Schlechte Sicherheitsmassnahmen Marc Ruef | 19.09.2011 Ich befasse mich nun seit vielen Jahren mit dem Thema Informationssicherheit. Leute, die darum wissen, pflegen stets zu sagen: "Eine aufwendige Sache, da ständig auf dem neuesten Stand zu bleiben." Doch ich entgegne jeweils mit einem lapidaren: "Nein, nicht wirklich. Denn die Grundprinzipien sind seit Tausenden von Jahren fortwährend gleich geblieben." Jedes Mal merke ich, wie es in den Köpfen der Leute zu arbeiten beginnt, sie aber schnell einsehen, dass meine Antwort nicht unwahr schien. Informationssicherheit ist ein komplexes Thema, das man meines Erachtens eigentlich der klassischen Philosophie anhängen müsste. Denn auch in diesem Fachbereich gibt es eine Vielzahl an Diskussionen, die einen Diskurs verlangen und je nach Weltsicht in einem Disput enden können. Die Entscheidungen innerhalb der Informationssicherheit sind genauso philosophisch, wie die Frage nach dem Sinn des Lebens, der Existenz der Seele oder dem Vorhandensein von Gerechtigkeit. Aus eben diesem Grund wird Informationssicherheit von vielen Laien gänzlichlich falsch verstanden. Durch das Mischen von Halbwahrheiten und Binsenweisheiten werden Postulationen aufgestellt und Konstrukte verteidigt, die jedem Spezialisten die Haare zu berge stehen lassen. Dies möchte ich an einem erlebten Beispiel illustrieren. Nach dem Tsunami in Japan und der daraus drohenden atomaren Katastrophe um Fukushima ging ich im Rahmen einer militärischen Übung ein Kernkraftwerk in der Schweiz besuchen. Es sollte uns der Aufbau und die Funktionsweise, die Sicherheit und Risiken eben dieser Anlage vorgeführt werden. Im stark abgesicherten Kommandoraum fanden sich 5 Leute, die für die zentrale Steuerung der Anlage zuständig waren. Die Dame, welche uns durch die Räumlichkeiten führte, erklärte uns, dass aus Sicherheitsgründen stets fünf Leute anwesend sein müssen. Es schien mir klar, dass Redundanzen ein wichtiges Element der Risikominimierung sein würden. Als sie gefragt wurde, ob und inwiefern eine Notabschaltung initiiert werden kann, entgegnete sie: "Eine solche ist nur dann möglich, wenn zwei der fünf Personen zeitgleich einen Schlüssel drehen. Diese sind 15 Meter voneinander positioniert, so dass nicht einer alleine diese Massnahme ergreifen kann." Sie fügte an, dass dies aus Sicherheitsgründen so gehandhabt sei. Die Stabsoffiziere meiner Gruppe erfreuten sich ob dieser Sicherheitsmassnahme. Ich hingegen empfand mich selbst als für dumm verkauft. Denn diese vermeintliche "Sicherheitsmassnahme" bemüht sich nicht um die Sicherheit der potentiellen Explosions- und Strahlenopfer. Viel mehr ist sie angelegt worden, um die monetären Interessen der Anlagebetreiber wahren zu können! Denn das versehentliche oder frühzeitige Abschalten der Anlage hat für die Bevölkerung nur sicherheitstechnische Vorteile, trägt diese aber immer als finanzielle Nachteile der Betreiber aus (eine Anlage kann dann erst wieder nach mehreren Wochen in Betrieb genommen werden). Es schien also, als ob meine Mithörer suggestiv zur Annahme verleitet wurden, als ob die "Sicherheitsmassnahmen" in ihrem Interesse getroffen wurden. Keiner von ihnen stellte die Aussage - deren Kern der "Erhöhung der Sicherheit" auch stimmte - in Frage. Und so zeigt es sich, dass Sicherheitsmassnahmen und Risikoanalysen nicht in die Hände von Laien gehören. Und im Fall von Atomkraftwerken ebenso nicht in die Hände von Personen, die sich mehr um Geld als um Menschenleben scheren.