IT Security
Wer die Ziele des Unternehmens nicht kennt, verfolgt seine eigenen

IT Security

Lassen Sie uns einmal einen Blick werfen auf das Los Alamos National Laboratory der University of California in New Mexico. Das Beispiel zeigt, wohin uns das Thema IT-Sicherheit bereits gebracht hat. Die Institution, in der ein Großteil des Manhattan Project entwickelt wurde, macht deutlich, dass die heutigen übertriebenen Ängste weniger mit Informationstechnologie zu tun haben als mit der Unwissenheit der Mitarbeiter.

G. Peter Nanos, der Direktor des Labors, wies die 12.000 Angestellten bei Los Alamos an, die Arbeit niederzulegen. Die Sicherheitslücken im Labor, sagte er, seien ein “bedeutendes Risiko” für die nationale Sicherheit der USA. Denn die Anzahl der Wechselspeicherplatten mit klassifizierten Daten war von 90.000 im Jahr 2003 auf 40.000 in diesem Jahr geschrumpft – ohne ersichtlichen Grund. Zwei ZIP-Speicherplatten aus der Abteilung Waffentechnologie verschwanden am 7. Juli ebenfalls. Genauso mysteriös: Die verantwortlichen Behörden wussten nicht, was hier verloren ging, und erst recht nicht, ob dadurch Al Qaidas Know-how zur Herstellung von Bomben einen entscheidenden Auftrieb erhalten haben könnte.

Das war nicht das erste Mal, dass Los Alamos mit Sicherheitsproblemen konfrontiert wurde. Als im Jahr 1999 der frühere Energy Secretary Bill Richardson bemerkte, was der Taiwanesisch-amerikanische Mitarbeiter Wen Ho Lee sich als Download mit nach Hause genommen hatte, konnte er nur ein “Holy shit” von sich geben. Lee, der zuvor eng mit dem FBI zum Schutz der amerikanischen Nukleargeheimnisse zusammengearbeitet hatte, wurde daraufhin neun Monate lang in Einzelhaft festgehalten. Indem es mit dem Fall Lee exemplarisch das Mitnachhausenehmen von Firmendaten anprangerte, fachte das FBI im ganzen Land eine antichinesische Stimmung an, obwohl Dutzende anderer Wissenschaftler dasselbe tun. Schließlich musste das FBI seine Beschuldigungen gegen Lee wegen angeblicher Spionage in 59 Fällen fallen lassen. Dieser bekannte sich lediglich schuldig zu einer allgemein ausgeübten – wenngleich weitgehend ignorierten Praxis -, nämlich dem Kopieren geordneter Dokumente ohne ausdrückliche Genehmigung.

Was lernen wir aus diesen alten und neuen Vorkommnissen? Mr. Nanos sagt, er wird “Cowboys” dieser Art auch weiterhin entlassen, und zwar so lange, bis die Sicherheitsmaßnahmen durchgängig und komplett erfüllt würden. Doch wie jeder Allgemeinarzt weiß, lesen Patienten nicht, was auf der Medizinflasche steht. Und die Leute kümmern sich auch um kein IT-Handbuch, und deshalb lesen sie eben auch bei Los Alamos die Sicherheitsregeln nicht. Und selbst wenn sie es tun, vergessen sie wieder, was sie gelesen haben.

Das ist allerdings keine Frage der Unveränderbarkeit menschlicher Natur. Wären die Wissenschaftler beim Manhattan Projekt auch so nachlässig gewesen? Zumindest hatte die Zielsetzung von Robert Oppenheimer und seines Kollegenteams dazu geführt, dass jeder entschlossen war, das gegenseitige Vertrauen nicht zu verletzen.

Vielleicht tragen Gehälter und Arbeitsbedingungen bei Los Alamos heute zu einer gewissen Nachlässigkeit bei. Doch wahrscheinlicher ist es, dass nur wenige Leute dort wissen, wer Gegner eines Atomkriegs der Zukunft sein könnte oder, noch wichtiger, warum. In diesem Klima der Unwissenheit bewirken einstweilige Verfügungen zur Beachtung der Sicherheitsregeln wenig.

IT-Chefs sollten Folgendes beherzigen: Wenn die Mitarbeiter nicht wissen, welche Ziele das Unternehmen verfolgt, überrascht es wenig, wenn sie ihre eigenen Ziele verfolgen ob mit oder ohne wichtige Unternehmensdaten.