Nebenwirkungen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Dieses Wiki beschäftigt sich in erster Linie mit dem Thema Informationssicherheit und den dafür notwendigen organisatorischen und teilweise auch technischen Maßnahmen. Was jedoch oft vernachlässigt wird, ist die Tatsache, dass auch Sicherheitsmaßnahmen selbst eine Bedrohung darstellen können.

Was sich in der Medizin bereits herumgesprochen hat "Keine Wirkung ohne Nebenwirkung", "Nicht jede mögliche Behandlung ist auch sinnvoll" oder im schlimmsten Fall "Operation gelungen, Patient tot" gilt analog durchaus auch für die Informationssicherheit.

Beispiel: Was nützt die höchstmögliche Passwortkomplexität mit 20 Zeichen aus allen Zeichengruppen und monatlich erzwungenem Passwortwechsel, wenn das Ergebnis ist, dass die nicht merkbaren Passwörter dann auf Klebezetteln am Bildschirm kleben oder in Notiz-Apps auf Handys gespeichert werden?

Paradoxerweise kann zu viel IT-Sicherheit oder die Auswahl unbrauchbarer Maßnahmen auch Gefahren bergen. Bedrohungen durch Informationssicherheit können unterschiedliche Formen annehmen und sowohl direkte als auch indirekte Auswirkungen haben.

Es ist wichtig, ein Gleichgewicht zwischen ausreichender Sicherheit und der Aufrechterhaltung von Effizienz und Produktivität zu finden. Nachfolgend einige Beispiele:

Komplexität und Benutzerfreundlichkeit:

  • Komplexe Sicherheitsmaßnahmen können zu Fehlern und Fehlfunktionen führen.
  • Die Benutzerfreundlichkeit kann beeinträchtigen werden und Mitarbeitende könnten Schwierigkeiten haben, ihre Aufgaben effizient zu erledigen.

Produktivitätseinbußen:

  • Zeitaufwendige Sicherheitsprotokolle können die Produktivität der Mitarbeitenden verringern.
  • Häufige Authentifizierungsanforderungen oder langwierige Sicherheitsprozesse können Arbeitsabläufe stören.

Kosten:

  • Übermäßige Sicherheitsmaßnahmen können hohe Kosten verursachen, die in keinem Verhältnis zum Sicherheitsgewinn stehen.
  • Zusätzliche Hardware, Software und Personal für die Sicherheit erhöhen die Betriebsausgaben.
  • Die Mittel und Ressourcen für Prestigeprojekte der Informationssicherheit stehen dann ggf. nicht mehr für sinnvollere Maßnahmen zur Verfügung.

False Positives und Alarme:

  • Zu viele Sicherheitstools können zu zahlreichen Fehlalarmen führen.
  • Dies kann dazu führen, dass echte Bedrohungen übersehen werden, da die Mitarbeitenden "Alarmmüdigkeit" entwickeln.

Innovation und Flexibilität:

  • Übermäßige Sicherheitsmaßnahmen können die Innovation behindern.
  • Unternehmen könnten zögern, neue Technologien oder Arbeitsweisen zu implementieren, aus Angst, Sicherheitslücken zu öffnen.

Mitarbeitende und Kultur:

  • Strenge Sicherheitsvorgaben können das Vertrauen und die Moral der Mitarbeitenden beeinträchtigen.
  • Eine zu starke Fokussierung auf Sicherheit kann in der Organisation eine Kultur des Misstrauens schaffen.

Überwachung und Datenschutzverletzungen:

  • Übermäßige Sicherheitsmaßnahmen können zu intensiver Überwachung führen.
  • Dies kann die Privatsphäre der Benutzenden beeinträchtigen und Datenschutzverletzungen verursachen.

Missbrauch von Sicherheitsbefugnissen:

  • Personen mit weitreichenden Sicherheitsbefugnissen könnten diese missbrauchen.
  • Beispielsweise könnten Administratoren vertrauliche Informationen einsehen oder verändern.

Falsches Vertrauen in Sicherheitsmaßnahmen:

  • Zu viel Vertrauen in technische Sicherheitsmaßnahmen kann ein falsches Gefühl der Sicherheit schaffen.
  • Benutzende könnten weniger vorsichtig sein und dadurch Risiken eingehen.

Eingeschränkter Zugang zu Informationen:

  • Übermäßig strikte Sicherheitsprotokolle können den Zugang zu notwendigen Informationen erschweren.
  • Dies kann die Effizienz und Entscheidungsfindung beeinträchtigen.

Verlust von Daten durch Sicherheitsprotokolle:

  • Sicherheitsprotokolle könnten zu unbeabsichtigtem Datenverlust führen.
  • Beispielsweise können automatische Löschmechanismen wichtige Daten entfernen.

Rechtliche und ethische Bedenken:

  • Sicherheitsmaßnahmen, die gegen Gesetze oder ethische Standards verstoßen, können rechtliche Konsequenzen haben.
  • Unternehmen könnten für Datenschutzverletzungen oder unrechtmäßige Überwachung zur Verantwortung gezogen werden.