Informationssicherheitsrisikosoziologie

(Zuerst erschienen auf LinkedIn.)

Ich bin ja passionierter Systemtheoretiker Luhmann’scher Prägung. Und da fragt man zuallererst immer und überall: „Welche Unterscheidung wird hier gemacht?“ In der Theorie deckt das (unvermeidbare) blinde Flecken auf und hilft, den Gegenstand einzuschränken. In der Praxis deckt es die (immer noch unvermeidbaren) blinden Flecken auf und hilft, den Gegenstand zu erweitern. So weit, so abstrakt.

Informationssicherheit vs. Regulatorik

Die häufigste Unterscheidung ist die zwischen „Informationssicherheit“ und „Informationssicherheitsmanagement“. Also: Zwischen „technischer Absicherung“ und „Regulatorik“. Das ist eine „Weltverdoppelung“: Neben die reale Welt der Cybergefährdungen und Angriffsvektoren tritt eine zweite, scheinbar irrealere Welt, die die erste abbildet und dokumentarische Etiketten draufpappt.

Das kann man beklagen, aber ich glaube, es ist unvermeidbar. Nicht nur, weil „Informationssicherheit qua Bauchgefühl“ in der Praxis meist unvollständig bleibt und Checklisten dann am Ende doch helfen. Sie ist auch theoretisch unvermeidbar, weil die bloße Existenz dieser Checklisten dazu führt, dass man sich zu ihnen verhalten muss. Das führt uns zu …

Gefahr vs. Risiko

Luhmann war der Ansicht, dass man „Risiko“ und „Sicherheit“ unterscheidet, obwohl man viel besser „Risiko“ und „Gefahr“ unterscheiden sollte. Warum? Weil dann klar wird, worum es geht:

Entscheidungen überführen Gefahren in Risiken.

Und das heißt: Es gibt gar keine Gefahren mehr! Sogar die Gefahr von Naturkatastrophen wird beobachtet und damit zwangsläufig zum „Risiko“, denn der Möglichkeit von Naturkatastrophen sind wir uns bewusst und müssen uns dazu mittels Entscheidung verhalten. Es gibt auch keine „Gefahren“ im Internet: Es gibt nur das Risiko, sich zu entscheiden, ins Internet zu gehen und dabei bestimmte gefährdende oder schützende Software zu benutzen.

Accountability vs. Responsibility

Und damit sind wir bei „Verantwortung“. Für die Naturkatastrophe kann niemand die Verantwortung übernehmen; für die Entscheidung, keine Ressourcen in Abwehr oder Notfallpläne zu investieren, sehr wohl. Denn wir erinnern uns: Alle Gefahren werden qua Entscheidung zu Risiken. Und für diese Entscheidung und/oder die „entstehenden“ Risiken trägt jemand eine „Verantwortung“. Nur: Was heißt das?

Irgendjemand – und die ISO sagt: die Geschäftsführung – trägt die Gesamtverantwortung. Das ist eine Ergebnisverantwortung, also eine „Accountability“. Auch für einen „unvorhersehbaren“ Vorfall trägt sie eine Verantwortung. Ein bisschen davon kann sie delegieren, etwa an einen ISB – der ist ebenfalls ergebnisverantwortlich, aber nur für den Betrieb und die Entwicklung des ISMS. Andere Accountability kann an die IT-Leiterin oder das IT-Security-Management abgegeben werden; und die wiederum können Responsibility an Durchführende abgeben. Aber die Verantwortung für das „Alles“ bleibt.

▮ tl;dr: Regulatorik hilft, unvermeidbarer Verantwortung zu begegnen. Nicht mehr und nicht weniger.

Schreibe einen Kommentar

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen