Risiken akzeptieren, Auswirkungen aber nicht Marc Ruef | 12.08.2013 Als ich im Bereich Informationssicherheit zu arbeiten begonnen habe, wurde ich in erster Linie von meinem Enthusiasmus getragen. Das Thema war spannend und ich in alle Facetten und Details dessen vernarrt. Alles, was ich betrachtet habe, habe ich unter dem Blickwinkel der Informationssicherheit betrachtet. Darum sollte es gehen. Das sollte das Ziel sein. Irgendwann begriff ich aber, dass Informationssicherheit für sich selbst nicht existieren kann. Das wäre so, wie wenn Arithmetik ohne Zahlen existieren würde. Oder Grammatik ohne Sprache. Informationssicherheit existiert, um eine gegebene Lösung sicher betreiben zu können. Ohne eine Lösung, ist auch Informationssicherheit für sich nicht von Nutzen ... abgesehenen von rein theoretischen und philosophischen Betrachtungen (http://www.computec.ch/projekte/tractatus/). Heutzutage sehe ich das Thema eher nüchtern. Mit einer Lösung will ein Ziel erreicht werden. Dieses Ziel muss sicher erreicht werden können. Über das Ziel hinauszuschiessen ist genauso unsinnig, wie es nicht zu erreichen. Nur durch jahrelange Erfahrung konnte ich meine Position diesbezüglich einpendeln. Denke ich an meine Anfangszeit zurück, kann ich meinen Übereifer nach wie vor und sehr gut nachvollziehen. Leute, die nicht aus dem Fachbereich Informationssicherheit kommen oder sich nicht für diesen erwärmen können, treten an entsprechende Probleme genau in umgekehrter Weise heran: Die Sicherheit muss so niedrig wie möglich gehalten werden, denn schliesslich geht es um das Produkt. Und nur um dieses. Da wird dann schnell der gegenteilige Fehler gemacht: Schwachstellen und Risiken werden ignoriert, falsch eingeschätzt oder übergangen. Angriffstechniken und Angriffsszenarien werden als unrealistisch abgetan. Frei nach dem Motto: "Es wird schon nichts passieren." Die Lehre des Risikomanagements zeigt uns aber, dass diese Einstellung in höchstem Masse naiv ist. Risiken sind stets gegeben. Und negative Ereignisse werden früher oder später eintreffen. Das ist so, war schon immer so und wird es auch immer bleiben. Will jemand ein Risiko akzeptieren, muss er die alles entscheidende Frage beantworten können: "Kann ich mit dem Eintreten des Risikos und den daraus resultierenden Auswirkungen leben?" Falls diese mit "ja" beantwortet werden kann, dann ist alles in Ordnung. Risiko azpetieren. Fertig. Doch so einfach ist das Leben oftmals nicht. Irgendwann wird das Ereignis eintreten. Und dann stellt sich heraus, ob das damalige "ja" wirklich ernst gemeint war oder nur pauschal zur Anwendung kam. In meiner Laufbahn als Sicherheitsberater habe ich es schon oft gesehen, dass aus einem initialen "ja" plötzlich ein kleinlautes "nicht wirklich" wurde. Doch dann ist es jeweils zu spät, denn das Rad der Zeit kann man nicht zurückdrehen. Aus diesem Grund ist es wichtig, dass man nicht vorschnelle Schlüsse zieht. Falsche Entscheidungen werden einem früher oder später einholen.