Denken wie ein Hacker

Kaum ein Monat vergeht, in dem nicht von Hackerangriffen oder gestohlenen Datensätzen in grossen Unternehmen oder Regierungsorganisationen zu hören ist. Wer sich die Geschichten hinter den Schlagzeilen etwas genauer ansieht, hat guten Grund, sich über die Art und Weise, wie diese Organisationen ihre Verteidigung aufbauen, ernsthafte Sorgen zu machen. Unternehmen verfolgen bei der Informationssicherheit einen Ansatz, der dem Überwerfen einer Schutzdecke gleichkommt. Einige versuchen einfach alles, sich gegen jede nur vorstellbare Bedrohung zu schützen – manchmal zu immensen Kosten. Andere verteilen alles, was sie sich leisten können, gleichmässig auf alles – in der Hoffnung, dies würde die Angreifer in Schach halten.

In der physischen Welt verfolgen Unternehmen meist einen ganz anderen Ansatz. Zum Beispiel die Banken: Abends verschliessen sie ihre Türen, lassen die Läden herunter und aktivieren ihre Alarmanlagen. Sicherheitsfirmen bewachen das Gebäude. Tagsüber sind die Türen geöffnet. Die Öffentlichkeit hat freien Zutritt zur Schalterhalle, wenn auch unter den aufmerk­samen Augen von Sicherheitspersonal und oft CCTV-Kameras. An diesem Punkt kommt die zweite Verteidigungslinie ins Spiel: eine Bar­riere, die Kassierer und Schaltermitarbeiter von den Kunden trennt. Sie beschränkt den Zugang zu Computern, Kassen und vertraulichen Kundeninformationen. Eine noch stärkere Sicherheitsbarriere schränkt den Zugang zu Com­putern, Tresoren etc. ab. Auf der physischen Ebene stimmen die Banken ihre Investitionen in die Sicherheit also auf Faktoren wie den Wert von Vermögensgegenständen oder den Risikograd ab und entwickeln auf dieser Basis entsprechende Massnahmen, die sowohl effektiv als auch finanziell angemessen sind. Der gleiche Ansatz lässt sich auch auf den Schutz von digitalen Vermögenswerten anwenden.

Auf der nächsten Seite: Wie viel Risiko will ich nehmen?