Information Technology Reference
In-Depth Information
2
Arten von Security-Konflikten
„Wasch mir den Pelz, aber mach mich nicht nass.“
Redensart
Wenn ein Mitarbeiter seiner Arbeit nicht nachkommt, handelt er sich irgendwann
Ärger ein; eine Konsequenz, die einigermaßen logisch erscheint. Die unlogische
Umkehrung würde lauten, sich Ärger einzuhandeln, wenn man seine Arbeit
ordnungsgemäß und gewissenhaft erledigt. Aber genau diese unlogische
Umkehrung gilt für viele Sicherheitsexperten. Datenschützer, IT-
Sicherheitsbeauftragte und Co. müssen damit leben, dass ihre Arbeit nicht immer
gut ankommt, auch wenn sie gerade dafür eingestellt worden sind. Unter
Umständen müssen sie mit Ärger rechnen, wenn sie zu sehr bohren.
„Keiner oder
kaum ein IT Leiter oder Vorstand möchte, dass man in seinem System eine Sicherheitslücke
findet. Selbst dann nicht, wenn er es sagt“
, schreibt ein Freelancer im IT-Security-
Forum des Business-Netzwerks XING.
30
Das ist eines der Grundprobleme, die Sicherheitsexperten in Konfliktsituationen
bringen. Eine ausreichende Antwort auf die Frage, warum sie immer wieder in der
Konflikt-Falle landen, ist es freilich nicht. Auf der Security-Bühne haben wir uns
eingehend mit den Problemfeldern der Protagonisten befasst, mit ihren Zielen,
Zwängen, Prioritäten und Risiken. Wir haben in Kapitel 1 den Rahmen gesteckt, in
dem sich Security-Konflikte abspielen, ohne jedoch näher darauf einzugehen, ob es
sich formal um Konflikte handelt, und nach welchen Gesetzmäßigkeiten sie
entstehen. Wir werden daher unsere bisherigen Erfahrungen mit der Security-
Bühne in den folgenden Abschnitten systematisieren. Am Ende des zweiten
Kapitels ist dann das Handwerkszeug zusammen, um als Sicherheitsexperte
Security-Konflikte verhindern zu können.
Wir werden uns in diesem Kapitel einige ausgewählte Modelle des
Konfliktmanagements ansehen und anhand dieser die Eigenarten von Security-
Konflikten erhellen. Ziel ist es, Klarheit über spezielle Kommunikationssituation
zu erhalten, in denen Sicherheitsexperten Tag für Tag stecken. Die Modelle
beleuchten das Thema jeweils aus einem ganz eigenen Winkel und sind - wie z.B.
das Normenkreuz nach Gouthier (Abschnitt 2.3) - ursprünglich gar nicht für die
Security-Branche entwickelt. Man merkt jedoch schnell, dass sie gute Arbeit
