Menü
IT Sicherheit ist ein Weg, kein Ziel!
12.08.2018

Echte Security-Admins dokumentieren nicht…

In der legendären Computer-Zeitschrift DATAMATION erschien 7/1983 ein Artikel, dessen Titel im deutschen lautete „Echte Programmierer meiden PASCAL.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Inhaltlich ging es u.a. um die Unterscheidung zwischen echten Programmierern und „Müsli- Fresser“, die eben Sprachen wir Pascal nutzen, während Algol, Assembler und Fortran doch die Sprachen für „echte Programmierer“ wären.

35 Jahre ist dieser humorvolle Artikel alt, im Gedächtnis ist mir vor allem eine Zeile geblieben – und zwar: „Echte Programmierer brauchen keine Kommentare, das Programm ist selbstdokumentierend

Anscheinend ist dies eine elementare IT-Grundhaltung, denn Dokumentation im Security-Umfeld ist auch eine Disziplin, die vernachlässigt wird. Weshalb auch sollte man beispielsweise die Settings einer Firewall beschreiben? Alle wissenswertes steht ohnehin in der entsprechenden Konfigurations-Sektion – klar, unmissverständlich und Top-Aktuell!

Security-Dokumentation
Um es gleich auf den Punkt zu bringen, Dokumentation ist wichtig - aber nur die wenigsten machen sie! Der Hauptgrund, der dagegenspricht, ist - das man ja weiß wie alles geht, weshalb sollte man dann die umständlich aufschreiben und Zeit mit der Dokumentation vergeuden?

Im Ansatz ist die Aussage richtig, aber:

  • Zuständige wechseln ihr Tätigkeitsgebiet oder verlassen das Unternehmen
  • Etablierte Themen und Abläufe geraten im Laufe der Zeit in Vergessenheit
  • Nicht immer werden alle Mitarbeiter über alle Änderungen informiert
  • Spezifische Work-Arounds führen bei Produkt-Updates zu Problemen und keiner kennt mehr die Ursache
  • Bei gehäuften identischen Aktivitäten kann es ein, dass einzelne Aktivitäten bzw. Systeme vergessen werden

Wobei aber einer der wichtigsten Punkte sicherlich der ist, das durch gesetzliche Verfahren eine Dokumentation gefordert wird, die es zulässt, dass die Qualität der Security-Maßnahmen überprüft werden kann.
Ebenso erlaubt es auch eine qualifizierte Doku, Fremden sich schneller und besser in das Thema einzuarbeiten und die individuellen Ausprägungen in der Security-Strategie zu erkennen.

Doku-Aufwand
Dokumentation nichts ist, was sich eigenständig entwickelt!

Eine Planung bzgl. diverser Punkte und Absichten macht es später leichter, die Doku mit Leben zu füllen. Dazu zählen beispielsweise Festlegungen für:

  • Form der Dokumentation: Textdatei, Landessprache, Bilder, Hyperlinks?
  • Hierarchien und logische Verknüpfungen der einzelnen Informationsebene?
  • Update-/Verifikations-Zyklen der Informationen?
  • Abkürzungen und Sprachgebrauch?
  • Bereitstellung digital und im Papierformat?
  • Review-Modus (Monatlich, Halbjährlich - durch wen?)?
  • Dokumentationsumfang: Betriebsablauf, Konfigurationen, Detaillierungsgrad, Vorfälle, Security-Settings?
  • Zu dokumentierende Tools, Prozess, Zuständigkeiten, Entscheidungen, Vorfälle etc.

Wurde das gemacht und man hat den Initialaufwand hinter sich, der leider abhängig von der Umgebung, durchaus sehr intensiv sein kann, läuft die Dokumentation eher in ruhigen Bahnen und absehbaren Größen. Idealerweise kann man auch durch geeigneter Tools einen gewissen Prozentsatz automatisiert erstellen lassen – wie z.B. durch ein SIAM-Tool, welches Changes etc. automatisiert dokumentiert.

Bedingung ist aber, dass alle entsprechenden Mitarbeiter zeitnah ihrer Aufgabe nachkommen und auch das dokumentieren, was sinnvoll ist.

Mehrwert
Der Mehrwert einer Dokumentation zeigt sich dann, wenn es zu Problemen kommt, Audits anstehen, (Teil-)Prozesse übergeben werden bzw. neu entworfen werden müssen (Wechsel vom eigenen RZ in die Cloud) oder man beispielsweise ein Cyber-Versicherung abschließen möchte, um bei Vorfällen finanzielle Rückendeckung zu haben.
Idealerweise sollte man sich auch überlegen, wer die Security-Dokumentation macht. Üblicherweise haben Menschen ein unterschiedliches Talent, Dinge zu beschreiben bzw. dokumentieren. Während sich der eine seitenlang über einen gesetzten Parameter auslassen kann, schreibt der andere nur das der Parameter jetzt „ON“ ist. Beides ist gleichermaßen wenig zweckdienlich! Von daher kann es durchaus Sinn machen, wenn eine Person die Änderungen sammelt und diese niederschreibt – denn dies garantiert einen einheitlichen Stil und Informationsmenge!

Do It!
Wer noch nicht damit begonnen hat sein Security-Umfeld zu dokumentieren, sollte zeitnah damit startet. Denn die Frage ist nicht, benötiget man irgendwann einmal die Dokumentation, sondern WANN benötigt man die Doku.