Content: Blog

Kritik der Sicherheit - Teil 1

← zurück zum Blog

Thomas Bader

Thomas Bader
30.12.2013

Kaum mehr weg zu denken ist er, der Begriff Sicherheit. Ist er doch überall präsent; sei es in den Medien, in Werbematerial, in Strategiepapieren oder rechtlichen und regulatorischen Vorgaben. Von allen wird sie gefordert, nur was dies bedeutet ist nicht immer klar. Die Sicherheit ist abstrakt, den sie ist aus vielen unterschiedlichen Bestandteilen aufgebaut. Der erste Teil zeigt auf, weshalb das richtige Verhältnis zwischen der Schutzmassnahme und des zu Schützenden wichtig ist.

Der Begriff «Sicherheit» bezieht sich im generischen Sinn auf die Definition von Massnahmen, welche die Wahrscheinlichkeit für das Entstehen eines Schadens verringern. Absolute Sicherheit gibt es nicht. Ein Schaden wird deshalb nie unmöglich sein. Es kann lediglich die Wahrscheinlichkeit beeinflusst werden. Wenn ein Auto nicht abgeschlossen in der Stadt parkiert wird, ist ein Diebstahl wahrscheinlich. Schliesst man es ab, wird der Diebstahl zwar weniger wahrscheinlich, möglich ist er aber trotzdem weiterhin. 

Ob etwas wahrscheinlich oder unwahrscheinlich ist hängt von Ressourcen ab. Schliesst der Fahrer nicht ab, entsteht ihm kein Aufwand. Für ihn ist dies ein subjektiv bequemerer Umgang mit dem Auto. Genau so geht es auch dem Angreifer: auch für ihn ist der Aufwand klein. Stellt der Dieb den Wert des Auto in Relation zum benötigten Aufwand für den Diebstahl steigt seine Motivation. Durch die höhere Motivation des Angreifers steigt die Wahrscheinlichkeit für einen Diebstahl. Wird das Auto abgeschlossen, dann wird für den Dieb das Verhältnis zwischen Aufwand und Ertrag schlechter. Das Auto aufzubrechen dauert nicht nur länger, es bringt auch das Risiko mit sich, die Aufmerksamkeit von Passanten zu wecken. Dies bringt einen neuen potentiellen Schaden für den Dieb mit sich mit sich: Die Verfolgung des Diebstahl durch Polizisten. Der Dieb muss also vom Gewinn (dem Wert des Auto) die möglicherweise passierende Strafverfolgung abziehen. Das daraus schlechter werdende Verhältnis zwischen Aufwand/Ertrag resultiert in tieferer Motivation und somit in kleinerer Wahrscheinlichkeit für den Diebstahl. Die Sicherheit ist etwas, dass als Barriere zwischen einer Bedrohung (Threat) und dem Bedrohten (Asset) steht. Die folgende Grafik zeigt dies: 

Security Measures.jpg

Im Vergleich der drei Szenarien sind die Massnahmen (Security Measures) unterschiedlich aufwendig. Die spannende Frage ist natürlich nun, welche der drei Szenarien korrekt ist. Intuitiv scheint das rechte, dritte Szenario das richtige zu sein: es hat die am stärksten ausgeprägten Sicherheitsmassnahmen. Viele werden sagen, dass immer die grössten und umfangreichsten Massnahmen umgesetzt werden müssen - denn schlussendlich geht es hier um die eigene Verteidigung, bei der die Frage der Ehre häufiger mehr zählt als die Kosten. 

Rational betrachtet ist die Entscheidung, welches Szenario das richtige ist, nicht möglich. Denn es ist in diesem Beispiel nicht bekannt, welchen Wert das Asset und die Massnahmen haben. Für eine rationale Analyse muss dies bekannt sein. Wird davon ausgegangen, dass das Asset 5‘000 CHF Wert hat und die Investition in die erste Massnahme 1‘000 CHF, in die zweite 5‘000 CHF und in dritte 10‘000 CHF beträgt, dann steht das dritte Szenario nicht mehr gut da: Die Investition in den Schutz übersteigt den Wert des zu Schützenden. Auch hier ist weniger manchmal mehr: das zweite Szenario hat zwar eine weniger ausgeprägte Schutzmassnahme, jedoch stehen die Kosten für die Investition in einem ausgewogeneren Verhältnis zum Asset.

Das ein ausgewogenes Verhältnis zwischen der Massnahme und dem Asset wichtig ist, zeigt sich auch daran, wie der Urheber des Threat darauf reagiert: Im ersten Szenario (Verhältnis Massnahme/Asset 1:5) ist die Motivation gross, denn der Dieb wird durch das Verhältnis begünstigt. Im zweiten Szenario (Verhältnis 1:1) ist die Motivation klein - denn der Aufwand wird gross. Im dritten Szenario (2:1) ist die Motivation ebenso klein, denn hier ist der Aufwand noch grösser. Der Unterschied der Szenarien liegt in der Investition, welche für den Aufbau der Schutzmassnahme budgetiert werden muss.
Es ist auch möglich zu entscheiden, keine Sicherheitsmassnahmen einzuführen. Wenn der Wert des Asset verschwindend klein ist, kann sich ein Schutz vielleicht gar nicht lohnen. In so einem Fall kann die mögliche Schadenssumme einfach bezahlt werden, sobald der Schaden eintritt. Auch dazu ist das Auto ein gutes Beispiel, denn es ist versichert. Der Versicherer definiert es als zumutbare Massnahme, dass ein Fahrzeug immer abgeschlossen werden muss. Hält sich der Fahrer daran, muss er selber minimalen Aufwand betreiben und erhält im Falle eines Falles die Schadenssumme ersetzt.


Die «smart, kompetent und leidenschaftlich» - Services für Unternehmen