Sicherheit ist alles und nichts
„Sicherheit“ ist ein Begriff, der in der täglichen Praxis oft genutzt wird. Gern wird das Argument „wegen der Sicherheit“ als Feigenblatt für die Ablehnung von Vorschlägen verwendet. Manchmal dient die Sicherheit auch als Argumentationsverstärker in Budget-Verhandlungen („alles im Namen der Sicherheit“). Diese Beispiele zeigen: Sicherheit ist alles und nichts.
In der Literatur wird dieses Phänomen ebenfalls thematisiert. Haverkamp stellt klar, dass es keine allgemeingültige Definition von Sicherheit gibt [1]. Broder und Tucker [2] bezeichnen Sicherheitsmanagement eher als Kunst, denn als Wissenschaft.
In der Praxis des Sicherheitsmanagement verstärkt sich der Eindruck, dass „Sicherheitsexperten“ oft mit ihrem Bauchgefühl – oder nennen wir es Erfahrung – arbeiten, um Sicherheitsmaßnahmen zu definieren. Mit diesem Ansatz wird Sicherheit zu etwas Subjektivem.
Um die Subjektivität zu überwinden, ist ein gemeinsames Verständnis von Sicherheit notwendig. Sicherheit ist in erster Linie eine organisatorische Funktion, die durch verschiedene Maßnahmen schutzwürdige Werte einer Organisation gegen Bedrohungen zu schützen (siehe nachstehende Abbildung).

Abbildung 1: Sicherheit als organisatorische Funktion
Risikomanagement führt zu subjektiven Ergebnissen
In dieser Darstellung ist klar zu erkennen, dass Sicherheit und Risikomanagement direkt miteinander verknüpft sind. Diese Erkenntnis ist nicht neu und wird in internationalen Standards, wie der ISO 27001 (Informationssicherheitsmanagementsysteme) oder der ISO 28000 (Spezifikation für Sicherheitsmanagementsysteme für die Lieferkette) ebenfalls abgebildet.
Für eine Objektivierung von Sicherheit taugt allerdings auch die Einführung des Begriffes „Risiko“ nicht. Sitt [3] und Power [4] stellen klar, dass Risiko sich als organisierte Ungewissheit definieren lässt. Dies korrespondiert mit der organisatorischen Definition von Sicherheit in diesem Artikel. Allerdings stellen die Autoren ebenso klar, dass es keine einheitliche Definition des Begriffes Risiko gibt. In verschiedenen Fachgebieten, existieren verschiedene Definitionen. In der sicherheitstechnischen Praxis und im Sicherheitsmanagement wird sich oft der Definition des Risikos nach Nohl bedient. Diese lautet: Risiko = Schadensschwere x Eintrittswahrscheinlichkeit (R = S x E).
Die Berechnung verspricht auf den ersten Blick auch Objektivität. Mathematik ist schließlich eine objektive Wissenschaft. Power hat sich intensiv mit der Berechenbarkeit von Risiken befasst. Er stellt klar, dass für die Berechnung von Risiken ein hohes Maß an allgemeingültigem Wissen und Konsens über einen Sachverhalt bedarf. Im Sicherheitsmanagement existiert kaum wissenschaftliches und damit allgemeingültiges Wissen über Risiken und deren Wirkung.
Die Berechenbarkeit von Risiken scheitert zudem an fehlenden, statistisch relevanten Daten für einzelne Sachverhalten. Entweder ist die vorhandene Datenbasis sehr klein, weil sie zum Beispiel nur im Unternehmen gesammelt wurde oder die zugrundeliegenden Daten können für eine Sicherheitsrisiko-Betrachtung nicht verwendet werden, weil die Datenbasis zwar groß ist (beispielsweise bei IT-Risiken) aber die äußeren Umstände sich geändert haben. Eine 10-Jahres-Analyse über Computerviren hat wenig Aussagekraft, weil sich die technischen Rahmenbedingungen über den Erhebungszeitraum radikal geändert haben.
In der Praxis wird dem Problem der fehlenden Datenbasis entgegengewirkt, indem für Schadensschwere und Eintrittswahrscheinlichkeit Kategorien definiert werden. Ein Risiko muss also nicht mehr akkurat berechnet werden, sondern wird mithilfe von Kategorien bewertet. Sicherheitsmanager müssen nun entscheiden, ob ein Schaden hoch, mittel oder gering ist, anstatt mit exakten Werten zu arbeiten. Das Ergebnis von Risikoanalysen, denen die Risikodefinition von Nohl (R = S x E) zugrunde liegt, ist kein Ergebnis einer Berechnung, sondern eine begründete Vermutung, wie Broder und Tucker es nennen (‚educated guess‘). Die Ergebnisse sich folglich subjektiv durch den Durchführende beeinflussen. Es obliegt der Einschätzung der Durchführenden, ob ein Risiko gering oder hoch ist. Es kommt nur auf die richtige Argumentation an.
Neue Sichtweise auf Sicherheitsrisiken notwendig
Die zentrale Frage des Sicherheitsmanagement ist eigentlich nicht die akkurate Erfassung von Schadensschweren und Eintrittswahrscheinlichkeiten. Sicherheitsmanagement versucht einen Zustand zu schaffen, an dem ein System als „sicher“ definiert werden kann. Hierfür ist es hilfreich zu verstehen, dass ein System (z. B. eine Werksgelände) aus mehreren Schichten besteht. In jeder dieser Schichten gibt es unsichere Punkte, wie in einem Schweizer Käse. Das System besteht bildlich gesprochen aus verschiedenen Käsescheiben mit unterschiedlichen Löchern. Eine Bedrohung wird dann kritisch, wenn die Lage der Löcher es erlaubt, dass alle Schichten durchdrungen werden (siehe nachfolgende Abbildung).

Abbildung 2: Bedrohung wirkt auf mehrere Schichten eines Sicherheitssystems
Ausgehend von dieser Idee lässt sich ableiten, dass (Sicherheits-)Risiken aus drei Elementen bestehen: Einem schutzwürdigen Wert, einer Bedrohung und einer Schwachstelle (also einem Käseloch). Nachstehende Abbildung zeigt den Zusammenhang.

Abbildung 3: Risiko als Kombination von Wert, Schwachstelle und Bedrohung
Dieses Verständnis von Risiko im Sicherheitsmanagement ist weniger mathematisch, als Nohls Definition. Das eigentliche Ziel von Sicherheitsmanagement ist, wie die Definition von Sicherheit als organisatorische Disziplin zeigt, die Ableitung von Maßnahmen. Für die Definition von Maßnahmen ist nicht notwendigerweise Mathematik notwendig.
Risiken dienen im Sicherheitsmanagement in der Praxis zwei Zielen. Erstens stellen sie eine Argumentationsgrundlage für die Maßnahmenumsetzung dar (begründete Vermutung). Zweitens helfen die Risikowerte bei der Priorisierung von Maßnahmen. Die höchsten Risiken müssen als erstes bearbeitet werden. Für die Steuerung von Maßnahmen ist das zweite Zeil durchaus hilfreich. Risiko ist im Sicherheitsmanagement also ein Maß für die Dringlichkeit eine Bedrohung davor zu hindern zusammen mit einer vorhandenen Schwachstelle innerhalb einer definierten Zeit negative Auswirkungen für einen Wert zu generieren. Die Priorisierung innerhalb einer Organisation muss nicht notwendigerweise objektiv erfolgen. In diesem Sinne ist der Ansatz nach Nohl geeignet eine Liste der wichtigsten Maßnahmen zu ermitteln, auch wenn das Vorgehen an sich subjektiv ist.
Schwachstellen sind der Schlüssel zur Objektivität
Durch die Einführung der Schwachstelle als Bestandteil von Risiken ergibt sich die Notwendigkeit der Steuerung eben solcher. Auf der Ebene von Maßnahmen existieren in der Regel eine Vielzahl von technischen Anforderungen, Normen, Best-Practices, Fachliteratur, etc. In der IT werden Systeme regelmäßig auf Schwachstellen untersucht. In anderen Disziplinen, z. B. im Bereich des Einbruchschutzes, gibt es technische Vorgaben, an denen sich jedermann orientieren kann (z. B. VdS-Richtlinien, DIN-Normen, Branchenstandards). Es kann davon ausgegangen werden, dass ein Zustand, in dem alle Anforderungen eines Regelwerkes umgesetzt sind, als sicher betrachtet werden kann.
Schwachstellen sind nach diesem Verständnis folglich Abweichungen von vordefinierten Standards und Anforderungen. Solche Vorgaben sind keineswegs subjektiv. Sie basieren in der Regel auf wissenschaftlichen Erkenntnissen und/oder Expertendiskussionen, aus denen sie als Konsens hervorgehen. Orientiert sich das Sicherheitsmanagement an solchen allgemeingültigen Vorgaben, ist das Ergebnis objektiv und vergleichbar.
Sicherheitsmanagement umstellen und Ressourcen schonen
Für Organisationen heißt das konkret: Stellen Sie Ihr Sicherheitsmanagement auf einen objektiven Risikomanagement-Ansatz um. Durch die Einführung eines anforderungsorientierten Risikovorgehens schonen Sie Ihren Geldbeutel und überwinden die Bauchentscheidungs-Mentalität, die im Sicherheitsmanagement leider immer noch vorherrscht.
Dank dieses Vorgehens behandeln Sie nicht mehr Weltuntergangsszenarien, sondern orientieren sich an ganz konkreten Anforderungen. Das spart nicht nur Dokumentationsaufwand für Risiken, die für Sie keine Rolle spielen, sondern auch den Geldbeutel. Setzen Sie um, was wirklich notwendig ist.
Die Krisensicher Risikoberatung hilft Ihnen dabei ein Sicherheitsmanagement zu etablieren, dass transparent und objektiv ist.
In einer Potentialanalyse stellen wir fest, wo Sie stehen und erarbeiten ein individuelles Projektvorgehen. Nehmen Sie jetzt Kontakt auf!
[1] Haverkamp, R. (2013) ‘Gefühlte Sicherheiten und Sicherheitsgefährdungen: Barometer Sicherheit in Deutschland (BaSiD’, in Marks, E., Steffen, W. and Behrmann, D. (Hrsg.) Sicher leben in Stadt und Land: Ausgewählte Beiträge des 17. Deutschen Präventionstages 16. und 17. April 2012 in München [Online], Mönchengladbach, Forum Verlag Godesberg. Available at http://www.praeventionstag.de/dokumentation/download.cms?id=1141&datei=10-HaverkampF_1141.pdf (aufgerufen am 19.12.2018).
[2] Broder, J. F. and Tucker, E. (2012) Risk analysis and the security survey, 4. Edition, Amsterdam, Waltham, MA, Butterworth-Heinemann.
[3] Sitt, A. (2003) Dynamisches Risiko-Management, Deutscher Universitätsverlag.
[4] Power, M. (2010) Organized uncertainty: Designing a world of risk management, Oxford, Oxford Univ. Press