Information Technology Reference
In-Depth Information
verbundenen Risiken, oder toleriert er sie nicht? Ob der Server-Raum hinter einer
nicht abschließbaren Glastür oder einer Brandschutztür mit Sicherheitsschloss
liegt, irgendwann wurde diese Entscheidung getroffen und sie hatte Einfluss auf
den Ist-Zustand der Sicherheit des Server-Raums.
Sicherheitsentscheidungen kann man nicht aus dem Weg gehen, selbst dann nicht,
wenn man sich dagegen wehrt. Selbst das Aufschieben einer Sicherheitsmaßnahme
ist eine Entscheidung gegen deren sofortige Umsetzung. In diesem Sinn gibt es
auch in jedem Unternehmen und jeder Behörde eine Form von Sicherheitskultur,
auch wenn damit weder ein Ziel verfolgt wird, noch nachvollziehbar oder gar
messbar wäre, was bisher erreicht wurde und was nicht. Wenn es
Sicherheitsmaßnahmen gibt, dann entweder aus Zufall oder aufgrund schlechter
Erfahrungen, zum Beispiel mit Datenverlust oder Virenbefall. Irgendwann fängt
jeder damit an, seine Daten zu sichern oder einen Virenscanner zu installieren.
Spätestens dann, wenn die ganzen Viren, Würmer und Trojaner auf dem eigenen
Rechner die Leitung ins Internet unbenutzbar gemacht haben. Diese Art der
Sicherheitskultur ist historisch gewachsen: Security by tradition eben.
Im Einzelfall kann die Rechnung sogar aufgehen: Mit ein wenig Glück spart sich
ein Unternehmen viel Geld für Sicherheitsmaßnahmen und Verwaltungsaufwand,
ohne dass es je Opfer eines Angriffs wird, während andere Unternehmen, die viel
Geld in Sicherheit investieren, ständig angegriffen und geschädigt werden. Das ist
im Einzelfall nicht auszuschließen.
Vorteile
Nachteile
Schnelle Entscheidungsfindung
Sicherheit ist Glückssache
Geringe bis gar keine Kosten
Schadenspotential/ Risiko unbekannt
Kein Verwaltungsaufwand
Keinerlei Dokumentation
Tabelle 4-1:
Vor- und Nachteile von Security by tradition
Wenn Sie in so einem Umfeld arbeiten, benötigen Sie sehr große Hebel um
Sicherheitsmaßnahmen durchzusetzen. Sicherheit bleibt dem Zufall überlassen
und nicht zuletzt wegen der fehlenden Dokumentation ist es unmöglich Aussagen
zu Schadenspotential oder Risiko zu treffen. Für Sicherheitsprofis mag die
Vorstellung eines solchen Unternehmens grausig klingen - es gibt sie aber leider
und das nicht zu knapp. Das liegt vor allem an den Kostenvorteilen, die
unbestreitbar vorhanden sind, solange es keine Sicherheitsvorfälle gibt. Denken Sie
an die Webseite der kleinen Schreinerei, die Kundendatenbank eines
Kleinunternehmers oder das W-LAN der Arztpraxis. Solange nichts passiert, wird
