Abschnitt 2: Sicherheit
„Es gibt keine absolute Sicherheit“ oder „Sicherheit ist relativ“.
Wie sicher ist sicher?
Eines sollte von Anfang an klar sein: genauso wenig, wie es fehlerfreie Software gibt, genauso wenig, kann es absolute Sicherheit geben. Man sollte niemandem vertrauen, der allen ernstes sagt, dass nach der Installation von Software XY oder mit diesem oder jenem Verhalten „absolut sicher“ mit dem Mac gearbeitet werden kann. Was folgt daraus?
Das Ziel
Es kann immer nur um relative Sicherheit gehen – oder besser gesagt: das Ziel ist Risikoverminderung. Man möchten, dass die Wahrscheinlichkeit für das Eintreten eines sicherheitskritischen Vorfalls kleiner wird.
Während wahrscheinlich für viele die Aussage, dass absolute Sicherheit eine Illusion ist, noch logisch erscheine mag, verwirrt der folgende zweite Punkte wohlmöglich zunächst: es geht nicht um die maximal mögliche Sicherheit und nicht um eine Risikominimierung. Aber worum geht es denn dann?
Es geht um das richtige Maß an Sicherheit und eine angemessene Risikoverminderung.
Zur Erklärung
Es gibt mehrere Aspekte, weshalb ich im Rahmen dieser Artikelserie über das Absichern des Mac für Einsteiger auf Superlative wie maximale Sicherheit und minimale Risiko verzichte. Erstens bin ich davon überzeugt, dass die meisten, die mit solchen Superlativen hantieren oder werben, mehr versprechen, als sie dann tatsächlich halten können. Zweitens wiegen sie einen in falscher Sicherheit, da zwischen maximaler und absoluter Sicherheit für mich gefühlt kaum ein Unterschied besteht. Drittens steigt der Aufwand mit dem Sicherheitsniveau eher exponentiell als linear an (alternativ könnte man auch den Pareto-Effekt heranziehen). Sprich: maximale Sicherheit ist auch maximal teuer und/ oder maximal aufwändig.
Das Paretoprinzip oder die 80-20-Regel besagt, dass mit 20 Prozent Aufwand 80 Prozent des Ergebnisses erreicht werden. Für die letzten 20 Prozent des Ergebnisses sind dann aber 80 Prozent Aufwand nötig.
Das allein wäre ja, wenn man es sich leisten kann und will, nicht weiter tragisch. Allerdings bedeutet ein steigender Aufwand oftmals, dass man eigentlich sinnvolle Sicherheitsmaßnahmen dann doch nur selten nutzt oder umgeht, und damit vielleicht ganz außer Kraft setzt.
Ich würde aber ohnehin soweit gehen, zu sagen, dass maximale Sicherheit für die meisten normalen Nutzer gar nicht notwendig ist. Denn nicht nur Sicherheit ist immer relativ. Die Bedrohungslage jeder Nutzerin und jeden Nutzers unterscheidet sich. Damit ist auch das individuelle Risiko immer relativ. Daher sollte man sich zu Beginn auch mit dem Risikoaspekt einmal auseinandersetzen.
Letztlich geht es dabei um eine Kosten-Nutzen-Analyse. Der Versuch, maximale Sicherheit umzusetzen, kann das Aufwands- oder Kostenniveau fast beliebig nach oben treiben. Genauso gut, kann aber auch minimale Sicherheit beziehungsweise der gänzliche Verzicht auf jedwede Sicherheitsmaßnahmen den Aufwand und die Kosten explodieren lassen.
Dabei muss man nicht immer gleich an den Freiberufler denken, dessen Arbeitsleistung aufgrund einer kaputten Festplatte und eines nicht durchgeführten Backups für immer verloren ist. Allein der Zeitaufwand, einen Rechner ganz neu einzurichten, infizierte Dateien sicher von Viren zu befreien oder eine teuer bezahlte Datenrettung sollten Grund genug sein, um sich mit der grundlegenden Absicherung des eigenen Mac zu beschäftigen. Dabei sollte man das richtige Maß finden, oder anders gesagt: den „Grund des Pokals“ (s. Abbildung 2).
Um das richtige Maß an Sicherheit zu finden, muss man sich einige Gedanken machen. Etwa Gedanken darüber, was es überhaupt abzusichern gibt. Aber auch darüber, vor wem oder was etwas abgesichert werden soll. Jeder Nutzer muss entscheiden, wieviel er für überhaupt für Sicherheit ausgeben kann oder will. Auch einige der hier vorgestellten Sicherheitstipps, sind nicht ganz kostenlos umzusetzen – und selbst „kostenlose“ Sicherheitstipps kosten in der Umsetzung zumindest einmalig oder sogar regelmäßig Zeit(ressourcen).
Während der eigene finanzielle Spielraum und die Investitionsbereitschaft noch leicht zu eruieren sind, fällt dies für die möglichen Ausgaben im Fall eines Schadens schon nicht mehr so leicht. Zumal dabei nicht einfach nur die tatsächliche Schadensumme, im Sinne von notwendiger Zeitinvestition und Geldaufwand zum Wiederherstellen des Status quo ante, als vor dem Eintreten des Schadens, berücksichtigt werden sollte.
Vielmehr müsste für jeden möglichen Schadensfall zusätzlich einkalkuliert werden, wie wahrscheinlich es überhaupt ist, dass genau dieser Fall eintritt. Ein unwahrscheinlicher Schadensfall mit hohen Kosten müsste also anders kalkuliert werden, als ein Schadenfall der zwar weniger Kosten verursachen, dafür aber sehr viel wahrscheinlich oder sogar häufiger auftreten kann.
Daher wird sich der nächste Abschnitt mit dem Thema Risiko auseinandersetzen. Denn das Risiko ist nicht nur schadenspezifisch, sondern auch individuell unterschiedlich.