Iterative Sicherheit Marc Ruef | 19.11.2013 Es gibt den berühmten Ausspruch von Bruce Schneier, dass Sicherheit ein Prozess sei. In meinem Tractatus habe ich dies in Frage gestellt und behauptet, dass Sicherheit ein Zustand ist (http://www.computec.ch/projekte/tractatus/?s=tractatus), der zerfallen kann. Aus diesem Grund sei es von enormer wichtigkeit, dass der Zustand stetig erneuert und damit die Sicherheit aufrecht erhalten wird. Für so manchen Kunden ist dieses Prinzip nachvollziehbar. Die meisten sind entsprechend darum bemüht, die Sicherheit zu erhalten. Das Ziel ist also, keine Verschlechterung in Kauf zu nehmen, sondern den akzeptablen Stand aufrecht zu erhalten. Nur ganz wenige Kunden sind darum bemüht, die Sicherheit Schritt für Schritt zu erhöhen. Es sind also die, die sämtliche Medium, High und Emergency Findings aus unseren Reports berücksichtigen. Meist braucht es nur 2-3 Tests, bis wir nicht mal mehr ernstzunehmende - oder noch nicht akzeptierte - Medium-Findings zusammentragen können. Die Sicherheit müssen wir dann als "sehr gut" bezeichnen. Ich mag diese Kunden. Denn ihr iterativer Ansatz wirkt organisch und damit natürlich. Es geht nicht darum, durch Schminke die übelsten Effekte zu kaschieren. Es geht darum, immerwährend ein kleines bisschen besser zu werden. Der Aufwand dafür, für sich alleine genommen, ist überschaubar. Es muss sich niemand verrenken und Hektik ist auch nur selten erforderlich. Und zum Schluss sind alle zufrieden mit "ihrem Baby", das sie über die Jahre gehegt und gepflegt haben. Was will man mehr?