Was Unternehmen tun können, um die Einführung von Kryptografie u.Ä. vorzubereiten.
Version 1.0, 19.05.2014
Die Einführung (nichtzentraler) Sicherheitstechnik ist in Unternehmen (und sonstigen Organisationen) komplizierter als für Privatleute. Das hat einerseits organisatorische Gründe – Wer hat Zugriff auf welche Schlüssel? Was ist bei Urlaubs- oder Krankheitsvertretung zu tun? Hat das Unternehmen beim Ausscheiden eines Mitarbeiters noch Zugriff auf alle Daten? –, andererseits menschliche: Das gewünschte Niveau an Sicherheit hat man erst dann, wenn alle betroffenen Mitarbeiter verstanden haben, was zu tun ist. Das Verstehen der Thematik stellt aber schon Leute, die sich aus eigenem Interesse damit befassen, vor große Herausforderungen. Und ohne Verständnis geht es nicht: Sicherheit ist keine Software, die man eben mal installiert. Wenn man nicht (organisatorisch) versteht, was die Software macht (und was eben nicht), dann hilft es wenig, wenn man "sie bedienen kann".
Da Unternehmen es mit der Einführung von IT-Sicherheit meist nicht eilig haben, das Thema keine Priorität hat, bei Unternehmen überschaubarer Größe meist auch keine Kompetenz im Haus vorhanden ist und Schulungen teuer sind, insbesondere dann, wenn sie nicht (gleich) zum Erfolg führen, stellt sich die Frage: Was können Unternehmen tun, um die (allmähliche) Einführung von Kryptografie (v.a. Verschlüsselung und Signierung von E-Mails) vorzubereiten? Die Antwort auf diese Frage sollte keinen relevanten organisatorischen Aufwand mit sich bringen, weil der oftmals nicht geleistet werden kann. Dass Thema vom Tisch zu haben (in dem Sinn, dass die gewünschte Entwicklung anläuft), indem man ein bisschen Geld in die Hand nimmt, dürfte im allgemeinen die Art Lösung sein, die auf größeres Interesse trifft.
Die Einführung von IT-Sicherheitstechnik dürfte um so einfacher, erfolgreicher und billiger sein, je mehr Mitarbeiter sich vorab schon mit diesem Thema befasst haben – idealerweise sowohl theoretisch als auch praktisch. Dies führt zu zwei Fragen:
Warum sollten sie sich damit befassen?
Wie können sie das realistischerweise sinnvoll tun?
Die Motivation ist individuell sehr unterschiedlich. Der positive Aspekt dabei ist, dass IT-Sicherheit grundsätzlich kein Thema ist, das nur Unternehmen betrifft. Das dürfte seit Beginn der Snowden-Enthüllungen einigermaßen klar geworden sein, auch wenn sich dadurch noch lange nicht jeder persönlich bedroht fühlt.
Neben der intrinsischen Motivation kann das Unternehmen natürlich auch was drauflegen. Wer die eigenen technische Weiterentwicklung (oder, falls nicht mehr nötig: Kompetenz), dadurch nachweist, dass er z.B.
seinen OTR-Fingerprint auf Papier bei der betreuenden IT-Stelle (im Unternehmen oder extern) hinterlegt und dreimal mit je einem Monat Abstand verschlüsselt mit dem Betreuungs-Account kommuniziert
einen verschlüsselten USB-Stick und ein sicheres Passwort dafür mitbringt und dann eine Datei auf diesen Stick bekommt, die (oder deren Hash) er dann per E-Mail schicken muss
seinen OpenPGP-Fingerprint hinterlegt und dreimal mit je einem Monat Abstand verschlüsselt und signiert mit dem Betreuungs-Account kommuniziert
Einen Fingerprint (Server-Zertifikat oder CA) und ein Passwort auf Papier erhält, zehn TLS-Test-Websites zur Auswahl bekommt und nur auf der korrekten das Passwort eingeben darf
könnte vom Unternehmen irgendwas spendiert bekommen. Entweder einfallslos 100 EUR oder – thematisch passend – einen OpenWRT-Router, eine externe Festplatte (Backups), hochwertige (private) Visitenkarten mit dem Fingerprint und/oder eine eigene Domain (für ein paar Jahre bezahlt).
Grundsätzlich würde man wohl sagen, dass die naheliegende Anlaufstelle für motivierte Leute, um etwas über IT-Sicherheit zu lernen, CryptoPartys sind. Das Hauptproblem ist, dass es die – vorsichtig formuliert – nicht überall gibt. Ob die vom Anspruch, Ablauf und dem thematischen Umfang her für die eigenen Mitarbeiter geeignet sind, ist weitgehend dem Zufall überlassen. Ein weiteres Problem kann sein, dass das Flair der Veranstaltung die eigenen Leute nicht besonders anspricht (Räumlichkeiten, Teilnehmerzusammensetzung, Dozenten).
Motivation und Angebot sind nicht unabhängig voneinander. Je angenehmer die Veranstaltung zu werden verspricht (oder die erste ganz real war), desto eher dürften die Mitarbeiter gewillt sein, daran (erneut) teilzunehmen.
Ein weiterer Aspekt des Problems ist, dass Kryptografie typischerweise nicht nur für das fragliche Unternehmen neu ist, sondern auch für dessen Lieferanten, Kunden und Partner. Nutzen stiftet die Technologie also nur dann, wenn alle (oder zumindest mehrere) Beteiligte sich darauf einstellen. Ein Schulungsangebot sollte also möglichst für alle einzubeziehenden Personen attraktiv sein (wenn es wegen der räumlichen Nähe überhaupt für alle in Frage kommt).
Unter den Aspekten Freiwilligkeit und Kostenersparnis drängt es sich auf, das erwiesenermaßen vorhandene ehrenamtliche Potential der Bevölkerung zu aktivieren. Dafür dürften Vereine am ehesten geeignet sein. Natürlich kann man die Gründung eines Vereins nicht verordnen; dafür braucht man Freiwillige. Personen, die sich organisatorisch und/oder fachlich über einen längeren Zeitraum einbringen. Nun haben vermutlich die meisten Leute, die grundsätzlich bereit wären, der Öffentlichkeit IT-Kenntnisse zu vermitteln, wenig Lust, sich die Verwaltung eines Vereins ans Bein zu binden, zumal die Gründung eines Vereins viel aufwendiger ist und der dauerhafte Erfolg viel schlechter abzuschätzen ist als bei einem etablierten Verein. Neue Vereine haben typischerweise auch quasi kein Geld, was wirksam verhindert, dass die Organisation von Veranstaltungen ein Spaß ist.
Folgende Symbiose ist denkbar: Mehrere Unternehmen aus einer nicht zu großen Region verpflichten sich, über einen Zeitraum von mehreren Jahren alles zur Verfügung zu stellen, was man braucht, um einen Verein ins Leben zu rufen und mit wenig Organisationsaufwand zu betreiben, der die gewünschte Wissensvermittlung effektiv leisten kann:
Räumlichkeiten (oder die – tagesweise – Miete dafür)
2000+ EUR pro Jahr (plus die Finanzierung / Unterstützung einzelner Veranstaltungen)
Unterstützung bei Rechtsfragen (Satzung; Vereinsformalitäten) und der Buchhaltung
Der Verein würde dafür folgende Gegenleistungen erbringen:
Ein gewisser Anteil der Plätze in den Schulungen (was vermutlich in der Praxis keine relevante Einschränkung ist)
Bestreben, den thematischen Bedarf der Unternehmen (soweit er für die Mitarbeiter auch privat relevant ist) im Schulungsprogramm abzubilden
Sofern relevant: Besondere Berücksichtigung der Bedürfnisse der Mitarbeiter (Niveau, Umfang, Gestaltung (Essen & Getränke), zeitlicher Abstand der Schulungen), ggf. an gesonderten, exklusiven Terminen (ggf. mit Aufwandsentschädigung für die Dozenten)
Es ist denkbar – und könnte gezielt gefördert werden –, dass die Schaffung dieses Schulungsangebots durch die Unternehmen positive Imageeffekte auslöst. Auf der Website des Vereins würden die Förderer natürlich prominent genannt, aber das wäre wohl auch in der Berichterstattung der Lokalpresse der Fall.
Dadurch, dass ein Unternehmen (oder mehrere) sich entscheidet, so einen hypothetischen Verein zu unterstützen, passiert noch nicht viel. Natürlich kann diese Information an die Lokalpresse gegeben werden, aber dass dann alles von selbst geht, ist nur begrenzt wahrscheinlich. Das fängt da an, dass einige Leute dem Ansatz aufgeschlossen gegenüberstehen mögen, sich aber (womöglich zurecht) nicht für qualifiziert halten, andere auf dem Gebiet zu schulen; und hört damit auf, dass es einem viel leichter fällt, die Hand zu heben und Ich auch
zu sagen, wenn ein anderer den ersten Schritt gemacht hat, als selber den ersten Schritt zu machen.
Wenn also ein Budget, aber keine (ausreichende) organisatorische Kapazität vorhanden ist, mag es eine Alternative sein, einen bestehenden Verein, der sich anderswo bereits mit diesem Thema beschäftigt und entsprechend fachkompetent ist, damit "zu beauftragen", sich um die Gründung eines Vereins vor Ort zu kümmern. Wenn sich so ein Verein findet und mit den nötigen finanziellen Mitteln ausgestattet wird, kann der:
mit der Lokalpresse sprechen
Anzeigen schalten (Schülerzeitungen; online)
einzelne geeignete Leute in der Gegend direkt ansprechen
ein Informationstreffen mit Interessenten durchführen
Interessenten qualifizieren
die ersten Schulungen begleiten
zwischen Interessenten und Unternehmen vermitteln
Da das Ziel der Vereinsaktiven weniger die Durchführung von Schulungen als vielmehr die Verbreitung von IT-Sicherheitstechnik wäre, würde der neue Verein sich sicherlich auch darum bemühen, das Thema an den örtlichen weiterführenden Schulen zu etablieren.
Die Erwartungshaltung wäre nicht, dass der neue Verein zehn Jahre lang von den fördernden Unternehmen auf hohem Niveau durchgefüttert wird; zumal die den angestrebten technischen Schritt nach wenigen Jahren gegangen sein sollten.
Nach ein paar Jahren sollte einerseits der Finanzbedarf zurückgehen und andererseits die Mitgliederzahl (und die der geringfügigen Förderer) auf ein Niveau gewachsen sein, das den Fortbestand des Vereins sichert.
Aus dem Schwerpunkt IT-Sicherheit heraus mag sich so ein Verein langfristig zu einer Linux User Group oder einem Hackerspace wandeln.
Version 1.0, 19.05.2014