Über Schwächen, Schwachstellen und warum sie nicht ignoriert werden sollten
13/04/2021 |

Über Schwächen, Schwachstellen und warum sie nicht ignoriert werden sollten

Beschränken sich Schwachstellen nur auf die IT oder haben sie auch irgendwas mit uns zu tun? Und wann müssen wir ihnen begegnen und vor allem, wie?

„Was sind Ihre Schwächen?“ ist eine häufig gestellte Frage in Bewerbungsgesprächen.
Hoffentlich gibt es heute niemanden mehr, der darauf mit „Ich habe keine Schwächen“ antwortet. Denn die Wahrheit ist, jeder Mensch hat Schwächen. Punkt.
Es ist nur nach wie vor immer noch schwer, sich mit diesen auseinanderzusetzen, denn sie werden leider immer noch sehr oft mit Mangelhaftigkeit oder gar Minderwertigkeit in Verbindung gebracht.
In jedem Fall sind Schwächen in großen Teilen eher negativ belegt, konfrontieren sie uns doch mit Fehlbarkeit.

Aber in Zeiten von Social Media und dem steigenden Drang nach schnellem Erfolg, Applaus und dem Wettkampf um Likes und Follower nicht verwunderlich. Und nicht nur in den sozialen Netzwerken wird nach größtmöglicher Perfektion gestrebt, sondern in nahezu jedem Bereich. Supermodels sind heute so jung wie nie, so dünn wie nie, Eiskunstläufer springen heute so viele Vierfache wie nie, Balletttänzer sind so technisch perfekt und flexibel wie nie zuvor und tendenziell erreichen heute mehr junge Leute einen Hochschulabschluss als noch in der Generation ihrer Eltern.

Diese Aufzählung könnte man schier endlos weiterführen. Höher, schneller, weiter ist heute also so ausgeprägt wie selten zuvor.
Da bleibt kein Platz für Schwächen. Man muss mitspielen, dazugehören, Teil derer sein, die ohne Makel sind.
Deshalb gilt es, besonders die eigenen Schwächen möglichst zu ignorieren und vor allem, sie zu verbergen.

Offener und ehrlicher Umgang mit den eigenen „Mankos“

Mit den Schwachstellen von anderen haben wir hingegen nicht so viele Probleme, die erkennen wir in der Regel ziemlich schnell. Für die eigenen Defizite jedoch sind wir weniger empfänglich. Viel leichter können wir nach Feierabend mit Freunden oder Kollegen ausführlich über die Unzulänglichkeiten von anderen diskutieren. Selbstreflektion ist allerdings tabu.

Das kann unter Umständen aber negative Folgen haben. Setzt man sich nicht ehrlich und ernsthaft mit seinen Schwächen auseinander, führt das leicht zu Selbstüberschätzung. Daraus können Fehler resultieren und man liefert Arbeitsergebnisse, die bei weitem nicht so gut sind, wie man vielleicht annimmt.
Und ganz sicher möchte kein Arbeitgeber im Vorstellungsgespräch hören, dass der Bewerber keine Schwächen hat.
Empfehlenswert ist ein offener und ehrlicher Umgang mit seinen eigenen „Mankos“. Denn die gibt es nun mal bei jedem von uns. Viele Entscheidungsträger in Personalabteilungen dürften das im Übrigen auch so sehen, denn nur wer seine Schwächen tatsächlich kennt, kann auch an ihnen arbeiten, vorhandenes Potenzial ausschöpfen und sogar neues entdecken.

Dabei könnte die ehrliche Beantwortung von Fragen wie „Welche Aufgaben machen Ihnen besonders viel Spaß?“, „Wobei haben Sie regelmäßig Probleme und müssen sich besonders anstrengen?“ oder „Wobei werden Sie häufig von anderen um Ihren Rat oder Ihre Hilfe gebeten?“ ein hilfreicher Schritt zu einer realistischen Selbsteinschätzung sein.

Eigen- vs. Fremdwahrnehmung

Nach dieser Selbsteinschätzung wäre ein weiterer wichtiger Schritt die Befragung einer Person aus dem privaten oder beruflichen Umfeld:
Welche Stärken und Schwächen sieht jemand anderes bei einem selbst?

Nachdem man dann sowohl sich als auch andere befragt hat, sollte man die Selbst- und Fremdeinschätzung vergleichen und die Ergebnisse ehrlich reflektieren.

Dabei gilt es, nicht zu vergessen, dass Schwächen grundsätzlich relativ sind. Was Sie als persönliche Schwäche betrachten, ist für andere Menschen vielleicht sogar eine Stärke.
Die Wahrheit liegt meist in der Mitte.

Akzeptieren und (oder) verändern

Tatsächlich identifizierte Schwächen sollten als das angenommen werden, was sie sind: Menschliche Makel, die jeder hat und die es zu akzeptieren gilt. Völlig normal also.
Schwächen sind kein Grund, sich selbst schlecht zu machen. Wir sind nicht perfekt und das muss uns bewusst sein.

Schwächen bei uns Menschen sind ein Resultat unserer menschlichen Natur. Sie sind im Prinzip nicht diskutierbar und bedürfen in vielen Fällen auch keinem Entgegenwirken. Also die Tatsache an sich, dass der Mensch mit Schwächen behaftet ist, Fehler macht. Denn das ist gut so.

Das heißt natürlich nicht, dass man an Schwächen nicht arbeiten kann oder soll. Im Gegenteil. Das Leben ist ein kontinuierlicher Lernprozess und gegen Schwächen anzugehen ist ein wichtiger Teil dessen. Vor diesem Hintergrund sprechen wir aber von Schwächen oder Schwachstellen wie zum Beispiel fehlendem Fachwissen oder Verhaltensweisen, die in beruflichen oder privaten Situationen nicht zu den gewünschten Ergebnissen oder negativen Auswirkungen führen.

Eine gute Schwäche ist besser als eine schlechte Stärke.
Charles Aznavour

Bezüglich der Schwächen, bei denen es sinnvoll ist, über Veränderung nachzudenken, ist das Bewusstsein wichtig, dass wir trotzdem immer „fehlerbehaftet“ sein werden. Dafür sind wir Menschen. Nicht umsonst heißt es, wenn man heute in Unternehmen über Automatisierung spricht: „Risikofaktor Mensch“.

Dieser ist nämlich einer der wichtigen Gründe, der für die Digitalisierung von Geschäftsprozessen spricht. Die Tatsache, dass Arbeitsabläufe weniger anfällig für Fehler sind, wenn Menschen weitestgehend nicht mehr manuell eingreifen (müssen).

Schwachstellen in der IT

Über diesen Gedankengang kommt man zu einem anderen Blickwinkel oder besser gesagt dem Bereich, der sicher vielen als erstes einfällt, wenn es um Schwachstellen geht, der IT.

Eine Schwachstelle in der IT steht für Sicherheitslücken in Programmierung oder Codierung von Software, durch die Schadcode in einzelne Computer oder sogar ganze Systeme gelangen können.

Wie man sich nun denken kann, reden wir bei dieser Art von Schwachstellen nicht wie bei Schwächen beim Menschen darüber, ob sie zu einer Software gehören oder nicht, oder ob sie ganz normal sind und auch bei anderer Software vorkommen. Zumindest nicht, wenn eine Schwachstelle als solche identifiziert wird.
Schwachstellen in der IT stellen meist eine Bedrohung dar, der man mit Patchen allein nicht Herr werden kann.
Patchen ist zwar wichtig, aber am komplexen Schwachstellen-Management führt kein Weg vorbei.

Warum?

  • System-Abhängigkeiten lassen häufig keinen aktuellen Patch zu.
  • Nicht für jede Schwachstelle gibt es einen Patch.
  • Fehlkonfigurationen verursachen auch bei aktuellem Softwarestand Schwachstellen.

Unternehmen werden heute regelmäßig von Cyberkriminellen angegriffen und tragen meist langfristig Schaden davon. Mit steigender Tendenz.
Wir leben in turbulenten, sich stetig ändernden Zeiten. Die Welt ist vernetzt und die Digitalisierung schreitet voran. Das haben wir besonders 2020 sehr deutlich erlebt, als immer mehr Menschen ihren Arbeitsplatz ins Home-Office verlegt haben.
Aus einem von IT-Profis betreuten Netzwerk zogen sie an einen Arbeitsplatz, an dem sie keine Unternehmens-Firewalls und eventuell auch keine professionellen Antivirus-Programme schützen.
Diese Situation ist für Cyberkriminelle ein gefundenes Fressen und stellt IT Abteilungen vor große Herausforderungen.

Schwachstellenmanagement ist unumgänglich

Umso wichtiger ist für Unternehmen heute ein funktionierendes Schwachstellenmanagement. Dies ist die beste Voraussetzung, um Verwundbarkeit zu reduzieren und Sicherheitsvorfälle zu minimieren.

Vulnerability Management befasst sich mit den sicherheitsrelevanten Schwachstellen in IT-Systemen. Dabei handelt es sich um einen fortlaufenden Prozess, der darauf abzielt, Schwachstellen in der IT-Infrastruktur zu identifizieren, ihren Schweregrad einzuschätzen und eine Auflistung der zu ergreifenden Maßnahmen zur Schwachstellenbeseitigung zu liefern. Ziel ist einerseits die Eliminierung von Schwachstellen, andererseits aber auch, Unternehmen künftig weniger verwundbar für Angriffe zu machen und kritische Sicherheitsvorfälle zu minimieren.

IT-Security ist grundsätzlich immer ein komplexer Prozess. Das Schwachstellen-Management spielt dabei eine erhebliche Rolle und ist sozusagen das Fundament. Maßnahmen können nur wirksam entwickelt und eingesetzt werden, wenn Schwachstellen bekannt sind.
Hier haben wir interessanterweise eine Parallele zur Erkennung von Schwachstellen bei uns selbst.
Denn auch für uns gilt: Nur wer seine Schwächen tatsächlich kennt, kann an ihnen auch arbeiten, vorhandenes Potenzial ausschöpfen und sogar neues entdecken.

Beim Vulnerability Management gilt es, gewonnene Erkenntnisse in einen Arbeitsprozess zu übertragen, dessen Ziel die Schließung der Schwachstellen ist.

Dabei sind die folgenden Fragen zu klären:

  • Wer bekommt zu welchem Zeitpunkt welche Informationen zu entdeckten Schwachstellen?
  • Wer ist für was verantwortlich?
  • Welche Möglichkeiten des Vorgehens gibt es?

Tools sind essentiell

Tools sind wie für viele Bereiche in der heutigen Arbeitswelt auch für ein optimales Schwachstellenmanagement von großer Bedeutung.

Moderne Tools müssen eine komplexe, sich ständig verändernde IT-Umgebung überwachen und innerhalb von kürzester Zeit reagieren, wenn Probleme erkannt werden.
Sie arbeiten heute vollständig automatisiert und scannen die IT-Umgebung kontinuierlich.

Zeitgemäße Programme für das Schwachstellen-Management bieten zudem weit mehr als einfaches Scannen und Beheben von Problemen.
Sie sollten ebenfalls bei der Automatisierung und Orchestrierung von kritischen Aufgaben unterstützen und die Priorisierung und Behebung von Schwachstellen beschleunigen oder, falls notwendig, Systeme vom Netzwerk trennen.

Wo kommt Schwachstellenmanagement zum Einsatz?

Softwarehersteller

Für Hersteller bedeutet Schwachstellenmanagement natürlich vor allem Qualitätskontrolle.

Softwarehersteller suchen systematisch nach Schwachstellen in ihrer Software. Und das auf ganz verschiedene Weise. Zum Beispiel durch Code Analyse sowie Black- und Whitebox Tests inklusive Penetrationstests.
Zusätzlich erhalten Sie Meldungen zu potenziellen Schwachstellen von externen Akteuren, wie Kunden oder Sicherheitsforschern. Diese Meldungen werden unter Berücksichtigung der eigenen Erkenntnisse bewertet, gegebenenfalls ein Workaround definiert und dann die Behebung der Schwachstelle vorgenommen.

In der Regel führt das zu einem Security Patch, meist verbunden mit einem Security Announcement und unter Umständen der Erteilung / Beantragung einer CVE ID.

Security Teams

Security Teams erhalten Meldungen über Schwachstellen z.B. vom BSI, Softwareherstellern, Mitre oder über andere Kanäle.

Eingehende Meldungen werden auf ihre Relevanz geprüft und die Kritikalität für die eigene Infrastruktur bestimmt. Daraus resultiert meist ein Advisory für die nachgelagerten IT-Abteilungen mit der Aufforderung, Systeme zu patchen. In manchen Fällen können Advisories auch Fristen enthalten.
Auch die Überprüfung der Umsetzung der Advisories kann zum Gesamtprozess gehören. Dieser Teilprozess kann auch regelmäßig durchgeführt und so der Patch-Zustand von Systemen geprüft werden.

Häufig wird das Vorgehen in folgende 4 Schritte aufgeteilt:

  • Definition Soll-Zustand
  • Identifizierung von Abweichungen
  • Behebung (Remediation)
  • Reporting/Neubeurteilung

Schwachstellenmanagement ist auch Bestandteil eines optimalen ITSM. Üblicherweise wird hier durch ein Advisory oder auch eine Meldung des Herstellers getriggert. Betroffen sind die ITIL Bereiche Configuration Management, Incident Management, Change Management
und Governance.

IT Security Teams sollten sich heute in jedem Fall über die Möglichkeiten des Einsatzes von Tools, wie zum Beispiel einer SOAR Software wie STORM powered by OTRS, informieren und abwägen, welche Software für ihre Ansprüche am geeignetsten ist. Gerade bei einem sensiblen Thema wie IT-Sicherheit zählt jede professionelle Unterstützung.

Wie man sieht, gibt es doch viele Parallelen, wenn es um Schwächen oder Schwachstellen geht, egal, von welchem Bereich man spricht. Wenn auch mit unterschiedlicher Ausprägung oder Priorität.

Nicht wegsehen, wenn es um Schwächen oder Schwachstellen geht

Schwachstellen sollten niemals ignoriert werden. Es lohnt sich immer, sie zu identifizieren, zu bewerten und dann etwas zu tun, um sie zu beseitigen.
Wie wir wissen, beim Menschen nicht unbedingt, bei der IT hingegen zum größten Teil schon. Denn dort bedeuten, im Gegensatz zum Menschen, Schwachstellen sehr oft eine existenzielle Bedrohung.

In jedem Fall also ist Wegsehen keine Option, wenn es um Schwächen oder Schwachstellen geht.

Wir persönlich können durch „Schwachstellenmanagement“ in den meisten Fällen eine deutliche Verbesserung unserer Arbeits- oder Lebenssituation erreichen. Und wenn es nur die Erkenntnis ist, dass unsere Schwächen völlig normal sind und keiner Maßnahmen bedürfen.

Bei Unternehmen bedeutet ein richtig funktionierendes Schwachstellenmanagement häufig sogar die Vermeidung langfristiger massiver Schäden bis hin zur Existenzvernichtung.

Nehmen Sie Schwächen ernst und beschäftigen Sie sich mit ihnen, es kann Sie nur stärker machen.

Text:
Photos: Simon Berger vis Pexels

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Share the Story