Hallo Leonhard,

sorry, daß ich erst jetzt von mir lesen lasse, aber ich hatte gestern keinen Zugang zum Netz mehr... :-(

Ich habe mich beruflich mit dem Thema "Sicherheit" beschäftigt, als ich in einem Projekt mitgearbeitet habe (das leider(?) noch nicht verwirklicht worden ist) in dem es darum ging Arztpraxen über das Internet miteinander zu vernetzen. Da dort auch sensible Krankheitsdaten von Patienten  ausgetauscht werden sollten war die Frage der Datensicherheit bei der Übertragung natürlich die meistgestellte.

Zugriffsicherheit im Sinne von Unbeobachtbarkeit und Zuggriffkontrolle ist sicherlich eines der Grundbedürfnisse eines sicheren IT-Systems, das sehe ich auch so und daran denken wahrscheinlich viele zuerst. Aber das berücksichtigt doch primär die Interessen des Informationsverursachers, in Deinem Beispiel die des Patienten (der Arzt ist ja quasi nur Verwalter). Was aber ist, wenn ich als Abnehmer einer Dienstleistung, z.B. als Kunde eines ISP, es eben diesem Dienstleister ermöglichen muss, die in Anspruch genommenen Leistungen auch entsprechend zu verrechnen?

Insofern würde ich eine Defintion des Begriffs Sicherheit so formulieren:
Sicherheit ist das *Gefühl*, das ich die Risiken genau abschätzen kann.

Dummerweise möchten unsere Controller wissen, welchen Geldwert "Gefühl" einnimt ;-)

Anderes Beispiel: Wenn ich etwas auf Papier "schwarz auf weiss" habe, kann ich das Risiko, das jemand anderes dies liest (Einbruch?) oder die Daten verloren gehen (Brand?) abschätzen bzw. minimieren -der Verlust von Daten auf der Festplatte ist dagegen (gefühlsmäßig!) nicht so leicht abschätzbar (Viren, Festplattencrash etc.)

Gut, das zielt in Richtung von Datenintegrität. Als Bedürfnis betrachtet bedeutet das, die von mir erzeugten oder gespeicherten Informationen sollen nicht unbemerkt verändert oder zerstört werden. Gegen die Zerstörung kann ich mich ja noch relativ unkompliziert wappnen (Backups, Redundanzen, Virenscanner, etc...), ein Restrisiko verbleibt natürlich weiterhin. Dieses Restrisiko kann in der Papierform auch die umgekppte Kaffeetasse (voll) darstellen <g>

Für die allermeisten PC-Nutzer ist ein Computer immer noch oder immer wieder ein schwarzes Loch, wo er eigentlich nicht weiss, was mit seinen dort eingegebenen/abgespeicherten Daten passiert. - Das macht ein Gefühl der Unsicherheit.

Das denke ich, ist wirklich einer der Kernpunkte. Letztendlich vertrauen - gerade in der EDV - alle auf Maschinen und Mechanismen die von Menschen entworfen wurden. Andere Menschen wiederum nutzten diese Maschinen und Mechanismen für den Entwurf weiterer Maschinen und Mechanismen, usw. Fehler die sich irgendwann in dieser Kette eingeschlichen haben wachsen doch gerade durch diese Verfahrensweise exponential wodurch eine echte Kontrolle über die Prozesse der Informationsbe- und -verarbeitung allein schon auf logische Ebene nicht mehr möglich ist.
Für mich bedeutet diese Auffasung, daß es an der Zeit wäre, nicht immer neue "Sicherheitssoftware" zu entwickeln, sondern klare und nachvollziehbare (logische) Verfahren für die Be- und Verarbeitung der von mir erzeugten Informationen zu gestalten damit eine echte Entscheidungsgrundlage für den Umgang mit den von mir erzeugten Informationen geschaffen wird. Am Beispiel Telefon kann man das noch recht klar erkennen: Die Sprache, meine Informationen, wird über Drähte und Vermittlungsstellen bis zu meinem Gesprächspartner übermittelt. Die Schwachstellen sind recht klar erkennbar und auch einzugrenzen: Telefonapparat, Draht und Vermittlungsstelle. Dort können beispielsweise Wanzen angebracht werden. In der EDV fällt das viel schwerer. Betrachte doch mal eine nicht ans Netz angebundene Arbeitsstation. Welche Wege nemen dann die Informationen eines Textdokumentes? Keine Ahnung. Da ist die Tatstatur, der Arbeitsspeicher, der Prozessor, die Festplatte, der Bildschirm und alles stellt eine potentielle Schwachstelle dar. Soft- und Hardwarelösungen zum Ausspionieren gibt es doch reichlich auf dem Markt, es sind ja noch nicht einmal die durch die Physik gesetzten Grenzen erreicht...

Liebe Grüße vom Rhein,
Daniel