Plan und Praxis

Pläne scheitern. Wie schnell und wie schlimm ein Plan scheitert, hängt nicht zuletzt vom Plan selbst ab – und von den Annahmen, die man ihm zugrunde legt. Ein Plan, der davon ausgeht, dass nie ein „falscher“ Link oder ein bösartiger Anhang geklickt wird, scheitert bereits an dieser Annahme (siehe S. 6). „Assume the Breach“ – kalter Kaffee! An dieser Stelle stand schon 2004 zu lesen „Einer klickt immer ...“ (http://previous.kes.info/ archiv/online/04-2-003.htm) – vielleicht fehlte damals eine fetzige Akronymisierung und eine aufmerksamkeitssteigernde Zeichensetzung, um das ins kollektive Bewusstsein einzubrennen? Ok, nennen wirs ab jetzt das EKI-Prinzip: Einer. klickt. IMMER!

Das sollte aber noch keinen Weltuntergang herbeiführen können – und auch für kleinere Katastrophen darf es nicht genügen! „Defense in Depth“ ist mehr als nur eine Firewall und drei Virenscanner an verschiedenen Stellen im Netzwerk. Dazu gehören auch eine verringerte Angriffsfläche beim Mitarbeiter (Wissen, Motivation, Gelegenheit) und bei Anwendungen und Systemen (Auswahl, Konfiguration, Pflege) sowie nachgeordnete Sicherheitsmechanismen, die Angriffe erkennen (AV, IDS/IPS, SIEM) und ihre Auswirkungen begrenzen helfen (Backup, Segmentierung, DLP) – um nur einiges zu nennen.

Zu einfache Pläne scheitern zu schnell – allumfassende Pläne scheitern an ihrer Fertigstellung. Ein guter Plan ist immer ein Mittelweg. Und dennoch: Es wird nicht immer alles so laufen wie geplant. Auch gute Pläne scheitern. Unter anderem deshalb gibt es Notfallpläne – die auch scheitern können. Darum sollte man außer Plänen auch eine Strategie haben, die beim Planen und Umplanen hilft, indem sie Leitlinien vorgibt (siehe S. 37).

Mancher geht sogar so weit, zu sagen, dass Pläne in einer komplexen und dynamischen Umgebung ineffektiv sind – ein entsprechender wissenschaftlicher Streit gärt seit den 50er-Jahren. Wer sich ständig im Krisenreaktionsmodus sieht, hat ohnehin wenig Ruhe zum (Um-)Planen. Vielleicht ist hier tatsächlich eine Art von Agilität gefragt, die strategischer und adaptiver vorgeht, statt sich im stetig schneller rotierenden Hamsterrad von PDCA-Zyklen zu verausgaben? Als Dreh- und Angelpunkt solch agilen Handelns sehen die Autoren unseres Titelbeitrags ein Security-Operations- Center (siehe S. 30).