Sicherheit ist sehr komplexes, riesiges Gebiet und umfasst unzählbar viele Aspekte. Ein guter Teil der lauernden Gefahren sind nicht unmittelbar der Technik an sich zuzuordnen. An einem postalischen Betrugsversuch ist der Briefkasten, oder die Zustellungsfirma, im Regelfall ebensowenig zur Verantwortung zu ziehen, wie der Computer beim Empfang von E-Mails mit kriminellen Absichten. Erfreulich ist natürlich, wenn solche Betrugsversuche vom Computer erkannt werden, vor diesen lautstark gewarnt, oder ein drohender Erfolg verhindert wird.
Wo jedoch diese menschlichen Unsicherheiten enden und die technischen beginnen, ist der Computer nicht aus seiner Verantwortung zu entlassen. Die Schwierigkeit beginnt dort, wo, abgesehen von Fachleuten, sicherheitsrelevante Sachverhalte und Aspekte nicht mehr greifbar sind und sich daher auch einer Bewertung fast gänzlich entziehen. Ohnmächtig steht die breite Mehrheit der Menschen Phänomenen wie Erpressungstrojaner, Computerviren, Sicherheitslücken und Datenverluste gegenüber. Technische Mechanismen öffnen hier ein diffuses Gefahrenpotential, deren Tragweite und Risikoabschätzung konkret nicht erkennbar ist. Die Maßnahmen, die dagegen getroffen werden, sind zwangsläufig daher ebenfalls diffus.
Das Wundermittel einer Antiviren-Software wird noch mehr oder weniger bereitwillig bezahlt. Die Computerindustrie hat ja lange genug dafür geworben, dass diese irgendwie dazu gehören. Kostenlos werden diese Softwareprodukte zwar lieber in Anspruch genommen, aber die kostenpflichtigen müssen anscheinend doch irgendwie besser sein, sonst könnten diese ihre Kostenpflichtigkeit augenscheinlich nicht rechtfertigen.
So wird je nach persönlichen Sicherheitsbedürfnis zur vermeintlich adäquaten Schutzsoftware gegriffen. Ob Schutz und realer Bedarf zusammenpassen, wird mehr der Werbung als einer Analyse überlassen. Passiert dann jedoch etwas, wird die Verantwortung auf die Inhaber*innen der Computer abgewälzt, da deren Schutz offensichtlich nicht ausreichend war oder der Unmöglichkeit der absoluten Sicherheit zugeordnet. Absolute Sicherheit, so wünschenswert diese auch sein mag, ist auch nicht das Ziel. Im Gegenzug wäre es aber schon ein angemessenes Ziel, dass Sicherheitsverletzungen mehr zur Ausnahmen, als zu Regel werden.
Der Sonderstatus von sicherheitsrelevanten Computerproblemen muss aufhören. Es handelt sich hier nicht um höhere Gewalt, der sich zu ergeben ist. Die meisten Ursachen liegen im Bereich der Konstruktions- oder Softwarefehlern. Und damit wird ein Sicherheitsproblem zu dem, was es meistens ist: ein Softwaremangel.
Ganz so einfach wie hier plakativ dargestellt, ist es natürlich nicht. Ein Mangel ist eine Abweichung von einem Versprechen. Und nur die allerwenigsten Hersteller versprechen heute Sicherheit oder haften gar dafür. Werbeaussagen versprechen mitunter höchstmögliche Sicherheit, was immer dieses Mögliche dann auch sein mag. Die Kritik darf hier aber nicht alleine auf den Herstellern abgeladen werden. Systeme mit akzeptabler Sicherheit zu entwickeln ist enorm kostspielig und aufwändig. Menschen müssen anfangen, den Wert von sicheren Systemen wertzuschätzen. Es hängt viel davon ab. Unsichere System verursachen einen enormen Schaden.
Wenn nur Eingangstüre aus billigen, dünnen Sperrholz gekauft werden, dann werden Einbrüche zwar trotzdem unerwünscht sein, aber mit solchen Türen wird die gegenwärtige Realität verkannt. Eine zusätzliche Alarmanlage macht die Situation dann nur ein bisschen besser. Sinnvoller wäre es, in erster Linie in eine solide Türe zu investieren.
Menschen müssen Sicherheit wollen, diese aktiv einfordern und dann auch bereit sein, die Softwareentwicklung dafür zu bezahlen. Sicherheit muss etwas wert sein. Sie ist weder ein Nebenaspekt, noch selbstverständlich. Es wäre Zeit, Sicherheit stärker als Merkmal einer Software in den Fokus zu stellen. Die Softwareentwicklung hätte damit Erfolg bei den Menschen, sie muss jedoch dann auch die Sicherheit gewährleisten.
0 Kommentare