Die aktuellen Meldungen über Datendiebstahl und das „Abhandenkommen“ von so genannten vertraulichen Informationen überschlagen sich. Doch warum befassen wir uns eigentlich erst mit dem Verlust sensibler Daten, wenn das Kind doch schon in den Brunnen gefallen ist? Dieser Beitrag befasst sich mit der Verlagerung von IT-Schutzzielen auf die Informationssicherheit.
Geheime Pläne, Kundeninformationen, Identitätsdiebstahl, Preisabsprachen, Infos über neue Produkte: überall wird scheinbar der Verlust von vertraulichen Informationen bedauert. Wikileaks als Portal für das „organisierte Offenlegen von vertraulichen Informationen“ passt da wunderbar in den Zeitgeist.
Doch wenn man genauer hinsieht, sieht das Bild etwas anders aus. Diejenigen, die auf die so genannten Verluste von Informationen emotional reagieren, sind vorrangig Journalisten, die mit dem Vertraulichkeitsbruch einen hohen Informationswert verbinden. Diese rufen wiederum einen Teil ihrer Leser auf den Plan, die sich über die mangelnde Vorsorge gerne aufregen.
Die Eigentümer der Information zeigen sich in der überwiegenden Anzahl der Fälle eher gelassen, ob es sich nun um Verbraucher handelt oder aber auch um wirtschaftliche Unternehmen. Dies scheint paradox: diejenigen, die aufgrund des Verlusts von Vertraulichkeit betroffen zeigen müssen, sind es deutlich weniger als die Öffentlichkeit. Bei „realen“ Schäden ist es hingegen meist umgekehrt, Einzelschicksale werden in der Berichterstattung eher weniger brisant dargestellt.
Woran liegt dies? Normalerweise wird ja der Wert einer Information durch das Interesse an dieser Information definiert, und wenn viele einzelne Personen ein großes Interesse haben, so wird dies kumuliert und ergibt das Gesamt-Interesse. In diesem Fall aber scheint das Gesetz nicht zu gelten: obgleich einzelne Personen den Verlust von Vertraulichkeit nicht beklagen, scheint es Konsens zu geben, dass dies insgesamt dennoch schlimm ist.
Welchen Wert hat Vertraulichkeit?
Sind Vertraulichkeitsverluste Singularitäten der Aufmerksamkeitsökonomie, oder schätzen Journalisten den Schaden einfach falsch ein? Vermutlich stimmt beides. Vertraulichkeit ist ein stark überschätzter Wert. Während Journalisten und die Öffentlichkeit die Vertraulichkeit von geschäftskritischen Informationen als entscheidende Differenzierungsmerkmale darstellen, die die deutsche / europäische / westliche Industrie in einer führenden Position halten, so verbinden viele Unternehmenslenker mit Vertraulichkeit gerade nicht ihre Kernkompetenz.
Das hat auch seinen Grund, denn Vertraulichkeit ist nicht nachhaltig und lässt sich auch nicht als Wert in den Büchern darstellen. Damit ist Vertraulichkeit eben nicht primär wichtig für den Geschäftserfolg – und wenn, dann immer nur für einen gewissen Zeitraum, also z.B. kurz vor der Veröffentlichung von Quartalszahlen oder kurz vor der Bekanntmachung eines neuen Produktes.
Aber auch an dem Beispiel zeigt sich schon, das Vertraulichkeit vielleicht doch nicht so wichtig ist. Zwar sollen bestätigte Informationen über neue Produkte nicht in die Öffentlichkeit gelangen, Gerüchte hingegen sind für das allgemeine Interesse an einem neuen Produkt durchaus hilfreich. Aber wie soll es etwa Gerüchte über das neue Mac-Betriebssystem geben, wenn alle sich an die Geheimhaltungspflichten halten?
Ein kleiner Exkurs in die Philosophie hilft, den Wert von Vertraulichkeit besser bewerten zu können. Während Geheimnisse an sich keinen besonderen Wert darstellen, sind die zwei wertvollen Aspekte von Vertraulichkeit
- zum einen die Möglichkeit, etwas vertraulich mitzuteilen – wohl wissend, dass es dennoch in den weiteren Vertrauenskreisen weiter verbreitet werden kann, aber eben „im Verborgenen“ – also der „Community-Effekt“,
- und zum anderen das Wissen über die Existenz bestimmter vertraulicher Informationen, also der „Ich weiß etwas“-Effekt.
Dabei spielt die eigentliche Vertraulichkeit von Informationen eine untergeordnete bis hin zu gar keiner Rolle. Es kann also sein, dass die Tatsache, dass eigentlich vertrauliche Informationen offen gelegt werden, keinerlei Effekt hat. Der kritische Aspekt ist vielmehr die Wirkung der Tatsache, dass die Informationen nicht mehr vertraulich gehandhabt werden können, also die Gesellschaft sozusagen „Schwächen“ zeigt.
Damit erklärt sich auch der Nachrichtenwert, denn eigentlich ist es nicht so wild, dass vertrauliche Informationen offen gelegt wurden. Das eigentlich Schlimme ist, dass die Gesellschaft (welche auch immer, je nach Kontext) nicht (mehr) in der Lage ist, vertrauensvoll (offene) Geheimnisse zu wahren.
Vor dem eben erörterten Hintergrund ist das Schutzziel „Vertraulichkeit“ in der Informationssicherheit ein sehr künstliches Ziel. Aber wo kommt das her? Nun, eigentlich kommen die Schutzziele Verfügbarkeit, Integrität und Authentizität nicht aus der Informationssicherheit, sondern aus der IT-Sicherheit. Sie sollen garantieren, dass Computer sich auch so verhalten, wie man es von sich erwartet, also Informationen bereit halten, nicht verändern und nicht preisgeben.
Dies hat sich im Laufe der Zeit auf Prozesse und sogar Rollen ausgeweitet, was sicher nicht immer sinnvoll gewesen ist. Denn letztlich sollen die Schutzziele gewährleisten, dass die Computer nicht mehr machen – oder nicht weniger – als die Benutzer es erwarten, also dass Computer und IT-Umgebungen vertrauenswürdig sind. Es geht nicht darum, den Menschen, der den Computer bedient, in seinen Entscheidungsmöglichkeiten einzuschränken – oder gar Prozesse im Unternehmen damit zu steuern und unflexibel zu machen.
In diesem Sinne ist es besser, die journalistischen Meldungen als das zu belassen, was sie sind: Hinweise, dass die in der jeweiligen Story betroffenen Computer nicht ausreichend sicher sind, um damit vertrauenswürdige, gesellschaftlich relevante Infrastrukturen aufzubauen.
Das soll nicht heißen, dass Computer generell nicht dafür verwendet werden können, wohl aber, dass Vorsicht angebracht ist, wenn man sich denn darauf verlassen muss. Es bedeutet aber auch, dass Computer an sich nicht das Problem sind, sondern dass Menschen bezüglich der Einsatzfähigkeit von Computern für bestimmte Prozesse falsche Entscheidungen getroffen haben.
Vertrauensfragen
Die Fragen „was ist wie vertraulich“ bzw. „was ist wirklich vertraulich“ sind also gar nicht zielführend. Im Gegenteil: die Aktivitäten, Daten nach Schutzbedarf zu klassifizieren, lenken von den eigentlichen Problemen ab – nämlich die IT so verlässlich zu machen, dass sich die Anwender darauf verlassen können. Letztendlich ist es egal, ob weniger oder mehr vertrauliche Daten unbemerkt kopiert wurden: in jedem Fall wird damit das Vertrauen in die IT angegriffen.
Was kann man tun? Nun, als Hersteller sichere Software entwickeln, und als Anwender entsprechende Anforderungen stellen, bzw. die Erwartung vermeiden, die Daten seien „sicher“. Ein Stück weit also Besonnenheit und Konzentration auf maßvollen Einsatz von IT, da wo sie sinnvoll ohne Schaden eingesetzt werden kann,
Es bleibt noch anzumerken, dass das Schutzziel „Vertraulichkeit“ noch relativ einfach auf diese Weise adressiert werden kann. Wenn z.B. Steuerungselemente von „wirklicher“ Infrastruktur (Energie etc.) hinzukommen, ist die Anforderung an „Integrität“ noch deutlich wichtiger – wie das Beispiel Stuxnet gezeigt hat.