Information Technology Reference
In-Depth Information
Weiterhin gilt, nach dieser Theorie, das es ein homo oeconomicus nur mit Partnern
Schritt davon aus, dass Mitarbeiter auch bei sicherheitsrelevanten Entscheidungen
nach diesem Muster funktionieren und betrachten als Beispiel folgende Situation:
Jeff aus der Forschungsabteilung unseres Pharma-Unternehmens ExAmple AG
bekommt per Mail eine PDF-Datei zugeschickt.
„Forschung in die Ecke gedrängt:
Veröffentlichungspflichten für Medikamentenstudien weiter verschärft“
, heißt es im
Betreff. Wenn es sich bei Jeff um einen homo oeconomicus handelt, würde das
bedeuten, dass er…
1. …seinen Gewinn maximieren will und daher am Inhalt der PDF-Datei
interessiert sein wird.
2. Ausgestattet mit vollkommener Voraussicht weiß Jeff, dass in der PDF-
Datei nur eine alte Pressemitteilung zum Thema wiedergegeben wird und
die Datei so manipuliert wurde, dass sie eine jedem bekannte
Schwachstelle des PDF-Readers ausnutzt und einem Angreifer so
Administrator-Rechte verschafft.
3. Durch die unendlich schnelle Reaktionsfähigkeit aller Beteiligten ist es
möglich, dass Jeff sofort die deutsche Polizei informiert, die in
Zusammenarbeit mit der US- Polizei unmittelbar nach Empfang der Mail
den Wohnort des Straftäters ermittelt hat und diesen in Cincinnati
verhaftet.
Da der Straftäter aus der Welt des homo oeconomicus ebenfalls über die
vollkommene Voraussicht verfügt, will er nicht ins Gefängnis, sondern seinen
Gewinn maximieren. Daher hat er die Mail natürlich nie verschickt, weil er ja
wusste, dass er sofort verhaftet werden würde. Nach dieser Theorie gibt es also gar
keine interessanten Mails, keine bösartigen PDF-Dateien, und keine Jeffs, die sie
anklicken könnten: Alle Sicherheitsprobleme wären gelöst.
Wir wissen, dass die Anwendung dieses Modells einen vielleicht zum
Wirtschaftswissenschaftler macht, nicht jedoch zum IT-Sicherheitsbeauftragten
oder Datenschützer. Natürlich gibt es jede Menge manipulierte PDF-Dateien und
jede Menge Jeffs, die sie öffnen. Wir müssen bei der Gestaltung von
Sicherheitsrichtlinien von fehlerbehafteten, echten Menschen ausgehen, die nicht
mit unendlicher Weisheit, in Sekundenbruchteilen ihren Gewinn maximieren. Im
Gegenteil: Echte Menschen öffnen manchmal mit unendlicher Ignoranz, drei Tage
nach der Sicherheitsschulung, gegen besseres Wissen, unter Vernichtung des
Quartalsgewinns der gesamten Firma eine PDF-Datei, in der nur für Potenzpillen
