Sicherheit kennt keine Freiheit Marc Ruef | 07.11.2005 Vor wenigen Wochen war ich bei der Niederlassung einer Bank in Basel. Im Rahmen eines überregionalen Penetration Tests wurde ich vom technischen Personal in die Umgebung vor Ort eingeführt. Da werden mir dann Netzwerkdiagramme und IP-Adresslisten vorgezeigt, über eingesetzte Betriebssysteme sowie Applikationen diskutiert. Bei dieser frühen Phase eines Audit Projekts nutze ich oftmals die Gelegenheit, die involvierten Personen auch etwas ausserhalb ihres Berufbereichs kennenzulernen. Trägt ein Security Officer anstatt Anzug und Krawatte sportliche Fila-Schuhe und finden sich im Regal neben Cisco-Büchern und SuSE-CDs auch eine Schachtel Golfbälle, ist die Frage nach Platzreife und Handicap schon fast ein Muss. Bei ungezwungenen Gesprächen auf dieser Ebene lernt man oftmals das wahre Naturell einer Person viel schneller kennen. Ausserdem kann man der Ernsthaftigkeit, die eine Sicherheitsüberprüfung halt so mit sich bringt, ein bisschen entschärfen. Genau so macht es nämlich auch mein Hausarzt, der darin ein wahrer Meister zu sein scheint. Muss ich aufgrund eines neuerlichen oder alten Leidens an ihn herantreten, stehen meine Beschwerden nur selten oder wenigstens kurz im Vordergrund. Politik und Gespräche eines Arztes aus dem Nähkästchen interessieren oftmals mehr weder eine anstehende Magenspiegelung oder dergleichen. Eine meiner semi-privaten Standard-Fragen ist diejenige nach dem allgemeinen Wohlbefinden mit dem gegenwärtigen Sicherheitsdispositiv. So mancher klagt über schwermütige Prozesse bei der Antragsverarbeitung zu einer neuen Firewall-Komponente oder man ärgert sich über die fehlende Heterogenität/Homogenität der eingesetzten Betriebssystem-Landschaft. Die Sorgen sind alle anders und doch irgendwie gleich. Auf eben meine Frage erhielt ich jedoch in der Situation eine Antwort, die ich so nicht erwartet hätte. Mein Gegenüber meinte, dass er sich wie ein Verbrecher vorkomme. Und zwar weil in der Bank extreme Sicherheitsregulierungen und -restriktionen herrschen, wie ich sie selten gesehen habe. Nur eine Bank ist mir bekannt, die da gar noch einen Tick extremer ist. Aber beide Kunden sind auf höchstem Niveau, stellen in manchen Bereichen ungeniert die Sicherheit über die Produktivität. Der Security Consultant in mir will da natürlich jubeln. Dieses Gespräch zeigte mir aber auf, dass Sicherheit in jeglicher Hinsicht immer auf Kosten der Freiheit geht. Die Gefahr eines Systems, egal ob sozialer oder technischer Natur, liegt in den Risiken der Möglichkeiten. Es verwundert ja niemanden, dass Diktatoren als erstes oppositionelle Gesinnungen verbieten. So minimieren sie das Risiko einer (un-)kalkulierbaren Gegenbewegung, die ihren Standpunkt gefährden könnte. In der Computersicherheit geht es nicht viel anders zu und her. Da ist der Diktator aber entweder die Gesetzesgebung, die Geschäftsleitung, der Security Officer oder der Administrator, der zur Wahrung seiner Ziele die Möglichkeiten der Opposition einschränkt. Und zur Opposition wird alles gezählt, was irgendwie gefährlich werden könnte. Da Computerkriminalität ein Phänomen, alleine hervorgerufen durch den Menschen, darstellt, wird eben jeglicher Benutzer um seine Freiheiten beraubt werden müssen. Ein System ist sodann nur 100 % sicher, wenn 0 % Freiheiten gegeben sind. Nur bleibt es dann oftmals nicht betreibbar und verliert so seinen eigentlichen Sinn. Da jubelt dann irgendwie auch nicht mehr der Security Consultant in mir.