Ansichten eines Informatikers

Der Chief Information Security Officer der Universität zu Köln

Hadmut
21.12.2023 21:06

Leser fragen – Danisch weiß es auch nicht. Und es ist ihm auch egal.

Ein Leser fragt an, ob mir der Vorgang bekannt sei:

Lieber Herr Danisch,

das passt zu dem, was Sie immer wieder zu IT-Sicherheit schreiben:

https://hd.dh.nrw/flying-experts/irmgard-blomenkemper

Die Dame, die ein “geisteswissenschaftliches Studium absolviert” hat – was genau ist offensichtlich unwichtig – ist jetzt Chief Information Security Officer der Universitaet zu Koeln:

https://rrzk.uni-koeln.de/das-rrzk/kontakt/beschaeftigte/stabsstelle-security-operations

Ihre Kompetenz beweist sie auch hier:

https://wisskomm.social/@unikoeln_it

(etwas nach unten scrollen zu “Auf einen Cookie mit Irmgard Blomenkemper”).

Nein, kenne ich nicht. Weder Person noch Vorgang.

Auffällig ist, dass man immer nur findet

Irmgard Blomenkemper M.A. hat ein geisteswissenschaftliches Studium absolviert …

Man aber nirgends findet, welches Studium. Nicht mal in der Vita. Ist wohl zu peinlich.

und dann sowas wie

… ist als Wissenschaftliche Mitarbeiterin im Regionalen Rechenzentrum der Universität zu Köln unter anderem für Awareness-Maßnahmen im Bereich der IT-Sicherheit verantwortlich. In Kursen und Workshops leitet sie Beschäftigte und Studierende zum verantwortungsvollen Umgang mit Informationstechnik, den eigenen Geräten und Daten an.

„verantwortungsvoller Umgang mit Informationstechnik“. Das hört sich nach dem seit Aufkommen der Frauenquote üblichen Geschwätz an, das in der IT-Sicherheit um sich gegriffen hat, um Leute unterzubringen, die sich zum Fach nichts sagen können. Ich habe das selbst erlebt, dass man plötzlich Ratespiele machen soll, und in einer anderer Schulung (allerdings nicht IT-Sicherheit, sondern was anderes, aber ähnlich) bekamen wir Papier und Wachsmalstifte, und sollten malen und das dann an die Wand hängen. Weil der Job für Frauen gemacht ist, die gerade vom Kindergarten kommen.

Und wie das an den Universitäten mit der IT-Sicherheit läuft, habe ich Euch doch beschrieben.

Man findet auch irgendwie nichts von der, nur ganz viele Lobeshymnen, Vorträge, Auftritte zu „Security Awareness“ und „Phishing“, also mehr so ein allgemeines Herumgelaber.

Da:

Als Autorin arbeitete Irmgard Blomenkemper mit an der Erstellung und Veröffentlichung des IT-Grundschutzprofils für Hochschulen, das 2019 und 2020 in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik entstanden ist.
Gut vernetzt mit anderen Hochschulen und Hochschulrechenzentren ist sie durch die Mitgliedschaft in verschiedenen Arbeitsgruppen und als Sprecherin des Arbeitskreises IT-Servicemanagement im ZKI.

Man findet eine Seite zu ihren Vorlesungen, aber da steht nur

Weitere Informationen finden Sie hier: http://uni-koeln.de/~ib

und der Link zeigt ins Leere.

Man findet sie allerdings auf einer Webseite des Instituts für Digital Humanities der philosophischen Fakultät.

„Digital Humanities“ hört sich an wie das verzweifelte Unterfangen von Geisteswissenschaftlern, wider die Lebensplanung doch noch zu Relevanz und Lebensunterhalt zu kommen, weil sich die Vorhersage der Marxisten, dass Hunger nur ein soziales Konstrukt sei und man das Essen dekonstruieren müsse, auch nicht bewahrheitet hat.

Das ganze Ding hört sich an wie eine Sozialoperation mit dem Ziel, Leute, die man weder innerhalb noch außerhalb der Universität noch unterbringen könnte, in einer Berufsfiktion auf Steuerzahlerkosten unterzubringen.

Der Knackpunkt ist offenbar die „Vereinbarung zur Informationssicherheit an den Hochschulen“, worin NRW die Angst äußert, dass die Hochschulen immer mehr zum Ziel von Cyberangriffen werden, und auch was finanziert, aber dann auch wieder nur 80.000 Euro pro Jahr für die Stelle ausgibt, und davon muss man ja noch die Arbeitgeberkosten abziehen, bis man beim brutto-Gehalt ankommt. Für das Geld bekommt man keinen ernstlichen Security-Experten am Markt, schon gar keinen, der in der Lage wäre, eine Universität abzusichern – und Lust hätte, sich mit so einer linken Klapsmühle herumzuärgern, zu denen die Universitäten heute geworden sind. Also wird einfach irgendwer draufgesetzt, Frau natürlich, damit man eine Geisteswissenschaftlerin vor der Arbeitslosigkeit (Stichwort Erdbeerpflücker) rettet, und gleichzeitig nach oben meldet, die Stelle sei besetzt. Deshalb muss man noch etwas Lobhudelei publizieren, damit man die auf Google üperhaupt irgendwie findet, falls mal jemand fragt. Und dann hat sie eben „irgendwo mitgeschrieben“, irgendwelche Workshops gehalten, in „Security Awareness“ gemacht und vor „Phishing“ gewarnt. So macht man heute im Zeitalter des Sozialismus „Experten“. Siehe Laura Dornheim, IT-Referentin von München.

Und so teilt die philosophische Fakultät und nicht etwa die für Informatik mit:

Philosophische Fakultät der Universität zu Köln

Gerade startet die Woche der IT-Sicherheit im Rechenzentrum der Uni Köln (RRKZ).

Um 13.30 Uhr spricht als erstes Irmgard Blomenkemper zum Thema: „Alles in die Wolke?“ Cloud-Speicher: Fluch und Segen für die Sicherheit der eigenen Daten. Was kann ich tun, um meine Daten zu schützen? Wie geht sicheres Datei-Sharing?

Jetzt muss ich mal ganz blöd fragen: Wundert das noch irgendwen?

Das sind genau die Effekte, derentwegen ich nach über 30 Jahren das Thema IT-Sicherheit aufgegeben habe. Ich hatte das ja schon angesprochen, dass wir auch 40 Jahren nach „With Microskope and Tweezers“ immer noch kaum weitergekommen sind. In vielen Konzernen wird IT-Sicherheit nur noch (oder immer noch) als formale Pflichtübung angesehen, deren Aufgabe es ist, möglichst wenig den Betrieb zu stören und den Vorstand mit einem schönen Katalog von grünen Haken versorgt, damit der Vorstand dann, wenn irgendwas anbrennt oder auffliegt, alle Schuld von sich weisen kann.

Und es wird immer infantiler, wir rutschen immer mehr in eine Belehrungs-Sicherheit ab. Das ganze Ding wird immer mehr – wie die Feministen das forderten – zum Sozial-Ding, und alles Technische schiebt man mehr und mehr in die Cloud. Genau die „Enttechnisierung der IT“, die man gefordert hatte.

Und deshalb heißt es dann auch immer, wenn mal wieder eine Universität lahmgelegt wurde, dass das wohl Phishing gewesen wäre.

Die Aufgabe der IT-Sicherheit wäre nicht (nur), die Leute vor Phishing zu warnen. Denn das hat auch nur funktioniert, solange Phishing leicht zu erkennen war. Die Phishing-Seiten und -Mails werden aber immer besser, immer schwerer zu erkennen, währen die „echten“ Seiten immer dämlicher werden und inzwischen mehr nach Phishing aussehen als die Phishing-Seiten. Selbst ich als Sicherheitsfuzzi kann das inzwischen nicht immer auf Anhieb und ohne genauere Untersuchung sagen, ob etwas echt ist. Ich habe schon echte Seiten abgelehnt, obwohl ich wusste, dass sie wohl echt sind, weil sie so schlecht waren, dass man sie von Phishing nicht unterscheiden könnte, und man sich deshalb für Phishing angreifbar machte, wenn man sich auf das Schema einließe.

Die Aufgabe der IT-Sicherheit wäre es, Phishing als Angriff unmöglich zu machen.

Sicherheit kann nicht auf der Hoffnung beruhen, dass ein großer Haufen Laien, die man mit so ein bisschen Awareness geschult hat, immer und genau weiß, auf welche Mails sie klicken dürfen und auf welche nicht. Das wird nicht funktionieren.

Das ist der Grund, warum mir mein Beruf, warum mir IT-Sicherheit keinen Spaß mehr macht. Das ist so verblödet wie so vieles in unserer Gesellschaft. Und überall hat man „Quereinsteiger“ ohne Ausbildung in die Führungsebenen gedrückt.

Andererseits ist es mir inzwischen aber auch völlig egal.

Was spielt das noch für eine Rolle, ob die Uni Köln gehackt wird oder nicht?

Die Universitäten sind doch sowieso nur noch Kindergarten und Geisteswissenschaftsschwachsinn. Es spielt ja auch keine Rolle, ob Geisteswissenschaftler gerade streiken.

Als Hackziel waren die doch nur interessant, solange sie noch irgendwas voraus hatten. Aber die asiatischen Universitäten haben uns längst abgehängt.

Das alles ist mir inzwischen so egal, dass ich mich kaum noch zur Mißbilligung durchringen kann.

Ich fühle mich längst wie Waldorf und Statler, die in der Loge sitzen und über die Schmierenshow spotten. Wie ein Besucher im Restaurant am Ende des Universums. Popcorn, Chips, einen bequemen Sessel zum Zusehen braucht man. Ich halte dieses Land für nicht mehr zu retten. Was interesseren da noch die Details über ihren Unterhaltungswert hinaus? Man wartet, bis der nächste Angriff sie lahmlegt und lacht sie dann aus. Mehr ist es nicht mehr.

Oder wie unsere Staatsreligion es ausdrückt: Quality is a myth.