Ist Sicherheit Verhandlungssache?

Seit am 24.11.2014 die ersten internen Dokumente von Sony Entertainment veröffentlicht wurden, zieht der Hack immer weitere Kreise: Das Drehbuch für den nächsten James-Bond-Film wurde kopiert, Angestellte bedroht, interne Mails und Gehaltslisten veröffentlicht.

Wie konnte es diesem Daten-GAU kommen? Ein Grund könnten unzureichend umgesetzten Sicherheitsmaßnahmen sein, wie ein Artikel aus CIO.com von 2007 nahelegt. Dort berichtet ein externer Auditor, wie er auf zu einfache Passwörter hinwies. Antwort des zuständigen Sony-Managers: „Wenn die Passwörter zu kompliziert sind, schreiben die Mitarbeiter sie auf und kleben sie an den Monitor.“ Nach kurzer Diskussion ließ der Auditor das durchgehen. Dieses Beispiel wirft eine interessante Frage auf: Inwieweit sind Sicherheits-Audits Verhandlungssache? Werden bei externen Überprüfungen allgemeingültige Standards angewendet, oder wird dabei gefeilscht wie auf dem Basar?

Schaut man sich die einschlägigen Dokumentationen genau an (in Deutschland zum Beispiel BaFin), so findet man in den Vorgaben viel Spielraum für Interpretationen. Das geht auch gar nicht anders, denn diese Regelwerke sollen ja für die unterschiedlichsten Größen und Konstellationen von Marktteilnehmern gelten. Die internen und externen Sicherheitsexperten setzen diese Regeln nach bestem Wissen und Gewissen angemessen um. Das gehört zu ihrem Job. Dass dabei Details zwischen Auditoren und Firmen verhandelt werden, ist also im Prinzip normal. Aber es gibt Grenzen! Eine Passwort-Policy mit der lahmen Begründung „dann schreiben die Mitarbeiter auf Post-ITs“ aufzuweichen, kann man auf keinen Fall gelten lassen.