Compliance ist nicht Sicherheit, oder doch?
Unternehmen müssen sich an Regeln sowie Standards halten und nach diesen arbeiten, auch in der IT. Regeln sollen helfen, die IT-Sicherheit zu gewährleisten. Deren Einhaltung wird kontinuierlich geprüft. Bei Experten hat sich die Erkenntnis durchgesetzt, dass Compliance – die Einhaltung eines Regelwerks – erst einmal nichts mit Sicherheit zu tun hat.
Ein Beispiel:
Ein Auto, das auf eine Kreuzungsampel mit Fussgängerstreifen zurollt, müsste aus Compliance-Gründen vor einer roten Ampel stehen bleiben. Dann kann ein Fussgänger sicher die Strasse überqueren. Natürlich dient die rote Ampel auch der Sicherheit des Autofahrers, damit er nicht vom Querverkehr erfasst wird. Diese Form der Sicherheit mag dem Autofahrer in dem Moment nicht bewusst sein, gar lästig erscheinen. Denn der Fahrer erkennt zunächst nur die Vorschrift, an der Ampel stehen bleiben zu müssen. Doch erst alle Regeln in ihrem Zusammenspiel ergeben ein Gesamtbild des kalkulierbaren Restrisikos für alle. Dieses Prinzip wird in der IT von vielen Experten übersehen, da sie sich von manchen Regeln drangsaliert fühlen und deren Sinn infrage stellen. Selbstverständlich kann eine mutwillige Missachtung der roten Ampel nicht verhindert werden, doch so manchen Autofahrer muss man ja bekanntlich vor sich selbst schützen.
