IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

Sicherheitsschranken – einhalten oder gewinnen ?

Auflagen, die auf Anforderungen der Sicherheit oder Compliance hervorgehen, können stören oder gar die Erreichung eines Ziels verhindern. Dies ist nicht neu, und daraus entstehen im IT-Sicherheitsmanagement regelmäßig Konflikte im Tagesgeschäft. Ein Vorfall, zum Glück ohne Personenschaden, im Radrennen Lille-Roubaix am 12. April 2015 kann als Parabel zum Verständnis dieses Konflikts dienen.

Das Rennen, einer der großen Klassiker des Radsports mit teils historisch bedingt abenteuerlichen Herausforderungen, führt unter anderem über einen beschrankten Bahnübergang. Die Schranken sperren in der jeweiligen Fahrtrichtung der Landstraße nur die rechte Spur. Und hier wurde es am Sonntag richtig brenzlig, als ein Verfolgerpeloton den Übergang zugleich mit einem Zug erreichte. Das war dann auch gleich ein TGV, also der französische ICE.

Das Geschehen:

Ein Feld von Rennradlern erreicht den Bahnübergang, als sich die Schranken senken. In dem Moment müssen die Ampeln des Übergangs bereits sei zehn Sekunden auf Rot gestanden sein. Trotzdem wird weitergefahren. Ein Polizist auf Motorrad versucht durch Handzeichen die Fahrer zu stoppen. Die herabsinkenden Schranken streifen einige Radler von oben, aber es kommt zu keinem Sturz. Noch als die Schranken ganz unten sind umfahren etliche von ihnen die Schranken in gekonnten S-Kurven über die freie linke Spur. Der Polizist verengt die Spur mit seinem Motorrad, hält mit seinem rechten Arm einen auf, fährt dafür selbst gefährdet nah an das Gleis, da fährt ein besonders zielstrebiger Sportler noch links an ihm vorbei über die Gleise, bis endlich die Übrigen alle stehen und warten. Knapp sechs Sekunden später rauscht der TGV vorbei.

Was ist daran so exemplarisch bildhaft für ein IT-Sicherheitsmanagement ?

Zuerst: Wer die Regeln ignoriert gewinnt gegenüber dem Wettbewerb. Wer bremst, verliert.

Sodann: Das Risiko wird ignoriert. Ich glaube nicht, dass die Sportler gar nicht wussten was sie tun, oder dass sie mit etwas Abstand im Rückblick feststellen, dass sie für eine bessere Platzierung im Rennen ihr Leben aufs Spiel gesetzt haben. Aber das wird in der Hitze der Aktion ausgeblendet.

Es war knapp: Unter der sich absenkenden Schranke durchzufahren, kann noch einer vernünftigen Risikoabwägung zuzuschreiben sein. Aber bei geschlossen ruhender Schranke zu fahren erschiene mir einfach als zu riskant, die Gefährdung ist schließlich existenziell. (In der Konsequenz auch für die Veranstalter – hätten sich doch vier oder fünf Sportler vor den Zug geworfen, wäre das vielleicht das Ende dieser Veranstaltung gewesen.) Sechs Sekunden sind kein großer Abstand, und die konnten ja nicht kalkuliert werden.

Compliance – nur wenn es sein muss: Die Staatsgewalt, analog die Aufsichtsbehörde, hat klar zum Halten aufgefordert. Dies war eindeutig, und dies war eine Anweisung, die ebenso eindeutig übergangen oder ignoriert wurde. Der eine Polizist hätte auch kaum mehr erreichen können, und ganz sicher ist es ihm zu verdanken, dass es nicht zu einen Unglück kam. Gleichwohl werden sich die, die durchgekommen sind, bestätigt fühlen, dass es richtig war, Regeln und Anweisungen zu übergehen.

Kein Sicherheitsmanagement des Veranstalters: Der Veranstalter des Rennens musste die Gefahrenstelle und die konkrete Gefährdung gekannt haben. Trotzdem war er nicht darauf vorbereitet, bei einer Konkretisierung der Gefährdung angemessen einzuschreiten und die Fahrer selbst wirksam zu stoppen. Für den Veranstalter allerdings gilt nicht, was für die Fahrer gilt, er hat durch das Verhalten nichts gewonnen, steht aber m.E. als unverantwortlich da. Es wäre interessant zu erfahren, ob die Behörden nach dem Vorfall mit dem Veranstalter über Konsequenzen reden. Wären Personen zu Schaden gekommen, hätte dies die gesamte Veranstaltung aus dem Rennen werfen können.

Und jetzt die Frage an die Verantwortlichen: Ist ein IT-Sicherheitsmanagement nur eine Bremse ? Soll es im Alltag besser ignoriert werden ? Oder gewährleistet es den dauerhaften Bestand, auch wenn manche Vorteile dann nicht erzielt werden können ?

Nachzusehen bei Youtube

Quelle FAZ, Le Monde

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.