Mir ist beim lesen dieser Schriften immer wieder eins aufgefallen: es wagt sich keiner an eine Beschreibung, geschweige denn eine Definition des Begriffs "Sicherheit (in der Kommunikationstechnik)".

Ein Mensch ruft seinen Versicherungsagenten an und sagt: "Ich möchte gerne eine Versicherung abschließen." Gegenfrage: "Wogegen?" Antwort: "Keine Ahnung."
So etwa kommt mir die Fragestellung vor.

Die tatsächlich gestellten Gegenfragen des Versicherungsagenten werden ungefähr folgendermaßen lauten (rate ich mal - ich bin kein solcher):
1. Welche Gefahren sollen dadurch abgedeckt werden? (Schadensarten definieren)
2. Wie hoch wäre in den jeweiligen Fällen der Schaden? (Deckungssumme definieren)
3. Wieviel darf es kosten? (Versicherungsprämie definieren)
4. Welche Vertragsbedingungen werden akzeptiert? (Kleingedrucktes Definieren: Fahrlässigkeit etc.)

Mit mindestens dieser Einstellung würde ich auch an das Spezialthema "Computersicherheit" herangehen.
Das geht schon beim vergleichweise trivialen Thema "Bandsicherung" los. Niemandem ist damit geholfen, wenn seine Daten einfach nur komplett auf ein Band gesichert werden. Allein hier stellen sich schon die Fragen:

• Wie lange dauert die Durchführung der Bandsicherung? Habe ich während dieser Zeit Einschränkungen für meinen Normalbetrieb? (housekeeping-Phase)
• Wie lange dauert es, ein Band wieder einzulesen? (Ausfallzeit)
• Kann ich auf gesicherte Daten inkrementell zugreifen? (Optimierung)
• Wieviele Generationen von Bändern hebe ich auf? (Absicherung gegen Ausfall eines Bandes)
• Was kostet die Manpower zum Betrieb des Systems, das Bandlaufwerk, die Bänder, der sichere Aufbewahrungsort (Tresor etc.)?

Es macht keinen Sinn, den Begriff "Sicherheit" zu pauschalisieren. Es gibt keinen "Sicherheitsmodul" - Sicherheit ist eine Frage der Gesamtsicht eines Problems, eines Betriebs etc.
Das einzige, was man lernen kann, ist die richtige Einstellung zum Thema - ansonsten geht es immer wieder um neue Anforderungen und deshalb um neue Einzellösungen.

Wenn man überhaupt etwas pauschalisieren kann, dann - aus meiner Erfahrung - die folgende Aussage: "Das schwächste Glied im Sicherheitssystem ist der Mensch." Egal, ob als schlampiger Anwender oder als Programmierer von Verschlüsselungssoftware. Solange es keine "perfekten" Menschen gibt, gibt es keine "perfekte" Sicherheit.