Cyber Security

Das Security Triangle: Komfort vs. Funktionalität vs. Sicherheit

By on ( 8 Comments )

Ich kann meine Eingangstüre mit 5 Balkenriegeln und einem Bewegungsmelder absichern. Ob ich dann noch Freude haben werde, wenn ich nachhause komme ist fraglich. Ob Benutzer noch Freude an der Arbeit am Computer haben, wenn sämtliche USB Anschlüsse gesperrt sind, sie sich mit Smartcard anmelden müssen, die Tür nur mit Code geöffnet werden kann … ist auch fraglich, aber in manchen Umgebungen sind diese Maßnahmen notwendig.

Genau da kommt das Security Triangle ins Spiel. Damit lässt sich das “Problem” Sicherheit vs. Komfort leicht erklären – auch für Nicht IT-Pros.

Ich habe das Security Triangle oft im Unterricht verwendet, um den Kursteilnehmern verständlich zu machen, dass IT-Security wichtig ist, aber das man einen “gesunden” Mittelweg finden sollte, natürlich abhängig vom Einsatzbereich. Das Security Triangle ist Prüfungsstoff von Security Zertifizierungen wie CEH (Certified Ethical Hacker), CISSP und vielen mehr.

Das Triangle

Wir finden im Triangle 3 Bereiche:

  • Sicherheit
  • Komfort
  • Funktionalität

Unbenannt.PNG

Der Ball befindet sich in der Mitte. Es ist eine ausgeglichene Situation.

Wenn die maximale Sicherheit das Ziel sein soll, dann bewegt sich der Ball nach oben und weg von Funktionalität und Komfort:

2.PNG

In diesem Fall wird der Komfort und die Funktionalität stark vernachlässigt. Das soll aber nicht heißen, dass es Einsatzszenarien gibt, wo eine ähnliche Situation angebracht ist. In einigen Unternehmen sollte darauf Acht gegeben werden, die Benutzer nicht zu stark einzuschränken, um ein angenehmes Arbeiten möglich zu machen.

Bei maximalem Komfort bewegt sich der Ball weg von Sicherheit und Funktionalität. Soll sich der Ball in Richtung IT-Security bewegen, dann müssen alle im Unternehmen bereit sein, dies mitzutragen. Sie müssen etwas vom Komfort abgeben. Das ist oft nicht der Fall. Die Unterstützung fehlt. IT-Security wird oft als reiner Aktionismus betrieben, um “mitreden” zu können. Ich bin davon überzeugt, dass am Ende aber nur eines zählt: Nicht das was du tust oder sagst, sondern was dabei herauskommt.

Bild2.png

Fazit

Jeder muss in seiner Umgebung selbst entscheiden wohin der Weg führen soll. Aber eines muss man sich wie ein Naturgesetz bewusst sein: Totale Sicherheit geht auf Kosten von Komfort und Funktion und Komfort auf Kosten der Funktionalität und Sicherheit.

In einer Zeit, wo immer alles sofort geschehen muss wird auf Sicherheit nicht viel Wert gelegt. Ein gutes Beispiel ist die Benutzung von TeamViewer in Unternehmensnetzwerken. Das mögliche Sicherheitsproblem in Bezug auf TeamViewer, welches viele nicht wahrhaben wollen oder einfach nicht wissen habe ich ausführlich im Artikel TeamViewer Master Server: Der Mann in der Mitte beschrieben.

Finden wir einen akzeptablen, sicheren Mittelweg, es ist schwer genug.

Categories: Cyber Security

Tagged as:

Published by Patrick Gruenauer

Microsoft MVP on PowerShell [2018-2024], IT-Trainer, IT-Consultant, MCSE: Cloud Platform and Infrastructure, Cisco Certified Academy Instructor.

8 replies »

  1. Pingback: DDOS: DNS Amplification Angriffe « SID-500
  2. Pingback: Mein E-Mail Konto: Ungewöhnliche Aktivität erkannt: Outlook.com « SID-500
  3. Pingback: Cyber Security – Pen Testing (Teil 5): Authentifizierung und Autorisierung « SID-500
  4. Pingback: Digital Hybris: Kommt das Ende der IT-Abteilungen? « SID-500
  5. Pingback: Cyber Security – Pen Testing (Teil 1): Einführung « SID-500
  6. Pingback: Hype, Neologismus und die Cloud « SID-500
  7. Pingback: Windows 10: Browser Passwörter auslesen (Chrome, Edge …) « SID-500
  8. Pingback: TeamViewer Master Server: Der Mann in der Mitte « SID-500

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.