Security-Guru Bruce Schneier im Interview
Wie man Sicherheitsangriffe überlebt
Risiko-Management kommt zu kurz
Brauchen wir neue Ansätze für das Risiko-Management? Wie kann ich als IT-Sicherheitsverantwortlicher bei einem Zwischenfall erklären, dass ich alles Mögliche getan habe?
Bruce Schneier: Die bisherigen Ansätze funktionieren wunderbar - sie werden nur nicht genutzt. Risikomanagement ist gut definiert und erforscht. Aber es ist niemals das Ziel, alles Mögliche zu tun. Möchten Sie beispielsweise alles tun, um Diebstahl zu verhindern, würden Sie sich in Ihrem Zimmer einsperren und dieses niemals verlassen. Das bedeutet allerdings, dass man keinen Job kriegen kann und wahrscheinlich stirbt.
Foto: Steve Woit
Alle möglichen Maßnahmen kann man nie ergreifen, das ist schlicht zu teuer. Stattdessen muss es darum gehen, alles Vernünftige zu unternehmen. Ein Beispiel: Die Mordrate in Berlin ist nicht gleich null, denn das wäre einfach zu teuer. Sondern es ist eine Zahl, welche die Gesellschaft als akzeptabel einstuft. Ist diese Zahl zu hoch, verlangt die Bevölkerung mehr Polizisten, ist die Zahl zu niedrig, stellen wir die hohen Ausgaben für Sicherheit in Frage. Irgendwo dazwischen ist ein Kompromiss, bei dem sich Kosten und der Nutzen die Waage halten. Menschen treffen diese Entscheidungen jeden Tag.
Als Unternehmen kann man diese Entscheidung formaler gestalten und herausfinden, welche Sicherheit man für welche Kosten erhält. Wenn man das richtig macht, kann man seinem Chef erklären: "Ein Zwischenfall wird uns so und so viel kosten. Wenn wir diesen Betrag investieren, kommt der Zwischenfall vielleicht einmal alle zehn Jahre vor. Aber das ist ok, denn ein Zwischenfall alle fünf Jahre würde uns so viel mehr kosten - sprich, wenn wir einen Bruchteil mehr investieren, spart uns dies im Ende Geld." Ist also das Risikomanagement in Ordnung, ist der zweite Teil Ihrer Frage hinfällig.
Die IT-Sicherheit gerät aber meist in den Fokus, wenn etwas schiefgeht.
Bruce Schneier: Richtig, und das ist das Problem der Sicherheitsleute. Wenn alles glatt läuft, dann nimmt es niemand wahr. Niemand ruft an und sagt: Hey, das Netzwerk läuft heute aber großartig, Dankeschön. Es ist schwer, ein Netzwerk-Verantwortlicher zu sein.
2001 erschien die erste Ausgabe ihres Buches "Secrets & Lies. IT-Sicherheit in einer vernetzten Welt" in Deutschland. Ich habe es vor kurzem erneut gelesen. Die Themen haben sich nicht wirklich geändert, oder?
Bruce Schneier: Ja, ist das nicht seltsam? Ich habe das Buch im Jahr 2000 geschrieben und bin selbst überrascht wie aktuell die Themen noch sind.
Ein Satz ist mir im Gedächtnis geblieben: "Der Markt belohnt echte Sicherheit nicht, sie ist schwierig, langsam und teuer." Gilt das auch heute noch?
Bruce Schneier: Das ist immer noch so. Und es wird sich nichts ändern, solange sich bei der Haftung für Sicherheitsprodukte nichts ändert und es keine Gesetze oder ähnliches gibt, die schlechte Sicherheitsprodukte abstrafen.
Gibt es hier bereits Ansätze?
Bruce Schneier: Nein, eine Lösung des Problems ist noch in weiter Ferne. Die finanziellen Anreize sind dabei der schwierigste Teil, das war schon immer so. Das galt vor zehn Jahren und gilt noch heute. (mec)
Das Interview mit Bruce Schreier führten unsere Kollegen von Computerwoche.