IT-Sicherheit: "Risiko" und "Gefahr"
Unter Fröschen und Wölfen
Viele IT-Risiken sind gar keine - sie sind Gefahren. In der Terminologie der Sicherheitsanbieter geht es mit beiden Begriffen manchmal durcheinander. Zu einen Sicherheitskonzept kommt ein Unternehmen nur, wenn es der Begriffsverwirrung nicht auf den Leim geht und die eigenen Schwächen der Risikobewertung kennt.
Eigentlich fällt es leicht, die Begriffe "Gefahr" und "Risiko" voneinander abzugrenzen: Ein Wolf
im Wald etwa ist eine Gefahr. Wer trotzdem hineingeht, um am Teich mittendrin den Frosch zu küssen,
geht ein Risiko ein, wenn er – oder sie – vom Wolf etwas weiß. Ob dieses riskante Verhalten nun
rational ist, hängt davon ab, was die aktuellen Gerüchte über den Frosch wert sind. Hier
entscheiden Wissen, die Verlässlichkeit der Quellen und Einschätzungsgabe – und all das, was unsere
Prinzessin in spe im Notfall gegen den Wolf ausrichten kann.
Mit dem letzten Punkt kommt das Thema Sicherheit ins Spiel. Gutes Training oder Pfeil und Bogen
im Marschgepäck ändern das Risiko ebenso wie die Wahrscheinlichkeit, mit der der geplante
Froschkuss einen Prinzen hervorzaubert. Kalkulationen dieser Art stellen Menschen jeden Tag an. Von
einigen signifikanten Problemfeldern wie dem Straßenverkehr abgesehen hält sich die Menschheit
damit erstaunlich gut am Leben und bei Wohlstand.
Im Bereich IT allerdings funktioniert der beschriebene Mechanismus schlecht. Hier kennt so
mancher Manager den Wald noch nicht, durch den er schon geht, und die zum Schutz bestellten
IT-Fachleute haben noch nie einen Wolf gesehen. Die Pfadfinder wiederum erzählen von ganzen
Wolfsrudeln oder gar Drachen, und ungebetene wie gebetene Helfer offerieren dagegen Waffenarsenale,
Söldnerheere oder teuren Zauber. Ob der Frosch all dies rechtfertigt, lässt sich aus Zeitmangel gar
nicht mehr klären.
Probleme der Informationsbeschaffung
Die Schwierigkeiten beginnen schon, wenn man sich über das Thema zu orientieren versucht. In den
Pressemitteilungen, Marketingmaterialien und Studien der IT-Sicherheitsindustrie dominiert das Wort
"Risiko": Trojanische Pferde "sind" ein Risiko, USB-Sticks auch, Spyware "ist" eins, Phishing das
nächste und die Mitarbeiter "sind" es sowieso. Ein wenig schief sind diese Formulierungen alle.
Zwar stimmt es, dass auch das Wort "Risiko" in der Sprachgeschichte schillert und seine Bedeutungen
variieren, aber gültig ist heute zumindest folgendes: Wer ein Risiko eingeht, nimmt einem möglichen
Nachteil oder Schaden bewusst in Kauf, um einen als wichtiger eingeschätzten Vorteil zu
erringen.
Begriffe aus der Seefahrt
Meist ist der Vorteil, um den es geht, ohne Risiko einfach nicht zu erlangen – die alten
Seefahrer und Handelsleute etwa, in deren Terminologie der moderne Risikobegriff offenbar zuerst
aufgetaucht ist [1], setzten ihre Schiffe und ihr Leben aufs Spiel, um Entdeckungen zu machen oder
neue Handelswege aufzutun. In diesen Kreisen kümmerte man sich auch zuerst um das Risikomanagement
und "Versicherungen", die die Risiken begrenzen sollten. Zuerst versuchte man es mit Opfern und
Beten, später erfand man irdische Alternativen.
Wenn so manches Unternehmen heute den Eindruck erweckt, in der IT-Sicherheit nicht wesentlich
weiter zu sein als die Kapitäne von frühzeitlichen Schilfbooten mit der Abwehr von widrigen Winden,
hängt dies zunächst einmal damit zusammen, dass die meisten IT-Gefahren viel zu selten auftreten,
als dass man wirklich Erfahrungen damit sammeln könnte. Die Akteure sind deshalb auf Informationen
aus zweiter Hand angewiesen – auf Publikationen etwa und die Ratschläge von Spezialisten oder
Personen, die sich als Kenner der Materie ausgeben.
Es ist vor diesem Hintergrund interessant, dass ausgerechnet das derzeit so häufig diskutierte
Modell der "IT-Governance" wieder gern mit dem Bild des Schiffskapitäns auf der Brücke operiert
[2], der den IT-Bereich so souverän seinen Kursentscheidungen unterwirft wie der Schiffskapitän die
Bedienung des Ruders und der Schiffsmaschine.
Warum man Gefahren Risiken nennt
Die Anbieter von Sicherheitslösungen sprechen gerade deshalb lieber von Risiken als von
Gefahren, weil der Begriff Risiko eigene Verantwortung suggeriert, während Gefahren auch ohne
Verantwortung desjenigen auftreten können, der ihnen begegnet. Zu einem Risiko entscheidet man
sich, wie eingangs erwähnt, normalerweise bewusst. Negative Folgen werden dem Entscheider
zugerechnet, auch von möglicherweise Mitbetroffenen [3]. Im IT-Sektor sind dies Mitarbeiter,
Vorgesetzte, Kunden, deren Daten man beherbergt, Partner und Aktionäre. Wer beispielsweise erfährt,
dass Spyware ein "Risiko" sei, prüft deshalb unbewusst sofort, ob er vielleicht schon leichtfertig
vorgegangen ist. Er kauft deshalb willig die Produkte, die sein scheinbares Fehlverhalten
auszugleichen versprechen. Im Grunde erliegt er damit einer Form des Angstmarketings. Dessen
Strategen nutzen raffiniert die Tatsache aus, dass hohe Risiken und die Bereitschaft, sie
einzugehen, selbst wieder als Gefahr eingeschätzt werden können. Von der bewussten Entscheidung für
das Risiko bleibt dann außer der Verantwortung für das Scheitern nichts übrig. Der Entscheider wird
zum Betroffenen und fühlt sich doch in der Pflicht, das zur Gefahr erklärte Risiko abzuwehren. Im
Grunde wird ihm erklärt, schon mit der Entscheidung für den Einsatz der IT sei er ein
unkalkulierbares Risiko eingegangen, das nun immer neue Fallstricke – Risikofaktoren – offenbare.
Auch deshalb taucht das Wort "Risiko" so häufig auf. Ein perfides Spiel, das derzeit besonders gut
funktioniert, da auch das Eingehen unternehmerischer Risiken immer seltener als mutig und immer
häufiger als Hasardeurspiel gedeutet und darüber hinaus vermehrt durch Regularien eingeschränkt
wird.
Erfahrung nutzen, wo immer es geht
Die ersten Gründe also, warum Risikomanagement in Unternehmen bisher schlecht funktioniert,
liegen in mangelnder Erfahrung mit Gefahren der IT-Nutzung. Dadurch wirken gezielte Fehlinformation
sehr gut und werden richtige Informationen falsch gewertet. Aus all dem resultieren dann
Fehleinschätzungen von Risiken.
Hiergegen hilft nur, nüchtern alle Quellen zu prüfen und deren Auskünfte gegen eigene
Erfahrungen abzuwägen, wo immer es geht. Wer beispielsweise seinen Mitarbeitern vertrauen kann und
in vielen Jahren noch nie einen Informationsdiebstahl oder Betrug erlebt hat, wohl aber spürbare
Probleme durch ganz gewöhnliche PC-Pannen hinnehmen musste, liegt völlig richtig, wenn er zunächst
in zuverlässigere Desktop-Computer investiert und erst dann – wenn überhaupt – in USB-Blocker oder
Content-Filter für ausgehenden Datenverkehr. Wer dagegen weiß, dass die bei ihm gespeicherten Daten
auf einem wie auch immer gearteten Schwarzmarkt Spitzenpreise erzielen könnten, muss anders
entscheiden. Im Grunde unterscheiden sich Risikobewertungen im IT-Bereich gar nicht so sehr von
denen in anderen Sektoren der Unternehmensarbeit – man muss die IT zunächst einmal nur weit genug
durchschauen, um ihr Fehlerpotenzial abschätzen und sie sich als Werkzeug der gleichen Betrüger und
Diebe vorzustellen, die es schon immer gab und immer geben wird. Das ist sicherlich schwierig –
aber wer Ihnen vormacht, dass Sie Ihre Einschätzungen des Personals oder des Wertes der
Firmenressourcen nur deshalb komplett auf den Kopf stellen müssen, weil beim IT-Einsatz
menschliches Ermessen aus anderen Bereichen überhaupt nichts mehr gilt, hat vielleicht anderes im
Sinn als das Beste Ihres Unternehmens.
Menschliche Über- und Unterschätzung
Die seltsame Unsicherheit vieler Manager beim Abwägen von IT-Risikopotenzialen hat aber nicht
nur Gründe, die im kommunikativen Umfeld begründet liegen. IT ist tatsächlich ein Bereich, in dem
sich typisch menschliche Schwächen beim Bewerten von Gefahren und Chancen besonders stark
auswirken.
Ein menschliches Prinzip beispielsweise ist es, einen sicheren kleinen Vorteil einem unsicheren
großen vorzuziehen. Lässt man einem Menschen die Wahl, ob er zehn Euro geschenkt haben möchte oder
um 20 Euro eine Münze werfen will, zieht er mir großer Wahrscheinlichkeit die zehn Euro vor.
Umgekehrt gilt das Gleiche. Ein kleiner, aber sicherer Gewinn an Schutz vor IT-Gefahren erscheint
attraktiver als ein größerer, dessen Eintreten aber nicht ganz so wahrscheinlich ist.
Eigentlich ist es vernünftig, so zu entscheiden. Im IT-Sektor kollidiert dieses menschliche
Prinzip aber wiederum mit den Problemen, Gefahren einerseits und die Wirksamkeit von
Abwehrmaßnahmen andererseits wirklich einzuschätzen.
Technik ist nicht mehr berechenbar
Nehmen Sie etwa an, ein Unternehmen habe erkannt, dass die zentrale Kundendatenbank besseren
Schutz verdient. Es hat sich herausgestellt, dass Menschen über deren Inhalt Bescheid wissen, die
gar keinen Zugang haben dürften. Ein herbeigerufener Berater offeriert zwei Ansätze, die Abhilfe
schaffen könnten: eine Appliance, die zumindest versehentlich herbeigeführte Informationslecks
schließt, und eine Schulung samt Awareness-Kampagne zum Thema Datenschutz für alle Mitarbeiter. Die
zweite Maßnahme verringert die Fehlerrate und führt zusätzlich zu verantwortungsvollerem Umgang mit
den Informationen im Betrieb. Mit dem gegebenen Budget lässt unglücklicherweise sich nur eine der
beiden Maßnahmen finanzieren.
Sind IT-Fachleute in die Entscheidung einbezogen, dürfte mit hoher Wahrscheinlichkeit die
Appliance den Vorzug erhalten. Technisch gebildete Menschen rechnen der IT gewöhnlich eine geradezu
mathematisch berechenbare Funktionssicherheit zu und unterschätzen das, was sich durch die
Kommunikation mit Menschen erreichen lässt. Auch diese Einschätzungen sind nicht ganz angemessen.
Moderne Hard- und Software nämlich ist längst so komplex, dass sie praktisch gesehen durchaus
unberechenbar reagieren kann, und Menschen sind bei professioneller Handhabung alles andere als
unbeeinflussbare Gefahrenquellen.
Überraschungen vor Gericht
Kommt es tatsächlich zu einem Bruch der Informationssicherheit, der vor Gericht führt, müssen
IT-Fachleute zuweilen völlig überrascht zur Kenntnis nehmen, dass ihre technischen Maßnahmen
weniger zählen als die vielleicht absichtlich unterlassenen Awareness- und Kommunikationsmaßnahmen.
Die meisten Richter nämlich kennen sich mit Menschen besser aus als mit Technik und entscheiden
entsprechend [4].
Ignoranz gegenüber Alltagsrisiken
Eine zweite Fehlerquelle bei Risikoabwägungen ist die Tendenz, das Risiko, das eine Gefahr
birgt, einerseits an ihrer puren Größe und andererseits an der vermuteten Chance zu messen, sie zu
beeinflussen. Deshalb wappnen sich viele Menschen mit erheblichem Aufwand gegen Naturkatastrophen,
den nächsten Weltkrieg oder Gewaltverbrechen, steigen aber im Haushalt immer wieder auf die gleiche
wackelige Stehleiter – selbst wenn sie wissen, dass aus statistischen Gründen der Haushaltsunfall
viel wahrscheinlicher ist als die das Eintreten der anderen Ereignisse. Dieses Risikomanagement ist
lächerlich – aber man glaubt nun einmal, die Leiter im Griff zu haben.
Unfallzahlen und Gesundheit
Das gleiche gilt für das Auto. Sich in den Straßenverkehr zu begeben, um in der Natur zu joggen,
macht angesichts der Unfallzahlen den Aufwand für die eigene Gesundheit fast schon wieder sinnlos.
Da man aber glaubt, im Auto auch gefährliche Situationen meistern oder wenigstens positiv
beeinflussen zu können, unterschätzt man das resultierende Risiko genau so wie man angesichts der
Fernsehberichterstattung das Risiko überschätzt, durch Nichtstun früher einem Gewaltverbrechen oder
Naturkatastrophen zu erliegen. Auch dies macht sich in der IT bemerkbar. Zählt man die schon
erwähnten PC-Abstürze oder Softwareprobleme zusammen, mit denen ein berufstätiger Mensch immer
wieder konfrontiert wird, fügen diese ihm wahrscheinlich nach und nach einen messbaren
wirtschaftlichen Schaden zu
Unnütze Investitionen vermeiden
Da die damit verbundenen Situationen aber trotzdem meist irgendwie zu meistern sind, misst er
ihnen in der Risikokalkulation zu wenig Bedeutung zu, dafür aber nebulösen Hacker- oder
Insider-Angriffen zu viel. Das Ergebnis sind teure Investitionen in komplexe
Netzwerksicherheitssysteme, die vielleicht durchaus gerechtfertigt sind, aber allein dadurch ad
absurdum geführt werden, dass sich niemand um – sagen wir – Backups der Daten auf dem
Geschäftsführer-Notebook kümmert.
Individuelle Analysen sind gefragt
Der letzte Punkt schließlich ist, dass es auch in der IT keine Gefahren gibt, deren Größe
absolut einzuschätzen wäre. Industriespionage etwa wird weithin eher unter- als überschätzt, aber
sicherlich gibt es auch Firmen, die damit kein Problem haben – etwa, weil sie selbst keinerlei
innovative Produkte entwickeln, weil ihre Produkte ohnehin nur am Produktionsort Erfolg haben
können oder weil ihnen ein Plagiat aus Image-Gründen einfach nicht gefährlich werden kann.
Ein Unternehmen in einer solchen Situation muss seine Produktionsrezepte nicht mit
Hochleistungsverschlüsselung schützen. Der entgegengesetzte Fall ist allerdings auch nicht
unmöglich: Für eine Firma, die von einem echten technischen Vorsprung lebt, wäre es
unverantwortlich, in diesem Bereich nicht alle verfügbaren Sicherheitsmaßnahmen einzusetzen,
Dokumente zu klassifizieren und die Mitarbeiter zu schulen. Eine eingehende Untersuchung der höchst
individuellen Risiken, die ein ganz bestimmtes Unternehmen eingehen darf, vielleicht sogar eingehen
sollte oder eben unbedingt vermeiden muss, hat deshalb am Anfang jedes Sicherheitskonzepts zu
stehen und ist wichtiger als das Sammeln von Informationen über Abwehrprodukte. Nur so lassen sich
Fehlkäufe wirksam vermeiden.
Der Ratschlag kann also nur lauten: Informieren Sie sich möglichst genau über den Frosch. Er
kann ein Prinz sein, aber auch eine Kröte. Und widmen sie die gleiche Aufmerksamkeit auch dem Wolf.
Vielleicht ist der nämlich nur ein Dackel. Dann brauchen sie kein Ritterheer, um das mit dem Frosch
auszuprobieren.
Lesen Sie mehr zum Thema
