Risikoanalysen und Resignation Marc Ruef | 18.01.2010 Angewandte Computersicherheit stützt sich auf der Diskussion von Risikoanalysen ab. Es gilt die Bedrohungen zu erkennen. Danach wird die Eintrittswahrscheinlichkeit und die Auswirkungen skizziert, um die entsprechenden Risiken kalkulierbar zu machen. Je eher ein Schaden Eintritt oder desto grösser seine Auswirkungen sind, desto grösser ist das Risiko. Und umso grösser das Risiko ist, desto eher lohnt es sich dagegen vorzugehen und will man es minimieren. Ein einfacher Prozess, eigentlich. Doch Grossfirmen pflegen aus diesem simplen Prinzip ein losgelöstes, realitätsfremdes und inkonsistentes Gebilde zu basteln, welches sowohl die akademisch-juristischen Anforderungen der internen Revision als auch die praktisch-technischen Bedürfnisse der Administratoren nicht berücksichtigen kann. Die Risikoanalysen finden meist auf Papier statt, ohne die detaillierten technischen Hintergründe der eingesetzten Produkte und Mechanismen zu kennen. Da wird dann halt pauschalisiert und versucht irgendwie zu allem ein Wort zu verlieren. Die aus der Risikoanalyse generierten Massnahmenpakete adressieren sodann Probleme, die entweder so nie existiert haben oder die sich auf einer ganz anderen Ebene und mit gänzlich unterschiedlichen Vorgehensweisen hätten beheben lassen. Die Entwickler, Administratoren und Benutzer werden so sehr schnell "gegängelt". Wer Folge 2 der TV-Adaption von Dilbert (http://www.imdb.com/title/tt0118984/) gesehen hat, der weiss, wovon ich rede. Die Konsequenz davon ist, dass Energie an Stellen verschwendet wird, die so gar nicht hätten berücksichtigt werdern müssen. Sicherheit wird dann einmal mehr als nervige Mühsamkeit empfunden, die die Kreativität behindert und die Produktivität einschränkt. Und ja, in solchen Fällen kann man das nur schwerlich abstreiten. Doch es ist nicht das Problem der Sicherheit oder der Risikoanalysen als solche. Viel mehr rührt der Fehler von einem unintelligenten Prozess. Oftmals zu spät und zu weit weg von der Realität werden die Risikoanalysen erstellt. Doch genau die Realität ist es, die man mit diesen Betrachtungen formalisieren und greifbar machen will. Die Lösung kann nur sein, wenn die unterschiedlichen Stellen zusammenarbeiten und dadurch die unterschiedlichen Bedürfnisse in Einklang bringen lassen. Einerseits die technischen Verantwortlichen, denen die technischen Details ihrer Lösungen bekannt sind. Anderseits die Verantwortlichen aus IT-Security, deren Auftrag die Skizzierung und Adressierung von Risiken ist. Das Erstellen einer Risikoanalyse und das Angehen der daraus resultierenden Massnahmen wird dann nicht mehr zu einer Bürde, sondern kann in den produktiven Prozess eingegliedert werden.