![[ Porträtfoto: Norbert Luckhardt]](../nl2k1.jpg)
Fundamentale WeisheitenFundamentale WeisheitenDie Welt ist schlecht. Darum gibt es (unter anderem) Viren, Würmer, Wirtschaftsspionage und jede Menge Spam. Und kein Gesetz und keine elektronische Totalüberwachung werden daran wirklich etwas ändern. Bedenken sollte man auch, dass die größten Gefahren selten mit apokalyptischem Getöse à la Blaster und MyDoom daherkommen, sondern eher wie ein Dieb in der Nacht. Hundert laute Randalierer in der Fußgängerzone wirken zwar bedrohlich, den schwerwiegenderen Schaden kann aber ein einzelner korrupter Politiker, böswilliger Bänker oder ersatzweise jedes beliebige andere (reale oder virtuelle) Lieblingsfeindbild anrichten. Man hüte sich vor Wahrnehmungsverzerrungen.
Computer sind dumm. Darum fressen sie alles, was ihnen vor die Prozessoren kommt – am liebsten Zeit, ersatzweise aber auch beinahe jeden gutmütigen oder böswilligen Programmcode. Software kann systembedingt kaum schlauer sein. Wer intelligente Schutzmechanismen sucht, sollte daher dort ansetzen, wo wirkliche Intelligenz (oder das, was wir gemeinhin dafür halten) vorliegt: beim Menschen. Ein sensibilisierter und motivierter Mitarbeiter kann viele IT-Gefahren vermeiden oder erheblich leichter erkennen als ein Computerprogramm. Umgekehrt wird die menschliche Kreativität eines Angestellten, der sich von unverstandenen Sicherheitslösungen gegängelt fühlt, zur großen Gefahr für deren Wirksamkeit.
Einer klickt immer... auf das infizierte Attachment, den Werbe-Link mit Dialer-Download, auf "Wirklich unwiederbringlich löschen?" oder einfach den falschen Menüpunkt. Menschen machen Fehler – je besser sie ausgebildet sind, desto weniger, aber niemals null. Eine durchgängige minimale Rechtevergabe kann (und sollte) die Auswirkungen der Fehler auf ein Minimum beschränken. Dennoch geht es nicht ohne Sicherheitstechnik; die muss aber für und mit den Menschen arbeiten, nicht gegen sie.
Die Mischung machts. Da weder Natur noch Technik unfehlbar sind, sollte man möglichst viele unabhängige Systeme einsetzen, die sich gegenseitig "auffangen". Die beste Verteidigung ist ein Netzwerk, das die Stärken der einzelnen Komponenten betont und die Schwächen durch andere Elemente ausgleicht. Zudem sind sicherlich pragmatische Beschränkungen des (technisch wie organisatorisch) Möglichen notwendig, um Überregulierung zu vermeiden, Systeme handhabbar zu halten und das Budget nicht zu sprengen. Und als Ultima Ratio bleiben: Gesetze, Strafverfolgung und Schadenersatz.
Norbert Luckhardt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#2, Seite 3
| 