Posts by Doph_Zügota

Gerade durch die schnelllebige Zeit und die sich auch daraus ergebenen technischen Möglichkeiten hat sich das Ausmaß der aggressiven Informationsbeschaffung stark ausgeweitet. Mögliche Schäden wie durch den beispielsweisen Verlust von Aufträgen oder Ausschreibungen, Kunden, Markanteilen, Know-how und dem Schlüsselpersonal können im Gegensatz zu Großkonzernen von mittelständischen und kleinen Unternehmen weniger gut aufgefangen werden (vgl. Sitt in Erfolgsfaktor Sicherheit, Seite 35).

Mit der aktuellsten Gefahr des Sozial Engineering (SE) beobachten wir wieder die gravierendsten Fehler beim Mitarbeiter (Mensch) selber. Faktoren wie Dankbarkeit, Hilfsbereitschaft, Stolz, Karrierestreben, Geltungssucht, Bequemlichkeit oder dem Bestreben nach einer Konfliktvermeidung stoßen immer wieder Einfalltore und somit entsprechende Möglichkeiten auf (vgl. WIK August 2015, Seite 29). Besonders gefährlich ist das SE, weil normale menschliche Eigenschaften ausgenutzt werden (bitte mal Seite 30 und 32 der WIK August 2015 ausschlagen und sich die Typologie der Mitarbeiter im Schaubild >Quelle: „known_sense“< ansehen).

Wie beim SE als auch bei anderen Gefährdungen für die Informationssicherheit gilt es das Bedrohungspotenzial realistisch zu ermitteln. Als direkte Bedrohung können dabei zunächst folgende Übertäter ausgemacht werden: Viren, Unrechtmäßige Nutzung der Informationsressourcen von Unternehmen: Herunterladen und Speichern von Pornographie, Filmen und Musik sowie Web-Surfen für persönliche Zwecke u.ä. (Insider Abuse of Net Access), Diebstahl von Laptops, Unautorisierter Zugang zu vertraulichen Informationen durch interne Anwender (Unauthorized Access by Insiders) und Denial of Service-Attacken.

Viren-Epidemien werden dabei mit ihrer Wahrscheinlichkeit der Bedrohung als sehr gefährlich eingestuft und die Auswirkungen beziffern sich jedes Jahr auf einige Milliarden US$ (vgl. Gründer/Schrey in Managementhandbuch IT-Sicherheit, Seite 107).

Um Wirtschaftsspionage erfolgreich zu verhindern oder besser minimieren zu können, müssen wir allerdings beim Menschen selber anfangen: Entsprechende Schulungen hinsichtlich der Sensibilisierung der Betroffenen (z.B. Clean Desk Policy) sind unabdingbar (vgl. IT-Grundschutz – Basis für Informationssicherheit, Aufbau und Bausteine).

Das Bundesamt für Sicherheit in der Informationstechnik geht auf den Faktor „Menschliche Fehlhandlungen“ im IT-Grundschutz-Katalog (Gefährdungskatalog G3) mit zahlreichen Szenarien ein (siehe: BSI: G 3 Menschliche Fehlhandlungen).

Für den IT-Grundschutz gibt es die sog „Goldene Regeln“; hier: „werden die wichtigsten Empfehlungen in übersichtlicher Form aufbereitet“ dargestellt (siehe: GoldeneRegeln.pdf?__blob=publicationFile).

Kurz zurück zum eigenen Zombie-Computer! Wer hier nach Literatur fragt dem möchte ich den OREILLY-Verlag empfehlen: Hier gibt es zahlreiche „openBooks“ z.B. zum Thema „Sicherheit im Internet“ (siehe: pdf_sii3ger.pdf).

Grundsätzlich verlangt es aber danach die Bedrohungen zu identifizieren, eine Analyse und Bewertung vorzunehmen und ganzheitliche verlässliche Maßnahmen einzuleiten. Dabei ist es besonders wichtig, die Überwachungs-, Früherkennungs- und Controllingsysteme im Risikomanagementsystem (RM) zusammenzufassen und auch in den kleineren Unternehmen, diesen Komponenten eine hinreichende Bedeutung zu geben.

Inwieweit es Änderungen in den Denkstrukturen geben wird, hängt stark von den berufsspezifischen charakteristischen Tätigkeitskombinationen ab. Daraus leitet sich die jeweilige Berufsbezeichnung immer ab.

In unserem Thema ist es doch verwunderlich, dass einerseits die Forderung nach einer Unterlassung (den Sicherheitsmitarbeiter als Pförtner zu bezeichnen) besteht und anderseits klargestellt wird, welche Personen als Pförtner bezeichnet werden können (siehe: „Ein Pförtner impliziert einen 80 jährigen Wachjogi mit Panzerglasbrille der Knöpfchen drückt und mehr auch wirklich nicht kann.“). Es wird also sehr wohl interpretiert, dass die Funktion (Arbeitsaufgabe), Qualifikation (Fachkompetenz) und der soziale Status wichtig sind.

Beim primären Dienstleistungsberuf „Pförtner“ geht man allerdings schon immer, von einem Menschen mit einer geringen Qualifikation aus.

Da Personen, die fotografiert werden keine Kontrolle mehr darüber haben, was mit den angefertigten Bildern letztendlich passiert, liegt streng genommen eine Persönlichkeitsverletzung vor. Man müsste sich also vorher immer eine „Einwilligung“ einholen (bitte mal § 22 KunstUrhG aufschlagen). Im Übrigen kann eine Einwilligung auch nur dann erfolgen, wenn die betreffende Person auch Kenntnis davon hat, was mit den Bildern passiert; d.h. man könnte sich damit einverstanden erklären, dass ein Bild bei einer Zeitung veröffentlicht wird, aber nicht einverstanden ist, wenn das Bild in „Facebook“ erscheinen würde.

Der Begriff „Pförtner“ steht also noch für viele Menschen für einen „Sicherheitsmitarbeiter“! Sind es denn ehr jüngere oder ältere Personen, die den Mitarbeiter des Werkschutzes als „Pförtner“ bezeichnen?

Wenn viele Kolleginnen und Kollegen immer so auf die Höhe des Lohns pochen, würde ich mir allerdings auch die Frage stellen, was für einen Arbeitsvertrag ich im Bereich GWT dann erhalte.

Es müsste für den Arbeitgeber „erforderlich“ sein die SCHUFA-Daten zu erheben! Ich kann bis heute nicht erkennen, wo ein wirklich zwingend schutzwürdiges Interesse für den Arbeitgeber gegeben sein könnte. Gemäß § 32 BGDSG ist die Einholung von SCHUFA-Auskünften unzulässig, auch wenn unternehmensbezogene Gründe angenommen werden könnten. Aber wie sieht es dann bei einer Einwilligung des betroffenen Bewerbers aus?

Dein kurzer Rückblick auf die historische Entwicklung ist richtig aber klärt dann noch nicht die Frage, warum viele Menschen (immer noch) das Sicherheitspersonal als „Pförtner“ bezeichnen. Zumal sogar der Kollege „josef“ mit dem Aufmacher „Fragen an den Pförtner“ den Begriff verwendet hat. Sieht er sich demnach selber als Pförtner?

Also da bin ich anderer Meinung: Wenn sich jemand mit der Überwachung von Türen und Toren beschäftigt und von einem Sicherheitsdienstleister kommt, sind das (Bewachungs-)Tätigkeiten im Sinne des § 34a GewO.

Und man muss die Überwachung von Türen und Toren auch weiterdenken…

Also wenn man als Sicherheitspersonal noch Aufgaben übernimmt, die nicht zu den ohnehin sehr weit gefassten Aufgabenbereichen gehören, dann ist es eine Katastrophe. Weil man sich auf das konzentrieren sollte, was man wirklich kann. Ich mache mal ein Beispiel aus der Leichtathletik: Ein Zehn-Kämpfer läuft die 100m (auch sehr schnell) in 10,21 Sekunden (Ashton Eaton), doch ein Sprinter in 9,58 Sekunden (Usain Bolt).