In Transparency We Trust
Transparenz ist Mittel zum Zweck – nicht das Ziel. Chefredakteur Norbert Luckhardt zeigt, warum Wissen allein nicht reicht und wie strategische Offenheit Vertrauen schafft.
Ich bin dabei – Team Transparency, yeah! Ernsthaft: Ich will eigentlich immer alles möglichst genau wissen, um dann meine Schlüsse zu ziehen. Erst das Wissen um all die vielen Dinge, Zusammenhänge, Probleme, Akteure et cetera ermöglicht es uns, angemessen zu planen, zu steuern, zu reagieren… Wissen ist bekanntlich Macht. Nun muss man aber mit dem Wissen schon auch was machen – sonst ist es ungenutztes, womöglich sogar unnützes Wissen. Transparenz ist der Weg zum Wissen, der nicht das Ziel sein kann, sondern Mittel zum Zweck sein muss, um zu wirken. Oder?
Transparenz ist besser als Intransparenz – potenzielles Wissen ist besser als gesichertes Unwissen. Beispiel: Open Source – super Sache! Die Verfügbarkeit von Quellcode hilft gegen Angriffe zwar erstmal auch nur, wenn wirklich einer draufschaut. Nun kann man durchaus mit Fug und Recht annehmen, dass das passiert – gerade wenn mehr und verschiedene Menschen und Organisationen an der Entwicklung teilhaben, sollte das helfen. Dennoch kommt hier eben auch eine Komponente des Vertrauens ins Spiel: Und da ist Open Source schlicht vertrauenswürdiger als hinter verschlossenen Türen oder NDAs verborgene Aktivitäten.
Außerdem gilt Transparenz traditionell als gutes Gegengewicht zu Komplexität. Was aber, wenn das Ermitteln und Managen der ganzen Transparenz-Informationen selbst wieder für eine schwer erträgliche Steigerung der Komplexität sorgt? Wissen wir überhaupt noch, wo wir überall Transparenz benötigen? Ist „überall“ eine gangbare Antwort? Wenn ein Produkt oder Anbieter „alternativlos“ ist, macht es dann noch Sinn, Transparenz zu fordern oder mühsam zumindest ansatzweise herzustellen?
Wo die eigenen Kronjuwelen (oder auch Schwachstellen) liegen, ist in erster Instanz dann wichtig zu wissen, wenn man an diesen Stellen gezielt ansetzen will. Möchte man das nicht (evtl. als Kapitulation vor unstrukturierter Datenhaltung oder aufgrund von „Assume Breach“), könnte man sich nicht vielleicht die Mühe sparen, die komplizierte Landkarte neuralgischer Punkte überhaupt zu erstellen?! Andererseits: Wenn Daten beispielsweise erst mal wegverschlüsselt sind – wie will man dann noch den Schweregrad des Verlusts ermitteln? Wenn wir nicht wissen, wie ein Angreifer* erfolgreich sein konnte – wie können wir dann aus Vorfällen lernen?
Wenn es am ersten Schritt (Transparenz) hapert, wird vielleicht der zweite bisweilen nicht hinterfragt (Konsequenzen) – oder der dritte: im Sinne von Konsequenzen der Unterlassung. Da hilft vermutlich nur eine solide Strategie, die vorab als Masterplan den Rahmen absteckt und im Sinne des Risikomanagements sowohl blinde Flecken als auch (vorerst) unnötig erscheinende Aktivitäten akzeptieren kann. Der angesichts eines komplexen, unentwirrbar erscheinenden Geflechts – verbunden mit vermutlich chronischem Ressourcenmangel – verlockend erscheinende Gedanke frustriert aufzugeben und ein Zeitalter der „Post-Transparency“ auszurufen, dürfte jedenfalls zu keiner nachhaltigen Lösung unserer Probleme beitragen. Ich bleibe daher im „Team Transparency“ – auch wenns bisweilen ermüdend ist.
Norbert Luckhardt