Warum ist weniger oft mehr?
Security
Einer der wichtigsten Grundsätze im Bereich der Cyber Security ist es, Angriffsflächen so gut wie möglich zu minimieren.
Stellt man sich beispielsweise eine alte Burg vor, deren Schiessscharten in den Türmen so konstruiert sind, dass die Bogenschützen eine gute und weite Rundumsicht haben, aber die Schützen selbst von aussen nicht so einfach auszumachen sind, sieht man, dass auf diese Weise die Chance auf eine Attacke von aussen stark eingeschränkt war.
In der Welt der Bits und Bytes versuchen wir im Grunde dasselbe. Allerdings müssen wir uns mit Hilfe einer anderen Form von Burgen oder Bogenschützen verteidigen. Zunächst stellt sich entsprechend Frage, wie wir die Angriffsfläche in der digitalen Umgebung verringern können.
Das führt uns wieder zurück auf unsere fünf Säulen der Cyber Security:
Wir erinnern uns an Säule Nummer zwei, welche die geringstmögliche Einschränkung vorgibt (Mensch-2-Maschine und Maschine-2-Maschine): Der Kerngedanke besteht darin, nur so viel Zugriff zu gewähren, wie für die Ausführung einer Aufgabe auch wirklich erforderlich ist - und nicht mehr.
Wenn wir in den Urlaub fahren oder länger abwesend sind, bitten wir oft unsere Nachbarn, in dieser Zeit unsere Post aus dem Briefkasten zu nehmen. Wir wollen ja nicht, dass Einbrecher durch einen überquellenden Briefkasten auf unser Zuhause aufmerksam werden. Wieviel Zugang möchten wir unseren Nachbarn geben? Die Nachbarn benötigen einen Briefkastenschlüssel, wenn unsere Post herausgenommen werden soll. Toll wäre aber auch, wenn die Nachbarn noch einen Schlüssel zum Haus hätten, um die Post direkt bei uns zu deponieren.
Was ist einfacher und was gefährlicher? Mit dem Haustürschlüssel haben die Nachbarn vollen Zutritt zu unserer Privatsphäre. Wenn wir die Gefahr so gering wie möglich halten wollen, geben wir ihnen den Schlüssel nicht. Aber wilde Partys werden die Nachbarn wohl keine in unserer Abwesenheit feiern und unser Zuhause wird nicht direkt zum Airbnb gemacht werden - oder vielleicht doch? Die Nachbarn sind aus unserer Sicht vertrauenswürdig, sonst würden wir es nicht einmal in Betracht ziehen, ihnen einen Schlüssel zu überreichen.
Aber wir sollten grundsätzlich immer «Hanlon’s Rasiermesser» im Hinterkopf behalten:
»Geh nicht von Böswilligkeit aus, wenn Dummheit genügt“
Letztendlich ist das der Grund, warum wir vielleicht doch nur den Schlüssel zum Briefkasten herausgeben. Wir wollen unser Hab und Gut schützen, indem wir nicht einfach nur an die Vertrauenswürdigkeit glauben, sondern indem wir menschliche Fehlbarkeit einkalkulieren.
Unsere Mitarbeitenden sind genauso vertrauenswürdig wie unsere Nachbarn, und sie sind alles andere als dumm. Daher gewähren wir ihnen gerne Zugriff, aber mit Vorsicht und Bedacht.
«Bescheidenheit ist das Geheimnis des Überlebens» sagte ein weiser Mann einst. [1]
Passend auch zu unserem Kontext: Weniger Zutritt bedeutet geringeres Risiko - und ein geringeres Risiko bedeutet mehr Security.
Weniger ist in der Tat mehr.
[1] Manly Hall
