Von der Pflicht zur Kür: Sicherheit als Prozess aufsetzen

Jedes Unternehmen tickt anders

Von Risiko spricht man im Zusammenhang mit IT-Infrastrukturen immer dann, wenn die Gefahr besteht, dass eine wertvolle Sache – also eine Komponente der Unternehmens-IT – beschädigt, gestohlen oder vernichtet werden könnte. Bereits diese Beurteilung von Wert und Gefährdung stellt die erste Handlung der Risikoanalyse dar. Das Ergebnis der Beurteilung kann dabei von Unternehmen zu Unternehmen höchst unterschiedlich ausfallen.

In der Praxis kann das beispielsweise so aussehen: Firma A entwickelt Open-Source-Anwendungen, der Quellcode ist also öffentlich bekannt. Firma B entwickelt Anwendungen und vertreibt diese als Closed-Source unter einer eigenen Lizenz. Bei Betrachtung des Werts, den der Quellcode der Anwendungen für beide Unternehmen darstellt, sind bei der Bewertung der Gefährdung unterschiedliche Ergebnisse die Folge:

Firma A sieht ihren offen liegenden Quellcode vermutlich überhaupt nicht gefährdet. Auf einer Skala von eins bis fünf wird Firma A deswegen einen sehr niedrigen Wert ansetzen.

Für Firma B ist der Quellcode von großem, möglicherweise existentiellem Wert. Nur bestimmte Personen dürfen ihn sehen. Da die Gefahr besteht, dass der Quellcode entwendet und veröffentlicht werden könnte, setzt Firma B einen Wert zwischen drei und fünf an.