Was ist Sicherheit? - Versuch einer Definition
Im allgemeinen Sprachgebrauch scheint es keine Zweifel darüber zu
geben, was unter Sicherheit zu verstehen ist. Versucht man jedoch
(aus der Erkenntnis heraus, dass es zwischen "komplett unsicher" und "absolut
sicher" noch etwas mehr geben muss), Sicherheit zu quantifizieren, stößt
man auf große "Unsicherheit". MEYERS GROSSES LEXIKON von 1980 definiert
Sicherheit so: "Zustand des Unbedrohtseins, der sich objektiv im Vorhandensein
von Schutz[einrichtungen] bzw. im Fehlen von Gefahr[enquellen] darstellt
und subjektiv als Gewissheit von Individuen oder sozialen Gebilden über
die Zuverlässigkeit von Sicherungs- und Schutzeinrichtungen
empfunden wird." Es bietet sich an, Sicherheit als Abwesenheit
("Komplement") von Risiko zu definieren, wobei wir folgende Risikodefinition
übernehmen: "Das Risiko einer Anlage oder Tätigkeit ist die
Summe über alle (gefährlichen) Ereignisse der Produkte von Eintrittswahrscheinlichkeit
und Schadensausmaß und eventuell (subjektiven) Gewichtungsfaktoren".
(Olaf
H. Peters, Arno Meyna; Handbuch der Sicherheitstechnik - Carl Hanser Verlag
München Wien). In der Informationstechnik spricht man an Stelle von
gefährlichen Ereignissen auch von "erfolgreichen Angriffen".
Das Schadensausmaß ist ebenso wie das Risiko eine Zahl zwischen 0
und 1 (= 100%). Sicherheit lässt sich somit definieren als
und hat damit ebenso wie das Risiko alle Eigenschaften einer mathematischen
Wahrscheinlichkeit. Wahrscheinlichkeiten können bekanntlich Werte
zwischen 0 und 1 (= 100%) annehmen. Risiko und Sicherheit sollte man dann
noch auf eine Zeiteinheit beziehen, denn es ist nicht schwer zu erkennen,
dass die Eintrittswahrscheinlichkeiten in der Regel mit wachsender Zeitspanne
dem Wert 1 zustreben.
Schaut man sich obige Definitionen genauer an, lässt sich folgendes
ableiten:
-
Sicherheit ist nur für ein Gesamtszenario definiert, nicht für
einzelne Komponenten eines Sicherungssystems
-
Das Gesamtszenario besteht aus etwas Schutzbedürftigen, einer Schutz-
oder Sicherungseinrichtung und gefährlichen Ereignissen / Angriffen
/ Gefahren
-
Unabhängig von Schutz- oder Sicherungsmaßnahmen hängt die
Sicherheit auch davon ob, ob überhaupt Angriffe stattfinden können.
Ist die Wahrscheinlichkeit für einen Angriff gleich null, ist die
Sicherheit selbst dann 100%, wenn es keine Schutzvorrichtungen gibt.
-
Zur Erhöhung der Sicherheit dienen Schutz- oder Sicherungseinrichtungen.
-
"Hinter" einer perfekten Schutzeinrichtung ist die Wahrscheinlichkeit für
einen Angriff gleich null und damit die Sicherheit 100%.
-
Ein erfolgreicher Angriff ist ein Angriff, der die Schutzmaßnahmen
überwunden hat und evtl. einen Schaden herbeiführt.
Jetzt ist noch zu definieren, wann ein Szenario als "sicher" gelten
soll. Hierzu bietet sich der Begriff des Grenzrisikos an. Das Grenzrisiko
ist ein als vertretbar definiertes Risiko, wobei "vertretbar" oft
eine Geschmacksfrage und für jeden Einzelfall festzulegen ist. Ein
Szenario wird "sicher" genannt, wenn das tatsächliche Risiko kleiner
als das Grenzrisiko ist. Man darf dann auch von "unsicher" sprechen, wenn
das Risiko größer als das Grenzrisiko ist.
Wichtig erscheint noch, dass in der Risikodefinition jedem erfolgreichen
Angriff eine Eintrittswahrscheinlichkeit zugeordnet ist. Diese Eintrittswahrscheinlichkeit
hängt davon ab, wie lohnend und wie aufwändig dieser Angriff
ist. Der Lohn kann der Wert des zu schützenden Guts sein oder so etwas
subjektives wie "Ehre". Auch Bestrafung zählt als persönliches
Risiko für den Angreifer eine nicht unwichtige Rolle. Der Aufwand
ist in der Regel durch Zeit und Kosten eines Angriffs definiert. Ist eine
Angriffsart in der Durchführung teurer als die "Beute", wird der Angreifer
(wenn er es weiß) in der Regel eine erfolgversprechendere Angriffsart
wählen, gemäß dem Motto: "Eine Kette ist so stark wie das
schwächste Glied".
Halten wir fest: Ein Authentifikationsverfahren allein (egal ob biometrisch
oder nicht) kann nicht durch die Eigenschaften sicher oder unsicher
beschrieben werden. Sicherheit ist immer eine Eigenschaft des Gesamtszenarios.