IT-Security
Sicherheit, Verfügbarkeit oder Benutzbarkeit?
Die Deutsche Sprache ist in diesem Kontext ein wenig herausgefordert - im Gegensatz zum Englischen können wir nicht zwischen “Safety” und “Security” unterscheiden.
“Der sicherste Computer ist einer ohne Strom, ohne Netz, in einem Betonklotz eingegossen, im Meer versenkt.” Nur kann man mit einem solchen Computer nicht arbeiten kann. Mit diesem alten Satz kann man sehr gut verdeutlichen, dass gelebte IT-Sicherheit immer einen Kompromiss zwischen Sicherheit und Benutzbarkeit darstellen muss.
Diesen Kompromiss zu finden ist eine der größten Herausforderungen im sicheren IT-Betrieb - man möchte maximal sicher sein, die IT aber dennoch weiterhin betreiben können. Hierbei sind Analyse, Fingerspitzengefühl und saubere Argumentation gefragt.
Es gibt kaum eine Security-Maßnahme in der IT, die nicht die Benutzbarkeit der Systeme in einer oder anderer Art und Weise einschränkt. Dabei erschließt es sich den Betroffenen oft nicht, ob diese Einschränkung eine gewollte oder eine ungewollte Folge einer Maßnahme ist. Hier ist es die Aufgabe der Richtlinienersteller, in ihren Werken sauber zu dokumentieren, warum man sich für eine Maßnahme entschieden hat und ob man die konkrete Folge bedacht oder vielleicht gar beabsichtigt hat. Auf der anderen Seite sind die Betroffenen gefragt, in ihren Augen unsinnig oder behindernd erscheinende Maßnahmen zu hinterfragen und sich die Begründungen erklären zu lassen.
Eine gute Sicherheitsmaßnahme erhöht die Sicherheit, ohne behindernd oder gar verhindernd zu wirken. Eine schlechte Sicherheitsmaßnahme behindert oder verhindert auffällig und liefert keinen oder nur wenig Sicherheitsgewinn. Manche Sicherheitsmaßnahmen wirken an einer Stelle, führen aber an anderer Stelle direkt oder indirekt zu verringerter Sicherheit.
Von der Festlegung der Security-Policy über deren Validierung bis hin zu ihrer konkreten Umsetzung kann ich Sie ganzheitlich unterstützen.