Aus Linux-Magazin 07/2024

Bücher über Denkfallen und die Arbeit von IT-Sicherheitsbeauftragten

Das erste Buch stellt verblüffende Holzwege vor, auf die der gesunde Menschenverstand geraten kann. Das zweite behandelt umfassend alles, was IT-Sicherheitsbeauftragte können und wissen müssen.

Denkanstöße

Das erste Buch fällt diesmal ein wenig aus dem Rahmen, denn es handelt sich nicht um ein ausgesprochenes IT-Fachbuch. Es beschäftigt sich stattdessen mit Denkfehlern und logischen Täuschungen, missinterpretierten Daten und falschen Schlüssen, die einem überall begegnen, selbstverständlich auch im IT-Umfeld. Diese “Holzwege des gesunden Menschenverstandes” stellt Peter Gritzmann, emeritierter Mathematikprofessor der TU München, in seinem Buch “Plausibel, logisch, falsch” humorvoll und leicht verständlich vor.

Bedeutet eine Genauigkeit von 99 Prozent – etwa bei einem Test auf eine Krankheit – dasselbe wie todsicher? Im Beispiel ist die Zahl der Erkrankten mit 800 Personen klein. Hier bedeutet ein Prozent Fehlermarge, dass 8 Kranke nicht erkannt werden. Die Bezugsgröße für die Zahl der fälschlich als krank Erkannten sind jedoch nicht die 800 tatsächlich Erkrankten, sondern alle rund 80 Millionen Einwohner Deutschlands, von denen der Test aufgrund des Fehlers 800 000 zu Unrecht für krank hält. Wegen dieser enormen Asymmetrie sagt der Ein-Prozent-Fehler nichts über eine Erkrankungswahrscheinlichkeit bei positivem Test aus. Stattdessen müsste man dafür die Zahl der Erkrankten zur Zahl der insgesamt positiv Getesteten ins Verhältnis setzen.

Mehrere folgende Kapitel befassen sich mit unerwarteten Ergebnissen bei Wahlen, etwa dem Einfluss des Wahlverfahrens, das verblüffenderweise zu sich einander widersprechenden Ergebnissen führen kann. Auch können mehrstufige Wahlen Kandidaten begünstigen, die weniger Stimmen auf sich vereinen konnten als Konkurrenten (wie etwa in den USA schon geschehen). Das mündet in einem Bonmot des Wirtschaftsnobelpreisträgers Kenneth Arrow: Das einzige Wahlsystem, das zugleich universell ist, den Wählerwillen genau abbildet und bei dem die Reihenfolge der Alternativen keine Rolle spielt, ist eine Diktatur.

Im Folgenden geht es darum, wie verschiedene Prognosemodelle die Vorhersage beeinflussen. Auch das kann – bei identischer Datengrundlage – zu entgegengesetzten Ausblicken führen. Der Einfluss des Bezugsrahmens auf eine Aussage ist ein Thema, irreführende Änderungsraten oder das Simpson-Paradoxon, demzufolge bei einem Wettbewerb mit mehreren Disziplinen eine Partei zwar in allen Disziplinen am besten abschneidet, aber dennoch nicht die Gesamtwertung gewinnt. Beim Will-Rogers-Phänomen ergeben sich nur durch Umgruppierung einzelner Probanden völlig andere Mittelwerte. Anhand einer Fülle von Beispielen bringt der Autor Fälle näher, die der Intuition völlig widersprechen. Andere erscheinen plausibel, sind aber falsch; manche sind formal korrekt, führen aber dennoch in die Irre. Ein unbedingt lesenswerter Denkanstoß, selbst einleuchtend klingende Aussagen zu hinterfragen.

Infos

Peter Gritzmann

Plausibel, logisch, falsch

C.H. Beck, 2024

ISBN: 978-3-406-81425-9

220 Seiten, 22 Euro

Im Auftrag der Sicherheit

Was muss ein IT-Sicherheitsbeauftragter mitbringen? Was darf, was muss er in seinem Amt dann tun? Was bedeutet überhaupt Sicherheit, und wie kann man sie bewerten? Welche Werkzeuge und Best Practices gibt es? Diesen und verwandten Fragen gehen die Autoren Dr. Florian Deusch und Prof. Dr. Tobias Eggendorfer in ihrem Buch “Beauftragte für IT-Sicherheit und Informationssicherheit” nach.

Schon ein Blick in das Inhaltsverzeichnis mit seiner bis zu sechsstelligen Kapitel- und Absatznummerierung verrät, dass hier viel Arbeit in eine ausgefeilte Gliederung des umfangreichen Stoffes floss. Das macht es leicht, Antworten auf konkrete Fragen zu finden, obwohl ein Sachwortindex fehlt. So findet sich beispielsweise ein Absatz zu Computerviren als Punkt 2.4.6.1.1 im Kapitel über Schwachstellen und Angriffe im Abschnitt “Schadsoftware” im Absatz “Transportmechanismen” auf einer logischen Ebene mit Würmern und Trojanern.

Einer Einführung in die grundsätzlichen Aufgaben eines Informations- beziehungsweise IT-Sicherheitsbeauftragten (ISB/IT-SiBe) folgt ein mit “Technische Grundlagen” überschriebenes Kapitel, das zunächst die Ziele der IT-Sicherheit wie Vertraulichkeit, Integrität oder Authentizität und einige mehr behandelt. Dann stellt es technische Maßnahmen vor, mit denen sie sich erreichen lassen, darunter Verschlüsselung oder Prüfsummen, Zertifikate, Passwörter und so weiter. Es schließen sich die schon erwähnten Ausführungen über Angriffe und Schwachstellen an, gefolgt von solchen zu Spam und Massen-Mails.

Danach geht es um den menschlichen Faktor in der IT-Sicherheit, der sich unter anderem in der Anfälligkeit für Social Engineering zeigt. Das nächste Unterkapitel bespricht, welche technischen Gegenmaßnahmen möglich sind. Das reicht von Datenträgerverschlüsselung über Firewalling bis VPNs. Schließlich untersuchen weitere Abschnitte die rechtlichen Grundlagen: Welche Gesetze sind relevant? Wer ist wofür zuständig? Wie grenzen sich die Zuständigkeiten von denen anderer Verantwortungsträger ab? Ein letztes Kapitel beleuchtet, wie sich die Arbeit des Sicherheitsbeauftragten praktisch organisieren lässt.

Das Buch ist durchweg verständlich und gut lesbar geschrieben und eignet sich auch als Nachschlagewerk für die tägliche Praxis.

Infos

Dr. Florian Deusch, Prof. Dr. Tobias Eggendorfer

Beauftragte für IT-Sicherheit und Informationssicherheit

Deutscher Fachverlag, Fachmedien Recht und Wirtschaft, 2024

ISBN 978-3-8005-1873-9

310 Seiten, 70 Euro

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 1 HeftseitePreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben