unzufrieden

Beschwerden

1. April 2011 in JB, Sprüche

Beschwerden muss nachgegangen werden. Dazu wird als erstes die Plausbibilität geprüft. Die Beschwerde hörte sich nicht gut an:

Der Sachbearbeiter verschleppt meinen Antrag. Anfragen per Mail werden nicht beantwortet. Und wenn ich anrufe, nimmt er ab und legt den Hörer gleich wieder auf.

Die Beschwerde wurde als unplausibel bewertet. Die Frage lautet nur, wie kommuniziert man diese Einschätzung an den Beschwerdeführer?

Der Sachbearbeiter hat genügend Ruhe, das Telefon klingeln zu lassen bis der andere aufgibt. Das Auflegen passt einfach nicht zu ihm.

Genauso interessant:

Gewaltenteilung in der IT-Sicherheit

29. März 2011 in IT-Sicherheit, JB, ToP

Heute mal ein Beispiel, wie man IT-Sicherheit nicht planen sollte:

“Hoher Schutzbedarf” bezüglich Vertraulichkeit ist bei Daten eigener Mitarbeiter fast immer gegeben. Die Daten von Kollegen/Chefs sind meistens interessanter als die von Lieschen Müller aus Hintertupfingen. Im konkreten Fall sollte der Zugriff auf diese speziellen Daten zudem auf absolute Ausnahmefälle begrenzt werden. Deswegen wurde für diese kritischen Daten ein Regelungvorschlag erarbeitet und mit großem Brimbamborium vorgestellt:

Die Daten werden ausschließlich auf einem zentralen System gespeichert

Der Zugang wird durch eine achtstellige Zahl gesichert, davon werden je vier Ziffern bei Organisationseinheit A und B hinterlegt.

Der Grundgedanke, ein Vier-Augen-Prinzip auch technisch abzusichern ist ja ganz löblich. Aber die Speicherung auf dem Zentralen Server sorgt für zusätzliche Risiken (Kumulationeffekt). Wurde ja bei ELENA und Vorratsdatenspeicherung reichlich öffentlich diskutiert.

rostiger Schlüsselbund Die vier Ziffern je Organisationseinheit als Zugriffsschutz haben bei mir nur ein müdes Lächeln hervorgerufen. Angenommen, ich kenne eine Hälfte, dann bleiben für die andere – durch die Beschränkung auf Ziffern - noch 4 hoch 10 = 10.000 Möglichkeiten. Wenn ich das maschinell durchprobieren kann, habe ich in weniger als einer Sekunde alle Möglichkeiten durch.

Zur Not könnte ich die auch von Hand durchprobieren. Selbst bei einem System, das mich nach einer bestimmten Zahl von Fehlversuchen aussperrt kann ich typischerweise alle 10 Minuten einen Versuch machen. Wenn mir niemand durch eine Logfileauswertung auf die Schliche kommt, könnte ich das in rund einem halben Jahr durchprobieren (Basis 9 Stunden je Arbeitstag gibt maximal 185 Arbeitstage, im Schnitt errät man das Passwort nach der Hälfte der Versuche). Und das in dieser Zeit das Passwort geändert wird, halte ich für eher unwahrscheinlich – dafür bräuchte man gleichzeitig die Vertreter beider Organisationseinheiten