Im Fokus

Was hat es mit „100%ige Sicherheit gibt es nicht“ auf sich?

Und wieso dennoch genügend Anlass besteht, sich mit der IT-Sicherheit zu beschäftigen.

Häufig liest man die Aussage „Hundertprozentige Sicherheit ist unmöglich“, wie in diesem Beispiel in der FAZ am 16.03.2001. Auch Security-Insider schreibt „[e]s gibt keine hundertprozentige Sicherheit vor Cyberangriffen“ (Security-Insider,21.11.2019). Auch im Versicherungssektor unterstreicht die Allianz „100-prozentige Sicherheit gibt es nicht“ (Allianz SE, 10.12.2014). Ein Phänomen des deutschsprachigen Raumes ist es sicherlich nicht, denn auch im englischsprachigen Raum wird diese Meinung geäußert:

  • „In my mind (and I hope in the minds of all serious security practitioners) that vendor just outed themselves as a company that either does not understand cybersecurity very well or has an overzealous marketing team.  Achieving one hundred percent cyber coverage is practically impossible. “ (Chris Louie, 16.12.2018)
  • “An absolutely secure network is not possible, but the risk can be managed.” (Mark Kaelin, 05.08.2005)

Darüber hinaus wird diese Meinung nicht nur in populären Medien geäußert, auch wissenschaftliche Artikel argumentieren ähnlich [1]:

Conclusion
ONE HUNDRED PERCENT SECURITY IS IMPOSSIBLE. It simply costs too much and is too
inconvenient.”

(Rainer, Snyder, Carr, 1991)

Die Chance ist entsprechend groß, dass Ihnen solche oder ähnliche Aussagen bereits begegnet sind. Gerne werden diese Aussagen, auf Grund der Popularität, im Rahmen einer Sicherheitsweiterbildung oder auch während einer Sicherheitsunterweisung im Unternehmen als Beispiel aufgegriffen. Ohne weitere Erläuterungen verbirgt sich aber eine gewisse Gefahr, denn diese Aussagen können für Unsicherheiten und Fragen auf Seiten der Teilnehmer:innen sorgen, welche sich wiederum negativ auf den Lerneffekt auswirken kann:

  • Wie kann damit umgegangen werden, nie sicher zu sein?
  • Wieso ist es sinnvoll, Zeit für IT-Sicherheit aufzubringen, wenn man „eh nie sicher“ ist?

Solche Fragen deuten zwar auf eine gute, kritische Grundhaltung hin, es entsteht allerdings die Gefahr, dass die Akzeptanz der in einer Weiterbildung empfohlenen Maßnahmen zur Verbesserung der IT-Sicherheit geringer wird. Wenn die Aussage “hundertprozentige Sicherheit existiert nicht” missinterpretiert wird, entsteht insofern ein Risiko, als dass beispielsweise die Auffassung entstehen kann, der Aufgabe die eigene IT-Sicherheit nachhaltig zu verbessern, nicht gewachsen zu sein. In einem Fall äußert sich dies nur in einem unwohlen Gefühl, welches jemanden begleitet. Im schlimmeren Falle kann IT-Sicherheit als Zeitvergeudung abgetan werden, da keine absolute Sicherheit erreicht werden kann. Entsprechend hilfreich kann es sein, die Hintergründe der Aussage „hundertprozentige Sicherheit existiert nicht“ zu erläutern, wofür das Schweizer Käse Modell hilfreich sein kann.

Das Schweizer Käse Modell der IT-Sicherheit

Das Bild zeigt eine löchrige Käsescheibe. Durch die Löcher zeigen Pfeile, die verschiedene Angriffsvektoren verbildlichen. Die Käsescheibe trägt den Namen "sichere Passwörter"

Verschiedene IT-Sicherheitsmaßnahmen bieten unterschiedliche Wege, die in Kombination das Sicherheitsniveau anheben. Beispielsweise das Nutzen eines Passwortmanagers, die Installation eines Antivirenprogramms, konservative Privatsphäre Einstellungen, sowie das regelmäßige Installieren von Sicherheitsupdates, um einige zu benennen. Doch all diese Maßnahmen haben ein gemeinsames Problem: Sie sind isoliert betrachtet nicht in der Lage, eine absolute, hundertprozentige Sicherheit zu gewährleisten.

Aber wie kommt es zu dieser Einschätzung und was hat Schweizer Käse damit zu tun? Ähnlich einer Scheibe Schweizer Käse, haben die einzelne Maßnahmen individuelle Löcher, also Schwachstellen, welche durch bestimmte Angriffe ausgenutzt werden können. Das Antivirenprogramm hat beispielsweise nur die Möglichkeit, eine zwar große, aber begrenzte Menge an Schadsoftware zu erkennen und Warnungen können von den Nutzer*innen ignoriert werden. Deshalb existieren Löcher in der Käsescheibe, wodurch gewisse Angriffe eine höhere Erfolgsquote haben.

Wenn man sich diese einzelnen Scheiben Käse nun übereinander bzw. nebeneinandergelegt vorstellt, so kann eine Maßnahme (z.B. sichere Passwörter) dafür sorgen, dass die Löcher einer anderen Scheibe (z.B. offener Privatsphäre Einstellungen) zumindest teilweise abgedeckt – also geschützt – werden. Scheibe für Scheibe addiert sich so das Sicherheitsniveau auf und wird mit jeder Maßnahme stärker. Die folgende Animation soll dies verdeutlichen:

So besteht die Möglichkeit, die Menge an Scheiben und die Größe der Löcher selbst zu beeinflussen, das Sicherheitsniveau durch die Aufschichtung mehrer Maßnahmen zu verbessern und vor allem einen eigenen wirksamen Beitrag zu diesem zu liefern. Aber einigen Mäuschen schmeckt dieser Käse so gut, dass neue Löcher entstehen: Neue Angriffstechniken, Sicherheitslücken in Software, eventuell sicherheitskritischen Bedienfehlern von Computernutzer*innen oder auch physischen und psychischen Umständen am Arbeitsplatz (Lautstärke, Stress, …) sind solche Aspekte, die zu Löchern in den Käsescheiben führen können. In Summe wird durch diese vielen Faktoren das genaue Bestimmen eines Sicherheitsniveaus so komplex, dass eine absolute Robustheit gegen Sicherheitsvorfälle nicht gewährleistet werden kann. Nutzen wir nun diese Erkenntnis, um die oben kritisch gestellten Fragen zu beantworten.

Eine Animation welche die Käsescheibenmetapher visualisiert und so die Sicherheitsmaßnahmen, als Käsescheiben, aufschichtet.
Das Schweizer Käse Modell der IT-Sicherheit
Für ein ausgeprägtes Sicherheitsniveau erzielen die einzelnen Maßnahmen in Summe einen hohen Schutz

Wieso ist es sinnvoll, Zeit für IT-Sicherheit aufzubringen, wenn man „eh nie sicher“ ist?

Hier hilft die Analogie des Schweizer Käse Modells, denn es kann verstanden werden, dass es nicht zwangsläufig nötig ist, als Mitarbeitende*r eine absolute Perfektion bei einzelnen Sicherheitsmaßnahmen (Scheiben) zu erstreben, sondern stattdessen auf verschiedene Maßnahmen zu setzen, die in Summe wirken. Die Nutzung eines Passwortmanagers ist zum Beispiel hilfreich, um den Schaden gering zu halten, wenn man alle Passwörter generiert hat. Selbst wenn es zu einem erfolgreichen Angriff kommt, ist dann nur ein Zugang betroffen, da die Passwörter für alle anderen Zugänge anders sind. Andersrum erschweren konservative Privatsphäre-Einstellungen die Arbeit von Betrüger:innen, da weniger Informationen aggregiert werden können. Somit sinkt auch die Chance, dass z.B. eine Phishing-Mail eintrudelt, die sich die öffentlich geteilten Aspekte zu Nutze macht und erhöht somit gleichzeitig die Sicherheit im Umgang mit Mails.

Wie kann damit umgegangen werden, nie sicher zu sein?

Hier hilft die Analogie des Schweizer Käse Modells insofern, als dass ein Gefühl für das eigene Sicherheitsniveau entsteht. Das Einführen kleinerer, leichterer Maßnahmen kann beispielsweise schon helfen, das Niveau durch das Hinzufügen einer Scheibe zu steigern. Denn es geht häufig nicht darum das weltweit betrachtete, höchste Sicherheitsniveau zu haben, sondern schlichtweg darum, sicherer zu sein als der Durchschnitt, also eine relative Sicherheit zu realisieren. Denken Sie also darüber nach, an welchen Stellen Sie sich vom Durchschnitt problemlos abheben können.

Wie sollen diese Aussagen interpretiert werden?

Der Schweizer Käse hilft zu verstehen, dass es weniger darum geht, den Mut zu haben etwas Zeit für IT-Sicherheit zu investieren, sondern darum, dass IT-Sicherheit ein vielschichtiges Thema ist. Absolute Sicherheit ist daher insgesamt unrealistisch. Ein Vergleich zum Straßenverkehr kann hier zusätzlich hilfreich sein, denn dieser ist auch nie absolut sicher. Dennoch kann jede*r seine eigene Sicherheit deutlich erhöhen, indem der Anschnallgurt angelegt, das Tempolimit eingehalten, der Schulterblick genutzt, der Spiegel beobachtet und Abstand gehalten wird. All diese Maßnahmen im Straßenverkehr sind mit wenig Aufwand und etwas Aufmerksamkeit schnell erledigt und sorgen im Laufe des Lebens für eine deutlich höhere Sicherheit im Straßenverkehr.

Aus welchen Scheiben besteht ihr individuelles Sicherheitsniveau? Dies zu reflektieren ist ein sinnvoller erster Schritt, um eventuell größere Löcher zu identifizieren. Hier soll ein Beispiel helfen, welche Reflexionsfragen aus der Scheibe „Verhalten im Internet“ und „Privatsphäreeinstellungen“ abgeleitet werden können:

  • Gibt es alte Kanäle in den sozialen Medien, die noch Informationen über Sie enthalten, aber nicht mehr genutzt werden? Löschen Sie diese.
  • Nutzen Sie für jede Registrierung ihre offizielle Mailadresse mit Klarnamen? Es gibt Wegwerfmailadressen, die die Sicherheit erhöhen können.
  • Ist es wirklich so wichtig, auf den privaten Kanälen in den sozialen Medien beispielsweise Werbung für offene Positionen im eigenen Unternehmen zu machen und damit die Unternehmenszugehörigkeit öffentlich zu machen? Dies macht die Arbeit für Berüger:innen leichter und erhöht das Risiko für Phishing-Angriffe.

Ihnen fallen bestimmt noch weitere Maßnahmen ein, die schnell umgesetzt werden könnten. Unterstützend finden Sie das Weiterbildungsangebot “Einfach Sicher – Einloggen“ und “Einfach Sicher – Mailen“ auf der KMU. Einfach Sicher.-Weiterbildungsplattform. Häufig braucht es nicht viel, um den Unterschied zu machen. Bleiben Sie sicher!

Das Schweizer Käse Modell der IT-Sicherheit nutzt die Grafiken des CC-BY 4.0 lizensierten „Swiss Cheese Model of Respiratory Virus Defence“ veröffentlicht von Ian M Mackay, www.virologydownunder.com auf https://figshare.com/articles/figure/The_Swiss_Cheese_Respiratory_Virus_Defence/13082618 und das CC-BY 4.0 lizensiertes Computerusericon von Lars Meiertoberens.


[1] Hier kann man weiter differenzieren. Im wissenschaftlichen Diskurs gehen die Meinungen auf den ersten Blick natürlich auseinander. Beispielsweise wird im Bereich der Kryptographie oder auch der Algorithmen in vielen Fällen mathematisch-logisch bewiesen, wieso ein Verfahren sicher ist. Schaut man hingegen in die Bereiche des IT-Sicherheitsmanagements, der Usable Security oder auch der IT-Administration, wird die absolute Sicherheit deutlich aufgeweicht, zum Beispiel da 100%ige Sicherheit nicht bezahlbar bzw. nicht immer praktikabel ist.


Bild des Projektmitarbeiters Lutz Terfloth

Lutz Terfloth

Wissenschaftliche Mitarbeiter
Arbeitsbereich Didaktik der Informatik


weitere interessante Blog-Artikel:

Weiterführende Inhalte