Eine Bewertung ohne Definition erzwingt Relativität Marc Ruef | 13.06.2011 "Sind wir sicher?" Diese Frage hören wir im Rahmen einer Sicherheitsüberprüfung (http://www.scip.ch/?dienstleistungen.auditing) immerwieder. Der Kunde will wissen, ob er sicher ist. Dass Sicherheit ein hochgradig individueller Begriff ist, habe ich schon vor vielen Jahren im gleichnamigen Blog-Post dokumentiert (http://www.computec.ch/news.php?item.151). Wird dies dem Kunden klar gemacht, dann interessiert er sich konkreter dafür, wie er mit ähnlichen Firmen (Bereich, Grösse, Struktur) verglichen werden kann. Solange er besser ist als der Durchschnitt, sind die meisten Kunden - vor allem das obere Management - zufrieden. Diese kleine Geschichte zeigt, dass sich der Begriff Sicherheit an statischen Punkten orientieren muss. In diesem Fall waren es die anderen Kunden und die Qualität deren Sicherheit. In anderen Bereichen sind es absolute Definitionen. Zum Beispiel sehen die meisten Firmen im Rahmen ihrer Risikobewertung (http://www.scip.ch/?dienstleistungen.riskanalysis) vor, dass sowohl Eintrittswahrscheinlichkeit als auch die Auswirkungen eines Angriffs gering sein müssen, um als "sicher" zu gelten. Dies klingt soweit ganz gut. Doch auch hier scheitert die Diskussion an der fehlbaren bzw. fehlenden Orientierung. Denn was ist eine "niedrige Eintrittswahrscheinlichkeit"? Wie unterscheidet sich diese von einer "mittleren Eintrittswahrscheinlichkeit"? Und welches ist die höchstmögliche Eintrittswahrscheinlichkeit? Viele Menschen, die ungeübt sind im kategorisieren und katalogisieren tun sich schwer damit, nachvollziehbare Definitionen vorzulegen. In einem solchen Fall ist ein verlässliches und nachvollziehbares Arbeiten nahezu unmöglich. Die einzig verbleibende Möglichkeit ist, sich einmal mehr an relativen Indikatoren zu orientieren. So vermag die Eintrittswahrscheinlichkeit bei Szenario A höher zu sein, als bei Szenario B. Hingegen ist Szenario C eher geringer einzustufen als Szenario B (und damit auch als Szenario A). Relativität vermag aus logischer Sicht korrekt zu sein. Ich jedenfalls kann mich damit abfinden. Doch viele Kunden wollen gerade absolute Werte zum Schluss vorliegen haben. Dann wird das Erarbeiten einer durchdachten Skalierung erforderlich und diese muss teilweise durch den Kunden mitgetragen oder wenigstens zum Schluss durch ihn abgenommen werden. Bleibt dieser Schritt aus, hat das ganze Einstufen gar keinen Sinn mehr. Weil dann werden Dinge mit Worten bezeichnet, die keine Bedeutung haben. Dann könnte man die Risikoeinstufung auch gleich durch einen Zirkusaffen vornehmen lassen.