Die Wikileaks Affäre hat es eindeutig bewiesen: Informationssicherheit ist KEIN Technologiethema. Seit Jahren versuchen Vertreter der IT-Branche wie auch Produktverkäufer uns weis zu machen, dass Sicherheit durch Einsatz der richtigen Produkte erzielbar sei. Jeder Autofahrer weiss, dass es ihm nichts nützt, wenn er trotz Tragen des Sicherheitsgurtes mit 120 km/h in einen Baum fährt.
In der Informationssicherheit wird aber den Entscheidungsträgern immer wieder verkauft, man könne Informationssicherheit durch den Kauf der richtigen Produktlizenz herbeiführen. Entscheidend ist aber der Umgang mit der Information an sich, denn während früher Daten in ihrer rohen Form noch mit einfachen Mitteln kontrollierbar waren, wird dies im Zeitalter von Web 2.0 zur grossen Herausforderung.
Für die Führungsebene ist die Wikileaks Affäre deshalb so bedeutend, weil sie beweist, dass selbst in einem Umfeld, welches die Sicherheit als ihre Kernaufgabe betrachtet, elementare Fehler begangen werden. Die Rede ist hier vom Militär, bzw. den Geheimdiensten. Die Informationssicherheit ist wie viele Technologiethemen nämlich ursprünglich im militärischen Umfeld entstanden. Als Grundprinzip jeder militärischer Sicherheit galt von jeher das „need to know“ Prinzip, oder eben „Kenntnis nur wenn nötig“. Sicherheitsexperten haben dieses Grundprinzip jahrelang auch auf die Privatwirtschaft übertragen wollen, was aber jedem vernünftigen ökonomischen Handeln in einer Dienstleistungsgesellschaft widerspricht. Nur durch maximale Freigabe von Informationen kann die Informationsgesellschaft funktionieren. Der Autor hat sich mehrfach für die Einführung des „need to withhold“ Prinzips eingesetzt, d.h. Informationsfreigabe im Unternehmen und Beschränkungen nur dort, wo dies aus Geheimhaltungsgründen (Gesetze, Schutz von Unternehmensdaten etc.) notwendig ist. Genau dieses Prinzip hat nun aber das Militär eingesetzt: Mit völlig falschen Mitteln, am falschen Ort und an die falschen Adressaten gerichtet. Sämtlichen Geheimdienstmitarbeiter auch in kleinsten Chargen hatten Zugriff auf umfassende Geheimdienstinformationen, mit dem Gedanken, die Flut von Information würde das Erkennen von terroristischem Verhalten erleichtern. Das eine Datenflut eigentlich genau zum Gegenteil führt und die Unterscheidung zwischen wichtigen und unwichtigen Daten verunmöglicht, scheint noch nicht bis zu den verantwortlichen Stellen vorgedrungen zu sein. In der Folge hat ein kleiner, frustrierter Geheimdienstangestellter die „geheimen“ Daten zur Verfügung gestellt – der Wikileaks Skandal war die Folge.
Welche Lehren könne wir aus diesen Ereignissen ziehen:
1. Informationssicherheit hat nichts mit Firewalls, Virenscannern oder „Data Leakage Prevention“ zu tun.
2. Der angepasste und bewusste Umgang mit Informationen und ein Verständnis für ihr positives wie auch negatives Potential ist unabdingbar. Dazu gehört die konsequente Umsetzung des „need to know“ Prinzips in stark regulierten Bereichen oder bei Behörden.
3. In allen anderen Bereichen oder in privatwirtschaftlichen Unternehmen ist ein offener Informationsfluss Schlüssel zum wirtschaftlichen Erfolg.
3. Es wird immer Insider geben, die Daten verkaufen, wenn der Preis hoch genug ist oder ein Frust abgeladen werden kann: Die Unternehmenskultur und die Wertschätzung der Mitarbeiter sowie ein vernünftiges Salärsystem sind deshalb weitere Schlüssel zum sicheren Umgang mit Daten.