Sealed Cloud - Daten allein daheim

Useable Security - Wenn der Cloudanbieter den Schlüssel verliert.

image/svg+xml
image/svg+xml
Cybersecurity
TueV, Informationssicherheit, Cloud, Digitale Autonomie, ISO/IEC 62443, ISO 9241, ISO/IEC 27001
2min
~400 w.

Bei Useable Security geht es darum, den AnwenderInnen verständlich zu machen, wie ein Gerät oder eine Software konfiguriert und bedient werden muss, damit die vorhandenen Sicherheitsfunktionen greifen. Der besonders sichere Cloud-Anbieter idGard hätte es auch intern gut nutzen können, sind doch Zugriffsschlüssel nach einer internen Routineprüpfung abhanden gekommen.

Wer einem Cloud-Anbieter seine Daten anvertraut, sollte diese tunlichst selbst nocheinmal sichern und Backup-Routinen aktivieren. Dies gilt auch für besonders qualifizierte Anbieter wie idGard. Er bewirbt seine Sealed Cloud mit einem besonders ausgefeilten Sicherheitskonzept und führt zahlreiche Sicherheitslabels auf seiner Website an. Laut heise ist es bei einer Routineüberprüfung zu Problemen gekommen, so dass nun einige Kunden nicht mehr auf ihre Daten zugreifen können.

Destruktive Tests kenne ich eigentlich nur von einem früheren Kunden, der Flugzeugküchen hergestellt hat (heute) und Vorabserien davon für harte Konformitätstests auch zerstören musste.

Security funktioniert nur, wenn sie verstanden werden kann.

Wer versehentlich den privaten Schlüssel hochlädt und wenn es ein Dienstleister ist auch seine Kunden. In all diesen Fällen liegt eigentlich nur menschliches Versagen vor, was das Problem aber nicht löst.

Useable Security ist also angesagt. Dank der ISO 9241 ist damit gemeint, dass ein System das macht, was man sich erwartet. Und nach der neu überarbeiteten ISO 82079-1, demnächst auch auf Deutsch, die nun sinnvollverweise nicht mehr von Gebrauchsanleitung sondern von Nutzungsinformation spricht, ist Verständichkeit erneut ein Regelungsziel, explizit wird sogar das Wort “Minimalismus” erwähnt. Keine Instruktion ist nämlich das eine Problem, zu viel Information das andere, nicht weniger gravierende. Ein Thema auch in der ISO/IEC 27001, die das Herstellen eines internen Bewusstseins über Sicherheit und das Bewirken der notwendigen Effektivität des Management-Systems zur Führungsaufgabe erklärt.

Instruktive Sicherheit also durch gezielt aufbereitete Information, so dass ein System das tun kann, was es soll.

Mit ISO/IEC 27001, ISO 9241 und ISO 82079-1 liegen die normativen Grundlagen für Useable Security schon mal vor. Sie sollten jetzt nur noch angewendet werden!