Die Informatiker beanspruchen den Begrif der Informationssicherheit für sich. Dabei meinen sie nur einen Teilaspekt des vieldeutigen Wortes… Da muss man als Informationswissenschaftler widersprechen! Mit diesem kurzen Disput möchte ich die verräterische Klarheit dieses Begriffes in Frage stellen und eine andere Sicht der Dinge in’s Web stellen.

Über IT-Sicherheit und Informationssicherheit – Eine kurze und etwas ungewöhnliche Einführung in die Informationswissenschaft

Was verstehen Sie unter Informationssicherheit? Ich definiere es für mich wie folgt: Es ist der Zustand, in dem ich mich befinde, wenn ich davon überzeugt bin, dass eine Information absolut sicher und zuverlässig ist. Deshalb benutze ich auch sysnonym das Wort „Informationszuverlässigkeit“. Viele Menschen würden mir jetzt zustimmen. Nur die Informatiker nicht. Für diese sind Vertraulichkeit, Verfügbarkeit und Integrität die drei notwendigen Voraussetzungen, um von Informationssicherheit sprechen zu können. Dem möchte ich nicht widersprechen – nur um einige ebeso wichtige Faktoren erweitern!

Fragen wir uns erst einmal, was Information überhaupt ist…

Ist der Sonnenuntergang eine Information? Ist das Fieber eines Patienten Information? Ist der Rauch im Wald eine Information?

Eine Information ist der atomare Bestandteil des Wissens. Da das Wissen nur bewusst d.h. durch Reflexion der Zusammenhänge entstehen kann, kann eine Information ebenfalls nur bewusst „generiert“ werden. Das Fieber eines Patienten ist zunächst eine physikalische Erscheinung (Körpertemperatur steigt über 37° C ohne schwere körperliche Arbeit und bei normaler Umgebungstemperatur). Wenn das Fieber durch eine Krankheit verursacht ist und die Krankheit sich unter anderem dadurch manifestiert, ist es ein Anzeichen. Der Rauch aus dem Wald kann ein Anzeichen (als Ergebnis eines Waldbrandes) zustandekommen oder als Zeichen (z.B. als eine Nachricht) gesetzt werden. Als bewusst gesetztes Zeichen ist der Rauch im Wald eine Information. Als Anzeichen kann der Rauch nur dann zu Information werden, wenn ein Mensch es interpretiert und feststelt: „Im Wald brennt’s!“ (Mehr dazu in wikipedia::Zeichen)

Hier entstehen die ersten Probleme der Informationssicherheit: Ist die Interpretation überhaupt richtig? Brennt es wirlich im Wald oder ist es ein sehr seltsam aufsteigender und ziemlich dichter Nebel?

Nach diesem Kleinen Ausflug in die Welt der Definitonen zurück zu unserem Problem mit den Informatikern:

Unter Vertraulichkeit versteht sie die Begrenzung des Zugangs zu einer Information auf die dazu berechtigte Individuen. Unter Verfügbarkeit verstehen dieselben Wissenschaftler ein Maß (welches auch in Prozent ausgedrückt werden kann), das die Zugänglichkeit ausdrückt (z.B. in 9 von 10 Proben konnte die Internetseite abgerufen und dargestellt werden). Mit Integrität soll die Vollständigkeit einer Information garantiert und unerwüschte Veränderungen an dieser ausgeschlossen (bzw. sichtbar gemacht werden).

Eine Information ist – wenn man nur diese Maßstäbe nimmt – dann sicher und zuverlässig, wenn nur Sie als berechtigte Person darauf zugreifen durften, jederzeit darauf wieder zugreifen könnten und diese immer vollständig und unverändert bei Ihnen ankommt. Wüden Sie sich damit zufrieden geben? Ich meine den folgenden Fall: Sie kriegen eine Email, die Sie jederzeit wieder anschauen können. Niemand ausser Ihnen als Empfänger kann diese Email lesen, weil sie verschlüsselt ist und nur sie das Passwort haben. Niemand kann diese Nachricht verändern. Und in dieser Nachricht steht, Sie hätten in den USA einige Milionen im Lotto gewonnen. Würden Sie dann sofort einen Flugticket für diesen Überwachunsstaat kaufen, um dort Ihren Gewinn abzuholen? Würden Sie das auch dann tun, obwohl Sie niemals Lotto gespielt haben?

Ich hoffe, Sie verstehen meinen Zweifel daran, dass dieser Begriff der Informationssicherheit völlig unzureichend ist, wenn auch nur in dieser Form in allen Enzyklopädien der Welt zu finden…

Wenden wir uns der dem bereits angesprochenem Problem mit dem „Rauch im Wald“ zu… Nachdem wir es interpretiert haben und in einem Zusammenhang gestellt haben, wurde es zum Wissen. Wenn wir es weitergeben (z.B. im Sinne eines Anrufes bei der Feuerwehr) wird es zur Information. Was passiert jedoch wenn es kein Brand war und die Freuerwehr ist trotzdem ausgerückt? Wir werden bestraft! Hier stolpern wir über die grundsätzliche Frage: Ist eine falsche Information (Fehlinformation) auch eine Information? Ich würde sagen: Es ist eine, aber eine falsche. Im Gegensatz zu einer Lüge ist sie aber unbeabsichtigt falsch und dürfte somit kein Grund für eine Strafe sein. Übrigens: die Wissenschaft, die sich mit dem Wahreitsgehalt von Informationen beschäftigt ist die („die Liebe zur Weisheit“).

Folgen wir dem Problem der Interpretation. Besonders interesant ist die Tatsache, dass wir zur Beurteilung bzw. der Interpretation von Sachverhalten sehr unterschiedliche Maßstäbe nutzen. Dabei setzten wir oft die falschen Methoden ein. Das beste Beispiel dafür ist eine Geschichte über Darwin und die Regenwürmer. Um heruaszufinden, ob Würmer hören können, Spielte er ihnen auf der Flöte, dem Fagott und Klavier. Doch nichts passierte. So stellte er fest: Die Regenwürmer sind taub und dumm! Ich weiß nicht so recht, was der alte Mann sich von seinem musikalischen Beitrag erhofft hat? Dass die Würmer zu tanzen Anfangen? Oder mitsingen? Ehrlich gesagt bezweifle ich, das zumindest seine Evolutionstheorie voll und ganz stimmt. (Auch einge Professoren für Biologie haben da ihre Zweifel.) Keiner kann es beweisen: niemand hat es gesehen, so dass er davon berichten könnte. Wir haben einen Konstrukt von Indizien – zwar einen einleuchtenden und sehr sichten – aber keinen Beweis!

Jetzt wissen wir, wie man falsche Methoden wählt. Aber wie wählt man die richtigen?

Auf diese Frage haben gleich einige Philosophen eine Antwort parat. Thomas von Aquin meint: wenn die Wirklichkeit und unsere Gedanken übereinstimmen, dann denken wir Wahres (Entsprechung von Gedachtem und den Tatsachen). Wenn ich denke, dass die Wolken über dem Wald Rauchwolken sind, und sie bestehen tatsächlich aus Rauch bestehen, dann ist es wahr. Nur: Wie soll ich das feststellen, solange ich sie nicht zu fassen (oder eher: riechen) kriege? Und wenn ich sie riechen würde: Wer sagt mir, dass mich meine Nase nicht täuscht?

Immanuel Kant meint dazu: Wenn wir glauben, Wahres zu erzählen, erzählen wir nur das, wass wir wahrgenommen haben. Ob das die Wahrheit ist, steht erst dann fest, wenn wir die Methoden (wie den Geruchssinn) auf ihre Eignung überprüft haben. Eine solche Überprüfung braucht aber wiederum andere nicht auf ihre Eignung überprüfte Methoden… Also ein Teufelskreis! Können wir nie etwas erkennen? Nie die Wahreit fassen?

Man könnte sagen: Wer seine Sicht so beschreibt, dass er sich nicht in Widersprüche verfängt, erzählt die Wahrheit. (Man nennt es das Nichwiderspruchsprinzip.) Aber versuchen Sie damit einen Streit zwischen 2 Kindern zu schlichten… Sie bestrafen trotzdem ab und zu den falschen. Den Richtern geht es auch nicht anders…

Vielleicht ist die Intersubjektivität oder Demokratie das Maßstab für Wahrheitsgehalt? Dazu kann man nur den derben Spruch zitieren: „Warum ernähren wir uns nicht vom Kot? Millionen von Fliegen können nicht irren!“. Oder sollen wir per Volksentscheid das Wasser im Fluss aus dem Meer in die Berge fließen lassen?

Es ist nicht einfach, die richtige Methode zu finden. Je nach Sachverhalt muss man diese oder die andere Wählen… Nur in der Mathematik kann man sich darauf verlassen, dass der Dreieck immer drei Ecken haben (Descartes) wird (sog. Evidenz). Es gibt aber auch die nicht lineare Algebra… Und seit Einstein sind die Newton’schen Gesetzte auch nur unter bestimmten Umständen gültig!

Wenn ich Ihnen erzähle, dass Einstein die Gesetzte Newtons „ausser Kraft gesetzt hat“, dann glauben Sie mir. Mehr nicht. Sie verlassen sich darauf, dass ich Sie nicht belüge. Vielleicht haben Sie das gleiche auch von anderen gehört. Aber wer sagt, dass wir alle nicht lügen? Sie glauben mir also, weil Sie es selbst nicht überprüfen können. (vgl. Kritik Postman’s z.B. in „Wir informieren uns zu Tode“)

Das ist der zweite Schritt in der Informationskette, der über die Qualität und Informationssicherheit entscheidet.

Wenn Journalisten ihre Informanten befragen, um daraus einen Artikel zu schreiben, dann können sie das nur auf der Basis des absoluten Vertrauens tun. (Stichwort: Zuverlässigkeit der Quelle) Sie glauben der Zeitschrift (meistens) auch. Mit dem Streuen falscher Informationen kann man auch Geld verdienen – z. B. auf der Börse: allen davon erzählen, dass der Kurs fallen wird und selber dann die Aktien kaufen, wenn sie am Tiefpunkt sind! (Deshalb werden auch Börsen-Journalisten beobachtet, ob sie uns nicht belügen.)

Auch das Medium ist nicht unwichtig: Wenn man nur jeden zweiten Satz hört, muss man sich den Rest dazudichten. (In den meisten Fällen tut es unser Gehirn ohne unser zutun!) Denken Sie an Übersetzungen: Wenn alle Zeichen auf Krieg stehen, dann kann ein falsch übersetztes Wort über Krieg und Frieden entscheiden! Zum Medium gehören die Sprache (auch die Dolmetscher), das Papier, das Internet oder auch die Klangwellen, die wir als Ton wahrnehmen. An dieser Stelle setzt die IT-Sicherheit an. Es ist also nur ein kleiner Bruchteil der Informationssicherheit!

Was für die Informationssicherheit wichtig ist, heißt: angemessene Sammlung und Deutung von Informationen, Zuverlässigkeit der Informationsquelle und ein Übertragungsmedium, bei dem eine (Miß-)Deutung oder Veränderung des Inhalts so gut wie ausgeschlossen ist.