Meine Theorie ist, dass es etwas wie ein Sicherheitsniveau nicht gibt. Sicherheit ist nämlich kein Zustand, sondern ein Gefühl. Man kann sich sicher fühlen, aber nie sicher sein. Deshalb funktioniert Paranoia auch in dem abgesichertsten Kämmerlein, während Naivität fast überall für ein ausgeprägtes Sicherheitsgefühl sorgen kann.

Firmen reden gerne von Sicherheitsniveau. Aus leidvoller Erfahrung weiß ich aber, dass selbst der beste Virenscanner nicht wirklich Virenbefall verhindern kann, 99,9%ig heißt bei 1000 Systemen: täglicher Virenärger. Die Firewall darf nicht wenige Löcher haben, nur *keine* Löcher ist sicher. Solange man auch nur mit HTTPS ins Internet kommt, ist jede weitere Firewallregel völlig überflüssig. Da starten die Mitarbeiter der Personalabteilung TeamViewer-Sitzungen mit irgendwelchen anonymen »Ich-Nenne-Mich-Mal-IT-Berater«-Scharlatanen, und die haben dann mehr Zugriffsrechte auf Fileserver und SAP-System, als der NDA-vereidigte lokale IT-Admin. Wie bitteschön soll man da ein Sicherheitsniveau definieren? Ich bekomme echt eine Berufskrise.