Ehemaliger Google VP empfiehlt benutzerbasierte Sicherheit bei Black Hat

Auf der Black Hat Security Konferenz am Mittwoch gab der ehemalige Google VP von Engineering Douglas Merrill die Eröffnungsrede, und es war kein traditioneller Sicherheitsindustrie-Vortrag. Der Take-away: Benutzer sollten die Sicherheitsbedürfnisse der Unternehmen diktieren.

Merrill, der zuletzt als Chief Operating Officer und President von EMI Records tätig war, begann mit einer Metapher, die Bürgersteige auf einem College-Campus zu platzieren, um seine Sicht der Sicherheitsarchitektur zu beschreiben. Campusplaner, sagte er, kommen herein und legen Bürgersteige und Gras ab. Sechs Monate vergehen und sie beginnen Flecken von totem Gras zu bemerken. Als Reaktion darauf legten die Planer Metallketten an, um die Schüler auf dem Bürgersteig zu halten. Wenn die Schüler weiterhin auf dem Rasen gehen, setzen die Planer Pflanzer ein, um diesen Verkehr ein für allemal zu entmutigen.

Dasselbe gilt für die Sicherheit im Unternehmen. Unternehmen versuchen, Mitarbeiter zu kontrollieren, indem sie die IM-Nutzung einschränken, indem sie Google Mail über einen Proxy erzwingen. Merrill zitierte seine Erfahrung als COO, seine eigene Frustration mit Exchange und tadelte die klassische Unternehmenssoftware, weil sie nicht benutzerfreundlich sei. "Die Mitarbeiter wollen bessere Werkzeuge bei der Arbeit", sagte Merrill. "Sie versuchen, die beste Technologie zu nutzen." Seiner Meinung nach ist die beste Technologie oft in Consumer-Software zu finden.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Er sagte, dass vor zwanzig Jahren jeder in Unternehmenssoftware arbeiten wollte; nicht heute. Heute gibt es bessere, benutzerfreundlichere Tools wie IM. Und anstatt die Bedürfnisse der Angestellten zu bekämpfen, sollten die Sicherheitsbeauftragten daran arbeiten, die Netzwerke zu sichern, die sie nutzen.

Es gibt noch einen anderen Ansatz, Gehsteige auf dem Campus der Universität zu errichten: Gras pflanzen und die Schüler gehen lassen. Merrill sagte, dass nach sechs Monaten die Planer in die meistbenutzten Wege mit Gehwegen gehen und diese dann härten können. Merrill glaubt, dass das mit Sicherheit passieren könnte: Die Benutzer sollten die Sicherheitsentwicklung leiten.

Aber anstatt eine Bedrohung für das derzeit bestehende milliardenschwere Sicherheits-Ökosystem darzustellen, sieht Merrill einen Kompromiss. "Ich bin der Meinung, dass Sicherheitsunternehmen von der Schaffung von Infrastrukturgrenzen zu Resilienz der Infrastruktur wechseln werden. Wenn wir Sicherheit richtig aufbauen können, machen wir die Dinge einfacher, nicht schwerer."

Robert Vamosi ist ein freiberuflicher Computer - Sicherheitsspezialist, der sich auf kriminelle Hacker und Malware-Bedrohungen.