Information Technology Reference
In-Depth Information
forschenden Mediziners: Handelt dieser indiskret, wenn er seine
Forschungsergebnisse veröffentlicht, in denen er schildert, wie es seinen Patienten
ergangen ist? Mitnichten. Das ist nur dann der Fall, wenn man aufgrund der
Ergebnisse auf einen bestimmten Fall zurückschließen könnte oder gar Namen
veröffentlicht würden. In allen anderen Fällen erwartet man von einem Arzt sogar,
dass er seine Forschungsergebnisse mit anderen Ärzten und der Öffentlichkeit
teilt. Das gleiche muss für Security-Experten gelten.
Während Betrachtungen zur Frage der internen Diskretion weitestgehend autark
angestrengt werden können, ist äußere Diskretion immer von innerer Diskretion
abhängig. Sobald ein Vorfall intern bekannt ist, müssen Maßnahmen vorbereitet
werden, wie man reagieren will, wenn er extern bekannt wird. Darüberhinaus
muss ein Personenkreis festgelegt werden, der von der internen Diskretion
ausgeschlossen ist. Dies würde beispielsweise den Pressesprecher betreffen, der
zumindest informiert werden muss, dass es einen Vorfall gab, und wie er sich
verhalten soll, wenn er darauf angesprochen wird - insbesondere, was fachliche
Verlautbarungen anbetrifft. Sätze wie
„unser hochqualifiziertes Security-Team hat alles
im Griff“
, sind in Pressemitteilungen Tabu. Man fordert den geneigten Leser ja
geradezu heraus, diese Qualifikation aufgrund des Vorfalls in Frage zu stellen.
Wenn man dann drei Tage später nachschieben muss, dass ein seit Monaten nicht
gepatchter Server die Schuld am Ausfall der Webseite trug, kommt man in
Erklärungsnöte. Das Thema Krisen-PR wird jedoch erst im nächsten Abschnitt
betrachtet. Für den Moment reicht die Erkenntnis, dass einige Personen im
Unternehmen oder der Behörde - gerade in den Fällen höchster Diskretion - ein
ganz besonderes Informationsinteresse haben.
Dieser Personenkreis ist je nach Schadensausmaß unterschiedlich. Ein Beispiel,
dass Sie bitte selbst gedanklich durchspielen: Der Server und einige Rechner der
Finanzbuchhaltung könnten beschlagnahmt werden, weil dort Bildmaterial
gefunden wurde, dessen Besitz strafbar ist. Was meinen Sie, was auf den
betroffenen Festplatten noch so alles gefunden werden könnte? Für manchen Chef
könnte das der eigentliche Sicherheitsvorfall sein. Wenn Sie eine solche
Herausforderung im Alleingang
„vermasseln“
, sitzen Sie sicher bis zum Sankt
Nimmerleinstag in der Buhmann-Falle - ohne Aussicht auf Rettung.
Aus diesen Überlegungen ergeben sich zwei Anforderungen an einen diskreten
Umgang mit Sicherheitsvorfällen: Erstens müssen Rahmenbedingungen und
Szenarien festgelegt werden, die es ermöglichen Vorfälle danach zu bewerten, wie
wichtig Diskretion für das Unternehmen oder die Behörde ist. Und zweitens
müssen Personen identifiziert werden, die von dieser Diskretion ausgenommen
sind und im Falle des Falles ein besonderes Informationsinteresse haben.
