Das Kantinen-Dilemma Teil 3
Früher gab es zwar auch schon Tresore und verschließbare Aktenschränke. Aber es waren längst nicht so viele Dokumente physisch geschützt wie heute elektronische Dokumente per Passwort. Warum waren Dokumente trotzdem sicher? Auch ohne "Torwächter" an jeder Bürotür?
Diese Frage ist vor allem deshalb relevant, weil viele Dokumente in elektronischer Form zwar geschützt werden, dieser Schutz aber nicht mehr besteht, wenn sie zum Beispiel ausgedruckt wurden.
Sicherheit durch Masse
Im ersten Teil habe ich Sie gefragt, wie viele Dokumente in Ihrem Unternehmen schutzwürdig sind. Dabei haben Sie vermutlich zuerst versucht, die Menge an Dokumenten im Unternehmen überhaupt einzuschätzen.
Nehmen wir an, Sie sind der Chef ihres Unternehmens – wenn Sie es nicht schon sein sollten. Sie haben Zugriff auf sämtliche Dokumente Ihres Unternehmens: auf den Schreibtischen, den Aktenschränken und im Tresor. Sie würden gerne herausfinden, ob eventuell Mitarbeiter eines ihrer Projekte torpedieren.
Also nehmen Sie sich vor Dokumente zu finden, die Verzögerungen deutlich machen, z.B. Bestellungen werden erst sehr spät ausgeführt, Vertragsentwürfe bewusst in eine ungünstige Richtung gelenkt.
Durch wie viel Papier müssten Sie sich durchwühlen? 1000 Blätter? 10000? Sie müssen Wichtiges von Unwichtigen trennen. Glauben Sie, dass Sie diese Suche geheim halten können?
Nun stellen wir uns einen normalen Angestellten vor, weder hat er die Möglichkeit unauffällig an alle relevanten Orte zu kommen, noch die Zeit, alle in Frage kommenden Dokumente zu sichten.
Dokumente und Daten schützen sich durch ihre Masse selber. Dass gilt auch für Ihre elektronischen Pendants. Selbst eine Suchmaschine ist dabei nur bedingt hilfreich, dann sie erspart nur dann Zeit, wenn man genau weiß, was man will. Es bedeutet aber keinen Vorteil für einen bösen Mitarbeiter, wenn die Suchmaschine statt 50.000 Dokumente nur 5000 Dokumente liefert.
Ein aktuelles Beispiel für Sicherheit durch Masse ist der Enron-Skandal. Allein zwischen ca. 150 Personen in Führungspositionen wurden in drei Jahren mehr als eine halbe Million Emails ausgetauscht! Die Suche nach belastenden Material darin ist extrem aufwändig, obwohl die Behörden absolut freien Zugriff darauf haben.
Sicherheit durch Desinteresse
Auch wenn es niemand gerne hört: die meisten Angestellten kommen um 8 ins Büro, machen ihre Arbeit und gehen wieder um 5. Den meisten ist es egal, was um sie herum passiert, solange es nicht unmittelbar ihren Arbeitsplatz betrifft.
"Fremde" Akten werden nicht gelesen, weil sie geschützt sind, sondern weil Angestellte froh sind, wenn sie Ihre eigenen Akten wieder vom Tisch herunter haben. Fremde Memos oder Benachrichtigungen sind belanglos, wenn sie davon berichten, welches Angebot das Unternehmen bei der nächsten Ausschreibung abgibt. Interessant sind sie erst, wenn ein Memo die Liaison zwischen der Chefsekretärin und dem Vertriebsleiter vermuten lässt.
Auch hier gilt wieder, dass die elektronische Verfügbarkeit der Daten nichts daran ändert. Die Wissensgesellschaft, in der sich jeder für alles interessiert und stets auf der Suche nach neuen Informationen ist, ist derzeit eine Chimäre.
Sicherheit durch Arbeitsanweisung
Unter diesem Stichwort kann man all jene Maßnahmen beschreiben, die explizit Regeln zum Umgang mit Dokumenten und ihrer Weitergabe beschreiben, sowie ihre Lagerung.
Sie gehen häufig einher mit der Markierung von Dokumenten mit Vermerken wie "Vertraulich", "Geheim" etc.
Gleichzeitig legen Arbeitsanweisungen häufig fest, wie mit Arbeitsmaterialien umgegangen werden soll. Oder wer wem welche Dokumente aushändigen darf.
Letztlich ist dieser Schutz so gut, wie Mitarbeiter die Anweisungen befolgen. Damit ist er durchaus ein eher unsicherer Schutzmechanismus. Er wird selten bewusst ausgehebelt, aber auch ein vertrauliches Dokument liegt hin und wieder offen sichtbar auf manchen Schreibtisch oder wird im Kopierer vergessen.
Elektronische Rechtesystem sind letztlich die Umsetzung des "Sicherheit durch Arbeitsanweisung" in Bits und Bytes, vermeiden aber den "menschlichen" Fehler, der aber durch Fehler der Technik ersetzt wird.
Sicherheit durch Menschenverstand
Vertrauen Sie jedem, der ihnen über den Weg läuft? Sicherlich nein – und genau das ist Sicherheit durch Menschenverstand. Selbst wenn alle drei genannten Ideen des nicht-elektronischen Schutzes abwesend sind, niemand gibt so einfach Dokumente heraus. Das kann man von Mitarbeitern erwarten.
Umgekehrt bedeutet Menschenverstand aber auch die Fähigkeit mutwillig Dokumente zum Schaden anderer "zu schützen" und zu verbergen. Dokumente vorzuenthalten ist eine beliebte Mobbingstrategie.
Sicherheit durch Menschenverstand ist ein zweischneidiges Schwert: evolutionär gewachsen ist es eine extrem flexibler, sich stets an die konkrete Situation anpassender Sicherheitsmechanismus, flexibel sowohl im positiven wie im negativen Sinne.
Die Bedeutung
Auch wenn ein elektronisches Dokument gedruckt wurde, ist nicht unmittelbar als kompromittiert zu betrachten. Das klingt wie eine Binsenweisheit, das scheinen aber trotzdem viele zu vergessen, wenn es sich um Rechtesysteme dreht.
Ich habe bereits angemerkt, dass heutige Rechtesysteme in Silizium-gegossene Arbeitsanweisungen darstellen. Das es noch andere Sicherungsmechanismen gibt, wird dabei auf elektronischer Ebene ignoriert. Das führt dazu, dass bei der Planung der Rechtevergabe im Zweifel eher zu restriktiv, wenn nicht gar repressiv, vorgegangen wird, was zu den bereits mehrfach genannten Zeit- und Geldverschwendung führt. Außerdem lösen sie z.B. nicht das Problem das Dokumente mutwillig zurückgehalten werden.
Zum 1. TeilZum 2. Teil