Im Spannungsfeld Funktionsumfang – Sicherheit – Bedienbarkeit – Kosten muss die Sicherheit oft zurückstecken. Zwar redet alle Welt davon, dass man auf sie größten Wert lege, im Zweifel dürfte es aber allzu oft heißen: "Jetzt muss es erstmal überhaupt funktionieren und dann können wir uns darum kümmern, dass es auch sicher funktioniert." Zudem sind angesichts der angespannten Wirtschaftslage Maßnahmen unbeliebt, die vordergründig nur Geld kosten, aber (besonders wenn sie erfolgreich sind) keine sichtbaren Ergebnisse liefern.
Die halbe Miete verursacht jedoch die doppelten Kosten. Wer etwa nur in Anti-Virus-Lösungen investiert, diese aber – zu hohe Personalkosten – nur "so nebenbei" pflegen lässt, seine Mitarbeiter – zu viel Produktivitätsausfall – nicht sensibilisiert und auf weitere Maßnahmen gänzlich verzichtet, der zahlt als Opfer einer Attacke gleich dreifach: Die getätigte Investition hat sich nicht ausgezahlt, weil sie nicht richtig eingesetzt wurde oder einfach nicht greift (Hackerangriff statt Virus). Arglose Mitarbeiter (wir haben doch diese Sicherheitssoftware...) erhöhen das Risiko und unvorbereitete Administratoren (für Planung war nie Zeit...) machen durch ad-hoc-Entscheidungen im Krisenfall vielleicht alles noch schlimmer.
Es ist ja auch nicht leicht, auf dem Laufenden zu bleiben. Ausgerechnet Microsoft machts nun vor (zumindest schon mal, was die PR angeht): Einen Monat lang will man keine neuen bunten Windows-Features erfinden, sondern Fehler beheben und Mitarbeiter fortbilden. Das ist schon fast "ZEN und die Kunst der Informationssicherheit": Erst mal zur Ruhe kommen, den ganzen täglichen Stress beiseite schieben und sich dann in Ruhe Gedanken machen, wie eigentlich alles laufen sollte – nicht gleich hektisch ans Werk gehen, sondern mit planvoller Muße abwägen, bevor man implementiert.
Eine gute Leitlinie für solche Muße bietet die aktuelle KES/KPMG-Sicherheitsstudie. Ab Seite 48 finden Sicherheitsverantwortliche die Fragen, die sie sich nach initialer Meditation vermutlich auch selbst stellen würden – sozusagen gebrauchsfertig verpackt. Die Zeit, um diese Fragen zu beantworten, ist weit mehr als nur Pausenfüller: Sie hilft gleichzeitig die eigene Lage zu beurteilen und später aussagekräftige Zahlen (= Argumente) über die allgemeine Sicherheitslage zu erhalten.
Man sollte jedenfalls nicht erwarten, dass schärfere Gesetze oder eine einmalige Investition in Sicherheitssoftware alle Probleme lösen können. Sicherheit funktioniert nur als stetiger Prozess, dem aber eine gelegentliche Auszeit neuen Schwung geben kann.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2002, Seite 3
