Information Technology Reference
In-Depth Information
4.3
Security-Storyboard
Im Kapitel über die Security-Bühne haben wir die historischen Beispiele von
Pawero im alten Ägypten und von General Meng-tian aus den Zeiten des Kaisers
Qin Shiuangdi kennengelernt: Wenn ein Schutzwall seit längerer Zeit seinen
Zweck erfüllt, wird in Frage gestellt, was die ganzen Anstrengungen bringen
sollen. Und fast immer lässt sich ein Phasenverlauf ablesen, nach dem auf der
klassischen Security-Bühne gespielt wird. Der erste Akt heißt
Panik
, der zweite Akt
Rückfall
. Die Handlung geht aus der
Naivität
über einen
Vorfall
zurück in die
Naivität
. Security ist durch Vorfälle gesteuert, nach denen Maßnahmen ergriffen
werden, die dafür sorgen, dass es keine Vorfälle mehr gibt. Entlang dieser
Wellenbewegung verläuft das Security-Storyboard.
1. Akt „Panik“
1. Naivität
2. Vorfall
3. Angst
2. Akt „Rückfall“
4. Maßnahmen
5. Beruhigung
6. Naivität
Tabelle 4-4:
Das Security-Storyboard mit seinen sechs Szenen
Die meisten Sicherheitsbeauftragten hängen in der 6. Szene fest und legen nur ab
und an eine Schleife über die Szenen 2. bis 5. ein. Dabei geben sich alle Beteiligten
große Mühe, in Windeseile zur 6. Szene zurückzukehren. Im Verlauf dieser
Wellenbewegung ändern sich vor allem die äußeren Zwänge, die auf IT-
Sicherheitsbeauftragte, Datenschützer und Co. einwirken. Sind die Beteiligten von
Angst ergriffen, wird nach harten Maßnahmen gerufen. Gerät der Vorfall in
Vergessenheit, kehrt sich der Ruf nach Maßnahmen ins Gegenteil. In der 4. Szene
des Security-Storyboards haben Sicherheitsexperten ihre besten Momente. Wir
wollen nun die Szenen noch einmal genauer betrachten und überlegen, wie man
den Verlauf in der Praxis beeinflussen kann, damit Mitarbeiter und Chefs nicht
immer wieder zurück in die Naivität verfallen. Unser Ziel lautet: So schnell wie
möglich in die 4. Szene!
4.3.1 Erster Akt: Panik
In der ersten Szene ist die drohende Gefahr noch unbekannt und keiner der
Akteure rechnet mit etwas Schlimmem. Unternehmen oder Behörden, die sich in
diesem frühen Stadium des Security-Storyboards befinden, erinnern an den Beginn
der Fälle in Aktenzeichen XY oder die ersten zehn Minuten in Horrorfilmen und
die Zuschauer schlüpfen in die Rolle der Security-Experten: Durch die Filmtitel
aufgestachelt, rechnen sie mit dem Schlimmsten. Heißt der Film ‚Der Tod aus der
Dunkelheit', warnt die innere Stimme:
„Nein, nicht in den dunklen Keller gehen.“
Und
