Information Technology Reference
In-Depth Information
oder doch lieber das kürzlich erfolgreich abgeschlossene Projekt, mit dem man sich
für eine bessere Stelle empfehlen kann (gemischte Eis - mit Kirschen). Eigentlich
müsste er die Sicherheitsprobleme ansprechen, dulden Sicherheitsprobleme doch
keinen Aufschub. Schnapp - die
„Zweit-Job-Falle“
ist zu!
2.4.2 Wer kontrolliert den Kontrolleur?
Bereits im Abschnitt über die Sicherheitsbeauftragten stand uns Pawero Pate, der
Sicherheitschef aus dem Tal der Könige. Pawero musste zur Zeit des Pharao
Ramses IX (1127/1128 bis 1100 v. Chr.) einer Plage von Grabräubern Herr werden.
Leider konnten sich die Plünderer zu dieser Zeit bei den Sicherheitsbeamten durch
Bestechung mit der Beute freikaufen. An der Spitze derer, die die Hand aufhielten
stand: Pawero selbst. Letztlich stolperte er über den Fall des Grabräubers
Amenpanufer, der sich nicht freikaufen konnte und unter Folter auspackte. Bis es
soweit war, ermöglichte es Paweros Position jedoch, die Ermittlungen zu seinen
Gunsten zu beeinflussen und seine Beteiligung zu
verschleiern.
37
Wieder drängt sich die Frage auf, ob man Vorfälle verhindern will, oder ob man
nur einen Schuldigen braucht. Wer ausschließen will, dass ein Sicherheitssystem
rissig wird, muss die Frage stellen: Wer kontrolliert den Kontrolleuer? Nun
müssen die Risse nicht gleich so groß sein, wie bei Pawero. Als er durch
Amenpanufer zu Fall gebracht wurde, war es freilich zu spät. Wahrscheinlich fing
es aber mit mehr oder weniger kleinen Verfehlungen an. So weit müsste man
zurückgreifen, wenn man die große Verfehlung am Ende verhindern wollte.
Was hält den IT-Sicherheitsbeauftragten ab, am Arbeitsplatz mehr privat zu surfen
wie erlaubt, wenn er doch der einzige ist, der die Protokolldateien der Server
einsehen kann? Was hindert den Sicherheitsbeauftragten daran, den Eintrag im
eigenen polizeilichen Führungszeugnis zu verschweigen? Und wer sollte den
Datenschutzbeauftragten aus der Personalabteilung dabei erwischen, die
Leistungsbeurteilungen der Abteilungsleiter zu sammeln und mit nach Hause zu
nehmen? Alle drei unterliegen der Versuchung, sich nicht selbst kontrollieren zu
müssen.
Die Versuchung wächst, wenn die Sicherheitsfunktion nicht hauptamtlich
wahrgenommen wird, sondern als Nebenjob, wie wir es im vorigen Abschnitt
bereits erörtert haben. Insbesondere unterliegen die Betroffenen in dieser Situation
in ihrer Haupttätigkeit denselben Zwängen, wie die normalen Mitarbeiter und
schnell
werden
in
der
„drive-by“-Risikoanalyse
auch
dieselben
Fehleinschätzungen getroffen.
