IT-Sicherheit

Editorial

Werden Sie es merken?

Verlag und Herausgeber haben - wie im letzten Heft angekündigt - sich für ein neues Verfahren entschieden, um die Qualität der Beiträge noch weiter zu steigern. Ab diesem Heft werden die Beiträge von mindestens zwei Gutachtern beurteilt, bevor sie akzeptiert oder - im Worst Case auch - verworfen werden. Falls die Beurteilung ergibt, dass die Artikel noch dies oder das zu wünschen übrig lassen, werden die Autoren gebeten, ihre Beiträge entsprechend anzupassen. Mindestens ein Gutachter beurteilt die Artikel blind.

Die in die Artikel gesteckte Arbeit steigt zweifellos deutlich an. Den Autoren sei an dieser Stelle ein herzliches Dankeschön ausgesprochen - vor allem auch für ihre Geduld mit dem am Anfang doch noch etwas holprig laufenden Verfahren.

Aber steigt auch die Qualität? Hoffentlich haben Sie, unsere Leser, einen Vorteil davon.

Vielleicht ist es im vorliegenden Heft noch nicht wirklich zu spüren, denn außer der Herausforderung mit dem neuen Verfahren kam noch die Herausforderung mit dem speziellen Thema hinzu, so dass das vorliegende Heft nicht so gelungen ist wie geplant. Zunächst habe ich als betreuender Herausgeber gedacht, IT-Sicherheit sei ein wichtiges und aktuelles Thema, wie viele davor auch schon.

Es sollte eigentlich nicht mehr die technische Seite von IT-Sicherheit präsentiert werden, sondern wir wollten das immer wichtiger werdende Thema aufgreifen, welche Kosten und welchen Nutzen haben wir von Maßnahmen, die wir zur IT-Sicherheit durchführen. Aus zwei Gründen scheint mir diese Frage besonders wichtig:

1. Angesichts leerer Kassen in den Organisationen wird oft an der Sicherheit gespart. Ist das falsch gespart, weil es mit einiger Wahrscheinlichkeit das sichere Ende bedeutet?
2. Dafür, wie einfach unsere IT-Systeme anzugreifen sind, geschehen meinem Eindruck nach viel zu wenig spektakuläre Unfälle. Brauchen wir denn die gewünschte Sicherheit wirklich, um erfolgreich wirtschaften zu können?

Beide Fragen laufen darauf hinaus, wie teuer darf die Sicherheit sein, die wir uns leisten können oder wollen? Wie viel (teure) Sicherheit brauchen wir denn wirklich?

Aber dann hat sich das Thema doch als unerwartet vertrackt erwiesen: Beim Abschluss des Heftes stelle ich heute fest:

1. Die IT-Sicherheit ist in der Praxis (fast) überall mehr oder weniger intensiv in Arbeit. Oft allerdings - bekanntermaßen - sehr ungenügend und vor allem nicht systematisch.
2. Die Kosten und der Nutzen der Maßnahmen zur IT- Sicherheit werden in der Praxis oft hinterfragt - aber keiner weiß wirklich, wie er damit umgehen soll.
3. In der Praxis wird die eine oder andere - oft selbst gebastelte - Methode angewandt, die Kosten dem Nutzen der IT- Sicherheitsmaßnahmen gegenüberzustellen. Das kennen wir auch aus anderen Themenbereichen. Dass dies dann ohne gute Fundierung geschieht, liegt aber unter anderem auch daran, dass die Wissenschaft der Wirtschaftsinformatik das Thema Kosten und Nutzen der IT-Sicherheit noch nicht in breiter Front aufgegriffen hat, wie das bei anderen Themen früher der Fall war. Jedenfalls hinkt sie den in der Praxis ausprobierten Verfahren erkennbar hinterher.
   Das war für mich die eigentliche Überraschung!
4. Das Thema IT-Sicherheit hat aber auch massive gesellschaftliche Aspekte, die m.E. viel größer sind, als sie bei anderen Wirtschaftsinformatik-Themen auftreten. Dies wird sehr deutlich im Artikel über die Sicherheit im E-Government. Ich denke, die Informatik wird hier in Verbindung mit der IT-Sicherheit noch viel stärker unser Leben verändern, als sie dies bereits heute in vielen anderen Gebieten tut. Und hier ist plötzlich die ganze Gesellschaft gefragt, welche IT-Sicherheit sie im Umgang mit den Behörden will!
5. Firmen, die ihre Kernkompetenz in der IT-Sicherheit sehen (Namen will ich keine nennen), sind nicht bereit, sich öffentlich kritisch zum Thema zu äußern. "Das entspricht nicht unserem Image" habe ich zweimal gehört, als ich nach der Bereitschaft gefragt habe, aus ihrer Erfahrung heraus einen kritischen Artikel zu den Kosten bzw. zum Aufwand für einen Angriff auf IT-Systeme beizutragen. Mein Verdacht, dass der Aufwand, auch ein gut geschütztes System zu knacken, weit niedriger liegt, als man gemeinhin annimmt, wurde dann durch den Artikel eines professionellen Hackers bestätigt, der allerdings auch nicht klar, sondern nur verklausuliert sagt, wie viel, genauer gesagt, wie wenig Mühe es macht, in ein gut geschütztes Firmennetz einzudringen. Ich empfehle, den Artikel über den Einsatz von professionellen Hackertools mindestens zweimal aufmerksam zu lesen, bevor man denkt, das eigene Netz sei (auch nur halbwegs) sicher.
6. Leider ist es mir trotz großer Anstrengungen nicht gelungen, einen Artikel aufzutreiben, der sich mit den Kosten (bzw. dem Aufwand) auseinander setzt, die das Grundschutztool vom BSI verursacht, wenn man es konsequent anwendet. Schließlich gilt es in Deutschland gewissermaßen als Standard, an dem alle sich zu messen bereit sind. Könnte es sein, dass sich dabei ergeben hätte, dass es die meisten damit nicht so genau nehmen, weil der Aufwand dafür einfach zu groß erscheint?
7. Auch zum Thema, wie kann die erreichte Sicherheit gemessen werden, wollte sich kein Autor finden. Aber genau das müsste man sich doch eigentlich fragen, wenn man die Sicherheit von Jahr zu Jahr verbessern will oder sogar muss, weil auch die Angreifer von Jahr zu Jahr dazu lernen und vermutlich auch bereit sind, ihren Aufwand von Jahr zu Jahr zu erhöhen, um z.B. zu spionieren.

Zusammenfassend möchte ich meine Überzeugung ausdrücken, dass uns das Thema noch lange - auch als Thema der Wirtschaftsinformatik - beschäftigen wird. Oder haben Sie es nicht eh schon immer gewusst, dass IT-Sicherheit sowieso kein technisches Thema ist?

Schließlich bitte ich um Nachsicht, wenn das vorliegende Heft das Thema nur schlaglichtartig und eben nicht ausgewogen beleuchtet. Ich denke, es stellt aber trotzdem genügend aktuelle Argumente und Gedankengänge vor, die zu lesen sich unbedingt lohnen.

In diesem Sinne wünsche ich viel Spaß beim Lesen.

Michael Mörike