25 Sep

Schlaue Idee: Blinden Aktionismus vermeiden!

IT-Sicherheit ist manchmal ein Aufregerthema. Wenn wieder einmal eine fiese Sicherheitslücke entdeckt wurde oder ein besonders dreister Angriff auf IT-Systeme für Schlagzeilen sorgt, schlagen die Wellen regelmäßig hoch. Manche Vorfälle schaffen es sogar auf die Startseite von tagesschau.de – dort findet man IT-News ansonsten eher selten.

Aus Sicht von Sicherheitsfachleuten ist es immer schön, wenn über die Sicherheit von Computern und Netzwerken ausgiebig diskutiert wird. Zwar sind die Auseinandersetzungen in den einschlägigen Internetforen nicht immer sachlich, aber zumindest zeigen sie Interesse und dienen dem Ideenaustausch. Weniger erfreulich ist allerdings der sich dort, aber vor allem in der betrieblichen Praxis abzeichnende Aktionismus – also mehr oder weniger überstürzte Vorschläge, was man gegen diese oder jene Bedrohung tun könne oder müsse.

Gerade auf dem Gebiet der IT-Sicherheit können vorschnelle Entscheidungen zu einem folgenschweren und teuren Bumerang werden – nämlich wenn eilig angeschaffte Schutzsysteme oder Softwarelösungen schnell veralten, das Tagesgeschäft beeinträchtigen, viel mehr kosten als erwartet und zu allem Überfluss nicht den erhofften Sicherheitszugewinn bringen. Spätestens dann fragen sich Administratoren und Entscheider, ob es nicht doch besser gewesen wäre, zu warten und noch einmal zu überlegen. Und jemanden zu fragen, der sich mit bestimmten Lösungen auskennt. Bevor man sie Hals über Kopf im eigenen Betrieb einführt.

„Es ist viel einfacher, eine Dummheit zu vermeiden als etwas wirklich Schlaues zu tun.“ Stimmt genau, vorausgesetzt, man nimmt sich auch im Bedrohungsfall die Zeit, ein zweites Mal nachzudenken. Auch wenn‘s schwer fällt, weil vielleicht Vorgesetzte auf sofortige Maßnahmen drängen. Damit keine Missverständnisse aufkommen: Wir propagieren nicht etwa phlegmatisches Abwarten im Fall konkreter IT-Sicherheitsvorfälle. Nun sind probate Sofortmaßnahmen aber nicht unbedingt geeignete Dauerlösungen. Auch geschickt formulierte Werbebotschaften der IT-Sicherheitshersteller nehmen einem individuelle Bedarfs- und Maßnahmenanalysen eben nicht ab.

Und gleich noch eine schlaue Idee: Mit Überlegungen zur IT-Sicherheit zu beginnen, solange eben noch NICHTS passiert ist. Dann hat man viel Zeit, Methoden, Prozesse und Werkzeuge zu vergleichen und sie auf den eigenen Schutzbedarf abzustimmen. Außerdem können Sie sich externen Rat holen. Das bringt meistens viel mehr, als es kostet. Die alten Römer kannten noch keine Computer, aber ein wichtiges Prinzip haben schon die antiken Feldherren mit großem Erfolg verinnerlicht: Si vis pacem, para bellum.