiriker besser ausdenken hätte können.

Der Standard berichtet, aber lässt die Highlights weg:
https://www.derstandard.at/story/2000136331154/erneute-hackerangriffe-auf-land-kaernten-laut-landeshauptmann-kaiser-abgewehrt

Das ganze Video gibt es hier:
https://www.facebook.com/peter.kaiser.kaernten/videos/1116094258974575/

Ein paar Highlights:

Kein einziger IT-Mensch da. Der Cybersecurity-Experte hat Politikwissenschaften studiert, der IT-Leiter Jus (Jura). Bei 12:50 hält der IT-Leiter tatsächlich ihre eingerahmten ISO 9001 und ISO 27001 Zertifikate in die Kamera, um zu erklären, dass sie eh super sicher sind. Danach liest er stichpunktartig die TOMs vor.
Bei 21:45 wird lang und breit erklärt, dass die Russen schuld sind, und Diktator Putin das Umfeld dafür schafft. Bei 24:48 wird gefragt, wie oft es Backups gibt, und der IT-Chef des ganzen Bundeslandes erklärt dann, Microsoft bringt jedes Monat Backups heraus, die dann eingespielt werden. Er kennt offensichtlich den Unterschied zwischen Backups und Updates nicht.

Jetzt kann man da sicher lachen und sagen, jaja, haha, Ösis in Kärnten. Aber jeder, der mal in einer größeren Firma (die nicht IT-Dinge als Hauptaufgabe macht) oder gar der öffentlichen Verwaltung war, sollte sich mal überlegen, wie viel besser das dort ablaufen würde…

Das ist die westliche IT-Welt, die unsere Politik und Universitäten in den letzten Jahren geschaffen haben!

Die Stelle mit den von Microsoft herausgegebenen Backups, die monatlich eingespielt werden, habe ich mir jetzt schon angehört. Und das soll der „IT-Chef“ sein.

Das ist ein Effekt, den ich schon lange beobachte und beschreibe, in den auch die ganzen Quotenfrauen gehören: Man hat eine große Menge von geisteswissenschaftlich totstudierten Menschen, für die auf dem Arbeitsmarkt keinerlei Bedarf ist, und die zu alt sind, um in ihrem Leben noch irgendwas zu lernen, aber dafür parteinah. Dann sieht man, dass in Informatik ordentlich gezahlt wird und „Fachkräftemangel“ herrsche, also denkt man sich, dass man die Leute da einfach reindrückt, weil es doch sowieso keine Befähigung gibt und da alles nur ansozialisierte Gruppentänze sind. Quality is a myth und man ist nur das, wofür andere einen halten.

Passt dazu, dass ich mich 2008 ja schon mal mit dem damaligen BSI-Chef auf einer Konferenz vor Publikum angelegt habe, weil der die Auffassung der Bundesregierung verkündete, dass IT-Sicherheit eben sei, wenn eine IT-Sicherheitsbranche melde, dass sie steigende Umsätze habe, ganz egal, was IT-Sicherheit überhaupt ist.

Und so wird auch die IT in den Führungspositionen mit unfähigen Leuten vollgepumpt und im Ergebnis dann eben sowas wie Kärnten zerschossen.

Und das mit den ISO 9001 und ISO 27001-Zertifikaten ist auch ein ziemlicher Mist. Dieser ganze Zertifizierungskram ist zwar recht hübsch, einen an vieles zu erinnern, woran man vielleicht nicht denken würde. Aber wenn man daraus keine Konsequenzen zieht, wird es eben nicht sicher. Diese Zertifizierungskram heißt vor allem, dass man sich das Problem X angeschaut und was dazu entschieden und geschrieben hat, aber nicht, dass es sicher ist. Man kann da auch reinschreiben, dass man extra einen eingestellt hat, dessen alleinige Aufgabe es ist, die Risiken erkannt zu haben und in Kauf zu nehmen.

Die Zertifizierungen erfüllen in der Praxis damit vorrangig einen bestimmten Zweck: Die Geschäftsleitung mit einem Katalog jährlich aufgefrischter grüner Haken zu versorgen, mit dem sie im Katastrophenfall nachweisen können, dass sie es nicht verpennt haben. Das dient nur dazu, dass nicht der Kopf der Geschäftsleitung, sondern der irgendeines Mitarbeiters rollt.

Ich hatte mich vor noch gar nicht allzulanger Zeit mit der IT-Sicherheitsabteilung eines Konzernbereichs gefetzt. Ich hatte festgestellt, dass etwas unsicher ist und man das so nicht machen kann. Die IT-Sicherheitsabteilung sagte mir aber, dass sie sich nicht in das operative Geschäft einmischen und nur im Hintergrund dokumentieren. Was das für ein Blödsinn sei, hatte ich gefragt. Wenn man sich nicht ins Operative einmische, würde ja überhaupt nichts sicher.

Sie betrachteten es auch nicht als ihre Aufgabe oder auch nur ihre Fähigkeit oder ihr Ziel, etwas sicher zu machen oder Angriffe zu verhindern, antworteten sie mir. Ziel und Zweck ihres riesigen Verwaltungsaufwandes und der Erfassung aller Vorgänge sei es, dann, wenn etwas schief geht, der Geschäftsleitung sofort sagen zu können, wer dran schuld ist.

Man macht also nicht Sicherheit im technischen Sinne, nicht in dem Sinne, dass man irgendwas verhindert, sondern in dem Sinne, dass die Konzernleitung in der Sicherheit leben kann, dass sie im Schadensfall einen Schuldigen parat haben, den sie feuern können, und dann selbst nicht dran schuld sind.

Und je unfähiger die Leute sind, desto steiler machen sie Karriere, weil die Geschäftsleitung das gar nicht will, dass die IT-Sicherheit machen, sondern nur so tun als ob und viel Papier produzieren.

Das ist alles nur noch Witz und Hohn.

Ich habe vor 20 Jahren mal als Bewerber ein Bewerbungsgespräch abgebrochen und bin gegangen. Ein Headhunter hatte mich zu einer Firma gefahren, so als Überraschung, ich wusste vorher nicht, zu welcher Firma wir fahren, sollte aber da der Datenschutzbeauftragte werden. In einer Firma, in der das eine ziemlich kritische Sache wäre. Als ich diskutieren wollte, was da wie zu machen wäre, sagte man mir direkt und unverhohlen, dass ich mich rauszuhalten hätte. Ich würde nicht dafür bezahlt, dass ich was tue, sondern dafür, dass ich nichts tue und mich darauf beschränke, ein Türschild mit „Datenschutz“ drauf zu haben. Ich würde gut bezahlt, bräuchte nichts zu arbeiten, und es wäre in Ordnung, wenn ich den größten Teil meiner Arbeitszeit auf dem Golfplatz verbrächte. Dafür wäre ich dann der, der rausfliegen muss, wenn was anbrennt.

Ich hatte mich auch schon auf solche Stellen als Datenschützer oder IT-Sicherheitsleiter beworben, nur um dann vorne- oder hintenrum herauszufinden, dass die Ausschreibungen nicht echt waren und man gar niemanden einstellen wollte, aber nach außen hin den Anschein erwecken wollte, dass man sich schon darum gekümmert hätte, aber leider, leider – schlimmer Fachkräftemangel – niemanden gefunden habe. Oder auch nur so tun will, als prosperiere man, während man in Wirklichkeit hart sparen muss. (Wie in dem Erlebnis, als ich mal im weniger als halb besetzten Flieger saß und der Pilot beim Einsteigen darum bat, sich am Boden an die Fenster zu setzen, damit die anderen Fluglinien glauben, man wäre ausverkauft.)

Große Teile der IT-Sicherheitsbranche sind heute reiner Schwindel.

Ich habe Leute erlebt, die als CISO (Chief Information Security Officer) für einen großen Konzern tätig sind, aber sich nicht vorstellen konnten, wie man im Falle eines malware-kontaminierten PCs überhaupt herausfinden könnte, in welchem Kontinent (weltweit operierendes Unternehmen) steht, weil er den Unterschied zwischen Switching und Routing nicht verstehen konnte und auch nicht verstand, was in einem Switch vor sich geht und wie man abfragt, an welchem Port ein Rechner hängt.

IT-Sicherheit ist heute vor allem: Hohn.

Und der ganze Zertifizierungskram hat es nur noch schlimmer gemacht, weil man die Zertifizierungen heute braucht, um keinen Ärger zu kriegen. IT-Sicherheit ist heute, der Firmenleitung die Zertifizierungen zu beschaffen. Mit tatsächlicher Sicherheit hat das höchstens noch zufällig was zu tun.