Heute mal ein Beispiel, wie man IT-Sicherheit nicht planen sollte:
“Hoher Schutzbedarf” bezüglich Vertraulichkeit ist bei Daten eigener Mitarbeiter fast immer gegeben. Die Daten von Kollegen/Chefs sind meistens interessanter als die von Lieschen Müller aus Hintertupfingen. Im konkreten Fall sollte der Zugriff auf diese speziellen Daten zudem auf absolute Ausnahmefälle begrenzt werden. Deswegen wurde für diese kritischen Daten ein Regelungvorschlag erarbeitet und mit großem Brimbamborium vorgestellt:
- Die Daten werden ausschließlich auf einem zentralen System gespeichert
- Der Zugang wird durch eine achtstellige Zahl gesichert, davon werden je vier Ziffern bei Organisationseinheit A und B hinterlegt.
Der Grundgedanke, ein Vier-Augen-Prinzip auch technisch abzusichern ist ja ganz löblich. Aber die Speicherung auf dem Zentralen Server sorgt für zusätzliche Risiken (Kumulationeffekt). Wurde ja bei ELENA und Vorratsdatenspeicherung reichlich öffentlich diskutiert.
Zur Not könnte ich die auch von Hand durchprobieren. Selbst bei einem System, das mich nach einer bestimmten Zahl von Fehlversuchen aussperrt kann ich typischerweise alle 10 Minuten einen Versuch machen. Wenn mir niemand durch eine Logfileauswertung auf die Schliche kommt, könnte ich das in rund einem halben Jahr durchprobieren (Basis 9 Stunden je Arbeitstag gibt maximal 185 Arbeitstage, im Schnitt errät man das Passwort nach der Hälfte der Versuche). Und das in dieser Zeit das Passwort geändert wird, halte ich für eher unwahrscheinlich – dafür bräuchte man gleichzeitig die Vertreter beider Organisationseinheiten 
