Information Technology Reference
In-Depth Information
Kundendatenbanken oder besseren Passphrasen für die W-LAN-Verschlüsselung
überzeugen können. Security by tradition ist daher die Art von Sicherheitskultur,
von der man lieber sagen möchte, dass das etablierte System eine Un-
Sicherheitskultur ist. Demgegenüber stehen Unternehmen und Behörden, in denen
Sicherheit ein strukturierter und dokumentierter Prozess ist.
4.1.2 Security by concept
Security by concept
basiert auf Sicherheitskonzepten. Ausgehend vom einen Extrem,
Security by tradition, handelt es sich hierbei um den Zielzustand. Zwischen diesen
beiden Polen rangiert die Sicherheitskultur in jeder Organisation oder zumindest
in Teilen davon. Macht man die Unterteilung klein genug, kann man für jede
Sicherheitsmaßnahme feststellen, ob man sich by tradition oder by concept für
oder gegen sie entschieden hat. Hängen mehrere Maßnahmen zusammen, so lässt
sich dieser Zusammenhang auch wieder in eine der beiden Kategorien einordnen.
Man kann zum Beispiel auf dem Mail-Server einen Virenscanner by tradition
haben, weil er beim Provider mit im Lieferumfang enthalten war, oder man hat
sich bewusst - also by concept - dafür entschieden. Gleiches gilt für die
Virenscanner auf den PCs, die den Mail-Verkehr ein zweites Mal überprüfen. Der
Zusammenhang, dass nun jede Mail zwei Mal überprüft wird, kann ebenfalls by
tradition entstanden sein oder eine bewusste Entscheidung by concept. Das kann
durchaus sinnvoll sein, wenn beide Virenscanner unterschiedliche Virensignaturen
verwenden.
Security by concept beantwortet also nicht die Frage, ob eine Sicherheitsmaßnahme
getroffen wurde oder nicht. Man kann durchaus by concept auf eine
Sicherheitsmaßnahme verzichten und damit sogar ein hohes Risiko eingehen.
Entscheidend ist, dass man zu dieser Entscheidung auf Grundlage eines
analytischen Vorgehens gekommen ist. So kann ein Unternehmen, das einen nach
ISO 27001 zertifizierten Risikomanagement-Prozess etabliert hat, durchaus
schlechter abgesichert sein, wie ein Unternehmen in dem die Sicherheit traditionell
gewachsen ist. Glauben Sie nicht? Nehmen Sie als Beispiel auf der einen Seite eine
Spedition mit externem IT-Sicherheitsbeauftragten und sechs Monate altem ISO-
Zertifikat fürs Rechenzentrum und auf der anderen Seite die nicht zertifizierten
Server einer Unternehmensberatung die Live-Hackings und Penetration-Tests
anbietet. Was denken Sie, welche Server sicherer sind?
Security by concept erhöht also nicht per se die Sicherheit. Durch analytisches
Vorgehen schafft es aber auf jeden Fall Klarheit über Gefahren und Risiken und
eine dementsprechend aussagekräftige Dokumentation. Diesen Vorteilen stehen
höhere Kosten und ein größerer Verwaltungsaufwand gegenüber, durch den sich
