Man muß sich darüber klar werden, was Sicherheit im *eigenen Kontext* bedeuten soll.
Das ist interessant. Wie verstehst Du den "eigenen Kontext"? Liege ich richtig, wenn ich das so interpretiere, daß Du sagst, jeder sei selbst für seine eigene Sicherheit verantwortlich?

Im finanziellen Sinne ist das vermutlich so.

Auch ich habe gegenüber meinem Arbeitgeber Pflichten, was ich mit Informationen tun darf und was nicht. (Allerdings würde ich diese nicht als "scharf definiert" ansehen ... OT)
Ich muß mir also darüber Gedanken machen, was der Firma, aber auch mir selbst passieren kann, wenn ich Murks veranstalte.

Vergleiche ich das einfach mal mit dem Auto aus diesem Thread, dann stelle ich fest ...
Eine Rückübertragung auf die EDV und die Betrachtung der in diesem Marktsegment stattfindenden Verbraucheraktivitäten lässt mich aber am Willen der Verbraucher nach Sicherheit zweifeln.

Völlig richtig. Viel zuviele Normalbürger sehen den Computer noch als "Teufelszeug" an. Ich vermute, verglichen mit dem Auto sind wir noch eher in der ersten Hälfte unseres Jahrhunderts, was die Rolle des Computers in unserer Gesellschaft betrifft. All das, was wir mit dem Auto bereits erreicht haben, wird in den nächsten 20-50 Jahren für den Computer nochmal zu erkämpfen sein.

Warum sonst werden heute immer noch sehr unsichere (nicht nachvollziehbare, "undichte", fehlerhafte, etc.) Produkte in grandiosen Stückzahlen und mit wachsender Euphorie gekauft?

Monopolstellung von M$ und Zwang zur Kompatibilität.
Meinst Du, unsere Firma kann sich das verwendete Textverarbeitungssystem aussuchen? Kann sie nicht - die Mutterfirma befiehlt einfach eines.

Linux wird irgendwann mal eine ernsthafte Alternative werden, hoffe ich. Apple ist keine, solange state-of-the-art-Systeme nicht mit platttformunabhängigen Formaten arbeiten. (Also beispielsweise Word 2005 und LotusWordPro 2004 mit derselben XML-Definition ...)

Aber dann frage ich mich, inwiefern es zu den Aufgaben der "Profis" gehört, von sich aus tätig zu werden und proaktiv tätig zu werden und wo da die Grenze zu ziehen ist.

Wenn in Deinem Arbeitsvertrag als Sicherheitsbeauftragter einer Firma drin steht, daß Du Dich drum kümmern mußt, dann machst Du das vermutlich ohne zu zögern. Geld ist ein starkes Argument ...

Allem Anschein nach wird IT-Sicherheit bei den meisten Unternehmen nicht objektiv (Kosten-Nutzen-Analyse u. dgl.) betrachtet und bewertet sondern vielmehr anscheinend als Glaubenssache behandelt...

Für Objektivität braucht man Fachwissen. Wie sollen das die heutigen DV-Entscheider schon haben, wenn sich die Standards bezüglich Sicherheit monatlich ändern? Um da mithalten zu können, bräuchte man einen Experten für das Thema, und über die kritische Masse an Firmengröße, um den zu rechtfertigen, besteht noch kein allgemeiner Konsens.

Mit Elfenbeintürmen hat das allerdings in meinen Augen wenig zu tun da ich denke, daß eine zumindest ansatzweise Bewertung von IT-Sicherheit im Allgemeinen und eben nicht nur auf Spezialfälle begrenzt von einer objektiven Diskussion über die "Inhalte" von Sicherheit abhängt.

Aber keine Firma wird exakt nach dem von Dir verfaßten Buch ihr Sicherheitskonzept ausrichten, sondern nach ihren Randbedingungen. Nichtsdestotrotz sollte das Buch irgendwann mal geschrieben werden ...

Naja, war ja nur so ein Gedankenspielchen <g> Ich wünsche mir sogar, daß es niemals fehlerfreie Menschen geben wird ("Schöne Neue Welt")!

Dazu müßten wir nun den Begriff des "Fehlers" definieren (und zwar objektiv! Viel Spaß dabei).