Security as Trade-Off

Während Schäuble noch davon träumt, ungeplante Anschläge zu verhindern, fielen mir Bruce Schneiers1) Überlegungen zu Sicherheit ein.

Schneier begreift Sicherheit als Trade-Off, was in diesem Zusammenhang nicht nur einfach Tausch umfasst, sondern wohl auch in Richtung Kosten-Nutzen-Relation geht.

Er empfiehlt folgende Fragen, um eine Sicherheitslösung zu überprüfen:

Step 1: What assets are you trying to protect?
Step 2: What are the risks to those assets?
Step 3: How well does the security solution mitigate those risks?
Step 4: What other risks does the security solution cause?
Step 5: What costs and trade-offs does the security solution impose?
And finally: Is the countermeasure worth it? 2)

Dieser ökonomische Blick auf Sicherheit führt dann auch dazu, daß nicht nur falsch-negative Ergebnisse von Sicherheitsmaßnahmen als Versagen derselben bewertet werden, sondern auch falsch-positive, da so Ressourcen gebunden werden, um Gespenster zu jagen.

Sicherheitsmaßnahmen, in denen Maß und Ziel verloren gehen, jeder verdächtig ist und auch so behandelt wird, führen also nicht nur zu Belästigung von anständigen Bürgern, sondern auch zu einer Abnahme von Sicherheit, da unter der Unmenge an falsch-positiven jene tatsächlichen Sicherheitsgefahren verschwinden.

Aber erfreulicherweise weiß Schäuble ja, wer ist.

users/rosenke/blog/20070422-security_as_trade-off.txt · Last modified: 2007-05-27 14:19 by rosenke
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0