Was ist Sicherheit?

Haben Sie schon einmal etwas intensiver darüber nachgedacht, wie Sie den Begriff Sicherheit (im Umfeld der IT) definieren?

Mir wurde diese Frage in dieser Woche im Rahmen eines Bewerbungsgespräches gestellt.

Was mir zuerst eingefallen ist – 42.

Wer damit nichts anfangen kann, dem empfehle ich „Per Anhalter durch die Galaxis (The Hitchhiker’s Guide to the Galaxy)“ von Douglas Adams.

Tatsächlich findet man zum Thema Sicherheit einiges in Wikipedia.

Nachdem ich mich in den letzten Wochen und Monaten intensiver mit der ISO 2700x beschäftigt habe, fällt mir in diesem Zusammenhang natürlich auch sofort der Begriff „Risiko“ ein.

Eine Aussage, ist mir in Wikipedia besonders aufgefallen:

Allgemein wird Sicherheit jedoch nur als relativer Zustand der Gefahrenfreiheit angesehen, der stets nur für einen bestimmten Zeitraum, eine bestimmte Umgebung oder unter bestimmten Bedingungen gegeben ist. Im Extremfall können sämtliche Sicherheitsvorkehrungen versagen, etwa bei Vorkommnissen, die sich nicht beeinflussen oder voraussehen lassen (beispielsweise einem Naturereignis). Sicherheit bedeutet daher nicht, dass Beeinträchtigungen vollständig ausgeschlossen sind, sondern nur, dass sie hinreichend (beispielsweise im Vergleich zum allgemeinen „natürlichen“ Risiko einer schweren Erkrankung) unwahrscheinlich sind

In einigen meiner vorherigen Beiträge ist es bereits angeklungen – ich frage mich immer öfters, ob unsere bisherige Einschätzung von Risiken nicht vielleicht ein „Update“ benötigt.

  • Hätten Sie gedacht, dass jemand mit mehreren Passagierflugzeugen gleichzeitig mehrere Gebäude angreifen würde?
  • Hätten Sie gedacht, dass ein Tsunami zu einem Super-Gau führt?
  • Hätten Sie gedacht, dass es über ein simples Update für ein Programm zu einem „Pearl Harbour des Informationszeitalters“ kommen könnte?

Wenn ich Risiken betrachte, dann muss ich natürlich auch die Eintrittswahrscheinlichkeit betrachten und damit habe ich immer mehr ein Problem.

  • Wie schätzen Sie aktuell die Wahrscheinlichkeit ein, dass die komplette Microsoft Cloud Umgebung wegen einem Hackerangriff ausfallen könnte?
  • Wie schätzen Sie aktuell die Wahrscheinlichkeit ein, dass das Internet (also nicht die Verbindung dazu) komplett ausfallen könnte?
  • Wie schätzen Sie aktuell die Wahrscheinlichkeit ein, dass ein Sonnensturm wesentliche Teile der Satellitenkommunikation stört?

Ein realistisches Risikomanagement für ein konkretes Projekt muss stets den Fall berücksichtigen, dass ein identifiziertes Risiko tatsächlich eintritt, selbst wenn es nur eine geringe Eintrittswahrscheinlichkeit hat.

Und es sollte auch berücksichtigen, dass es Risiken gibt, die wir noch gar nicht kennen.

Deshalb rate ich dazu, den Grundsatz der Redundanz in allen  IT (-Sicherheits) Fragen mit einzubeziehen.

Ziehen Sie doch einfach einmal in Gedanken den Stecker zum Internet und prüfen Sie, was im Unternehmen tatsächlich noch gearbeitet werden kann.

Oder vielleicht tut es auch schon ein Stromausfall.

Vielleicht haben Sie Glück, und der Fall tritt nie ein. Wenn doch, haben Sie auf jeden Fall einen Plan B, um das Unternehmen weiter betreiben zu können.

Nun zu meiner Antwort auf die Frage „was ist Sicherheit“ (im IT Kontext):

„Sicherheit ist ein kontinuierlicher Prozeß, mit dem Ziel die Produktivität und die Reputation eines Unternehmens immer maximal zu halten.“

Bestimmt ist das nicht „allumfassend“ und es gibt sicher auch andere Meinungen.

Wichtig ist am Ende auch nur, dass Sie sich mit dieser Frage beschäftigen und vielleicht lautet die einzig, wahre Antwort tatsächlich

42