Sicherheit gibt es nicht umsonst. Sicherheit, insbesondere IT-Security hat immer auch mit Tradeoffs zu tun. Auf der einen Seite erreichen wir mehr Sicherheit, auf der anderen Seite werden System teurer und für die Benutzer unbequemer oder schlechter zu nutzen. Das fängt mit einfachen aber längst akzeptierten Maßnahmen wie Firewalls an. Durch die Implementierung einer Firewall im Netzwerk werden bestimmte Protokolle verboten. Je restriktiver die Firewall, umso weniger Dienste können für Angriffe verwendet werden aber umso weniger Möglichkeiten bleibt den Anwendern, Internet-Dienste zu nutzen.
Gleichzeitig ist der Mensch anscheinend unendlich schlecht, das Risiko von Sicherheitsvorfällen angemessen einzuschätzen. Unsere Risikobewertung scheint immernoch auf den Erfahrungen kleiner Familiengruppen etwa 500.000 vor Christus im Hochland von Ostafrika zu basieren. Insbesondere fällt es uns schwer, die notwendigen Basiswerte korrekt zu bewerten:
- die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen
- die Auswirkungen dieser Sicherheitsvorfälle
- die Kosten der Sicherheitsvorfälle und Gegenmaßnahmen
- die Wirksamkeit der Gegenmaßnahmen
- wir schlüssig Kosten aus Vorfällen und Gegenmaßnahmen verglichen werden können
Bruce Schneier hat in seinem Buch „Beyond Fear“ ein paar typische Probleme aufgeführt, die weitgehend psychologisch erklärt werden können:
- Menschen neigen dazu, spektakuläre aber seltene Risiken zu übertreiben und alltägliche Risiken herunterzuspielen, beispielsweise Flugzeugabstürze im Vergleich zu Verkehrsunfällen
- Menschen haben Probleme damit, Risiken in Bereichen einzuschätzen, die nicht ihrem typischen Erfahrungshorizont entsprechen, beispielsweise Risiken in der Raumfahrt
- Genau identifizierte und beschreibbare Risiken werden höher eingeschätzt als anonyme Risiken
- Menschen unterschätzen Risiken, die sie bereit sind einzugehen und übertreiben Risiken in Situationen, die sie nicht kontrollieren können
- Menschen überschätzen Risiken, die täglich in den Medien thematisiert werden, beispielsweise die Gefahr von Terroranschlägen
Dazu gibt es eine schöne Tabelle von Bruce Schneier:
| Menschen übertreiben Risiken die | Menschen unterschätzen Risiken die |
|---|---|
| spektakulär sind | gewöhnlich sind |
| selten auftreten | häufig auftreten |
| personifizierbar sind | anonym sind |
| außerhalb ihrer Kontrolle sind | kontrollierbar sind bzw. bewußt gewählt werden |
| in den Medien diskutiert werden | verschwiegen werden |
| absichtlich bzw. menschenverursacht sind | natürliche Ursachen haben |
| sofort passieren | langfristig passieren |
| plötzlich überraschend eintreten | über einen langen Zeitraum eintreten |
| sie persönlich betreffen | andere betreffen |
| für sie neu und ungewohnt sind | sie gewohnt sind |
| sie nicht kennen | sie gut verstehen |
| sich gegen ihre Kinder richten | sich gegen sie selbst richten |
| moralisch verwerflich sind | moralisch erwünscht sind |
| ohne Vorteil sind | mit einem abstrakten Vorteil verbunden sind |
| nicht ihrem Bezugsfeld entsprechen | typisch für ihr Bezugsfeld sind |
Wie viele Menschen erkranken aufgrund ihrer schlechten finanziellen Situation, weil sie sich keine gesunde Ernährung oder den Arztbesuch leisten können? Trotzdem scheint die Mehrheit der Bevölkerung in Deutschland lieber bereit, Geld für die Abwehr einer abstrakten Terrorgefahr auszugeben, anstatt die Situation der Menschen hier in Deutschland zu verbessern.
Vermutlich sollten wir den Entscheidungsträgern in Deutschland, sowohl in der Politik als auch in der IT-Sicherheit einen Psychologen als Hilfe beistellen.